ISSN在线(2320 - 9801)打印(2320 - 9798)
Kudakwashe Zvarevashe1,Tinotenda Zwavashe2,矶法Mawere3
|
相关文章Pubmed,谷歌学者 |
访问更多的相关文章国际期刊的创新在计算机和通信工程的研究
信息安全意识已经确认的一个重要工具,培训和暴露的信息威胁、漏洞和攻击。这带来了大量的培训项目和技术的研究,使人们意识到危险,困扰他们的计算机世界。新技术的出现对人们产生了双重的影响,使用它们。大多数技术带来了一个重大的进步,可用性,处理和存储。然而,安全问题一直是一个障碍的全部验收技术以及用户赞赏。因此探讨问题最近影响信息安全意识符合当前技术趋势。它还旨在提供最好的方式提醒人们如何实现信息安全措施在当前技术世界,从而构建对用户的信心。本文还将深入研究诸如社会工程,电子邮件攻击,智能手机/移动社交网络攻击和机密性。
关键字 |
||||||||
信息安全意识,球场骚乱、威胁、漏洞,攻击,社会工程,智能手机、社交网络、机密性。 | ||||||||
介绍 |
||||||||
信息安全已经讨论了许多在学术界和产业界,今天我们面临的信息安全挑战无处不在,和高度动态的。我们设计的解决方案来解决今天的信息安全服务将不工作在明天的安全问题。这种情况导致更多的信息安全从业人员也准备和匹配的活力和无处不在的安全问题。尽可能多的工作已经完成了在学术界和产业界在确保每天都产生大量的信息。一个拼图的信息安全仍然滞后。信息安全意识没有动态的安全挑战及其解决方案。任何链条一样强大的它最薄弱的一环,在信息安全的情况下,用户是最薄弱的一环。用户没有提供及时的安全意识程序给他们胜过袭击者。 | ||||||||
二世。社交网络 |
||||||||
在[2]网络罪犯攻击的电子邮件和垃圾邮件发送者不再感兴趣。相反,他们制定了在社交网络上攻击向量。这是因为社交媒体提供几个选项和灵活地盗取人们的身份或个人信息以及创建渠道安装各种形式的恶意软件。 | ||||||||
社交媒体提供了两个非常有用的对罪犯的行为,这些都是社会打样和共享。社会打样是一种心理机制,吸引和说服人们做事情,因为他们的朋友都这么做。例如如果你得到一个消息来自你的朋友在Facebook上你倾向于点击它只是因为它是你可信赖的朋友。分享是社交网络的目的之一。这的确是一个纤维使我们社会人。人们分享个人信息,例如他们的生日,地址,感情状态、联系信息等。这些信息可以被犯罪分子窃取身份。雷竞技网页版例如一个社会化媒体资料可能包含安全问题的线索黑客可以重置用户的账户和使用它,就好像它是他的。 | ||||||||
标枪战略研究公司的研究公司,检查人们的行为方式在广受欢迎的社交网站。它发现,那些公共资料多有可能分享特定的个人信息: | ||||||||
Birthday (68%) | ||||||||
High 学校 (63%) | ||||||||
Phone (18%) 数量 | ||||||||
Pet’s 名字 (12%) | ||||||||
注意这些细节来验证潜在雇主依靠未来员工的身份。让这些落入坏人之手可以因此严重妥协你的身份。 | ||||||||
在这个信息时代,我们离开很多人花大部分的时间在互联网上,很大一部分花在Facebook等社交网络网站。大多数人使用移动设备访问社交网络网站特别是智能手机,这给网络犯罪分子提供了一个很好的机会来执行他们的犯罪活动。 | ||||||||
根据赛门铁克,五大社交网络犯罪行为有: | ||||||||
Fake Offering | ||||||||
Manual Sharing | ||||||||
Likejacking | ||||||||
Fake Plug-in | ||||||||
Copy 和 Paste | ||||||||
1)假提供:这些诈骗邀请社交网络用户加入一个假事件或免费礼品卡等奖励。加入通常需要用户与攻击者分享凭证或发送文本数量保险费率。 | ||||||||
2)手动共享诈骗:这些依靠受害者做艰苦的工作分享的骗局了有趣的视频,假提供或消息,他们与他们的朋友分享(图2.0)。 | ||||||||
3)Likejacking:使用假的“喜欢”按钮,攻击者欺骗用户点击网站按钮,安装恶意软件和更新用户的文章后,传播的攻击。 | ||||||||
4)假插件诈骗:用户被骗下载假浏览器扩展他们的机器。流氓浏览器扩展可以构成合法扩展但当安装窃取敏感信息可以从受感染的机器。 | ||||||||
5)复制粘贴诈骗:用户被邀请恶意JavaScript代码直接粘贴到浏览器。为了防止自己的各种社交网络攻击以下措施非常有用: | ||||||||
1。小心点击链接缩短从未知账户。总是试着验证缩短之前点击他们的链接。Twitter web客户端允许您预览缩短,将鼠标停留在他们的链接。 | ||||||||
2。只有朋友或者跟你见过的人在现实生活中或其账户你已经证实。不遵循任何你可能不知道在现实生活中或者没有共同的朋友。如果你必须遵循名人或公共身份,看看他们的账户第一次验证的社交网络。 | ||||||||
3所示。阅读网站的安全设置你要注册的。社交网站正意识到威胁的网络传播网络。大多数甚至推出内置的安全功能来帮助打击威胁。探索这些完全,使他们尽快。 | ||||||||
4所示。使用hard-to-guess密码。使用超过三个字的短语。他们更容易记住比复杂的单词使用的组合形成字母,数字和特殊字符。 | ||||||||
5。隐私是一种商品,不要浪费它。如果你担心任何东西在你的个人页面结束在陌生人的手,将你的资料设置为“私人。”这样,只有你信任的联系人可以看到它们雷竞技网页版 | ||||||||
6。你的联系人。雷竞技网页版这有助于限制每组的联系人上看到你的个人页面。雷竞技网页版 | ||||||||
三世。电子邮件安全 |
||||||||
电子邮件是一个官方数据交换的主要通讯方式。由于攻击者的后期发展了好几种不同的方式欺骗电子邮件用户和用户遭受毁灭性的失去的这些攻击。普遍缺乏知识关于如何应对可疑电子邮件这些损失的主要原因。 | ||||||||
攻击邮件服务可以有赔偿从拒绝访问电子邮件到实质性的经济损失,甚至失去放大。一般电子邮件攻击有三种主要形式是: | ||||||||
我垃圾邮件。 | ||||||||
二世。网络钓鱼 | ||||||||
三世。病毒 | ||||||||
这三个可以相通,这样可以带来另一个威胁的存在。的主要攻击电子邮件安全电子邮件的垃圾邮件或垃圾邮件。通过点击链接与垃圾邮件的链接可能会导致网络钓鱼网站和/或包含恶意软件或病毒托管网站。垃圾邮件中包含恶意软件也可以在脚本或可执行文件附件的形式。因此网络钓鱼将提供一个链接到一个网站,是为了获得一个人的个人数据。网络钓鱼者的主要目标是银行客户和在线支付服务。据估计,2004年5月到2005年5月计算机用户总计120万在美国遭受的损失和损害钓鱼,总计大约9.29亿美元。 | ||||||||
最近做了巨大的努力,加强打击垃圾邮件的电子邮件安全。它可以指出,垃圾邮件率从2011年的75%下降到2012年69%的电子邮件在拆卸的僵尸网络在2012年继续。虽然一直有显著减少垃圾邮件攻击者试图留在业务通过使用其他替代方式,如社交网络。社交网络可以是一个有利可图的攻击者的个人信息。钓鱼者正在针对这些使他们获得个人信息,可以用于身份盗窃。实验显示在社交网络上钓鱼的成功率超过70%。 | ||||||||
元数据集合也可以用作收集个人信息的电子邮件用户的一种方式。此功能已被证明在麻省理工学院的媒体实验室浸实验。这种视觉数据实验允许他们进入一个Gmail地址和带给人的网络连接到通过电子邮件和网络如何演变。虽然实验没有访问电子邮件的身体它访问元数据包括头部像“:”,“:”“抄送”和时间发送或接收电子邮件。与人的关系网络中也可以发现。因此,这可以作为一个破坏性的工具由攻击者监控目标的沟通行为。图表显示了某种形式的网络分析某一用户一段大约3年所描绘的麻省理工学院的浸实验(图3.0)。 | ||||||||
这样电子邮件用户需要受过教育的如何避免收到垃圾邮件以及如何处理的几个仍然获得他们的电子邮件。垃圾邮件过滤的重要性应该传达给普通用户(主要是那些没有多少知识的电子邮件和计算机安全),他们应该如何处理可疑的电子邮件。这包含了训练人们如何识别网络钓鱼,他们如何可以修改他们的浏览习惯,使用反钓鱼软件以及如何使用专门的过滤器,如前所述,减少网络钓鱼邮件的数量达到他们的收件箱。 | ||||||||
四、移动威胁 |
||||||||
失去了移动设备继续恶意程序构成重大安全问题和社会媒体成为主要的安全问题的威胁。例如,去年手机恶意软件升级,越来越多的互联网连接移动设备[1][4]。这些设备是智能手机使他们对犯罪分子的吸引力。Gartner表示,Android目前72%的市场份额与苹果的iOS位居第二,14% [5]。 | ||||||||
然而大多数手机攻击已经持续增加的Android威胁、隐私泄露和保险欺诈。仅去年一年就Android在欧洲和美国威胁更常见[4]。隐私泄露,泄露个人信息已经据传输的主人的位置后,智能手机监控软件[6][10]。赛门铁克,一个移动僵尸网络发现假的手机应用程序被用于感染用户在同一时间从移动恶意软件生成钱[7]。 | ||||||||
有趣的案例之一是,德国大学的研究人员发现,8%的13岁的500个应用程序下载谷歌玩容易受到中间人攻击。同时大约40%使研究人员能够捕获的凭证银行账户,美国运通,贝宝和Facebook等社交网站,谷歌和雅虎,远程控制服务器和IBM Sametime等[1]。此外,网络罪犯已经开始使用Android僵尸网络连接移动网络发送不需要的电子邮件或短信[8],pc的适应技术。 | ||||||||
去年受信任站点的应用程序被日益破坏为恶意程序更频繁地出现。恶意软件感染的风险,推动了移动设备的技术,帮助用户盗版手机应用程序。Websense安全性实验室检查许可需求的恶意程序库的权限合法的现有应用程序。他们发现82%的恶意应用程序发送、接收、读或写短信,这很少合法应用程序需要任何短信权限[1]。 | ||||||||
同时,八分之一的恶意程序需要RECEIVE_WAP_PUSH许可,很少要求通过合法的程序。此外,一个在10恶意程序要求许可安装其他应用程序成为合法的应用[1]——另一个异类。因此,用户应该仔细检查应用程序请求的权限是否允许请求是有意义的。同时用户应该知道如何合法应用程序的行为为了辨别恶意程序。例如,许多合法应用程序现在需要web访问权限支持社交媒体功能,把广告放在免费应用程序,[1]。 | ||||||||
尽管如此,合法应用程序不再受恶意攻击。早在2012年,流氓软件伪装谷歌玩市场上受欢迎的游戏,在绕过谷歌的自动筛选过程[9]。现在,越来越多的企业允许员工使用智能手机,甚至补贴他们的购买,希望降低成本。由于移动设备缺少安全功能,如加密、访问控制、和可管理性,这些企业现在在一个更大的风险失去他们的钱通过网络欺诈和垃圾邮件[4]。 | ||||||||
Android恶意软件景观占据主导地位,97%的新威胁使Android用户容易一大堆的威胁。继续增加的Android平台提供了选择安装应用程序从非官方市场通过简单地改变设置在操作系统中没有利用软件的威胁。赛门铁克记录至少3 906种不同移动变异Android市场的威胁,2013年[4]。作为一种改善安全,谷歌Android版本4中添加了一个功能。x允许用户阻止任何特定的应用程序将通知到状态栏。这是为了回应来自旧版本的用户的反馈,对广告平台推送通知状态栏。 | ||||||||
谷歌还添加了一个功能在Android 4.2提示用户确认发送短信威胁溢价如Android。Opfake, Android。保险费,Android。Positmob, Android.Rufraud。这可以帮助用户保护手机免受恶意攻击。在2013年初,Android 4.2设备帐户只有很小的比例在10%左右市场普及率[4]。 | ||||||||
然而,Android生态系统很难让每个人都更新。谷歌发布了官方平台,工作只在Nexus devices-Google开箱即用的自有品牌的设备。从那里每个制造商修改和发布自己的平台,这是反过来也被移动网络运营商定制这些平台[4]。这使得它不可能迅速改变来自谷歌所有攷虑设备。任何改变的平台需要彻底的测试每个制造商,然后每个运营商都增加达到用户所需的时间。 | ||||||||
许多设备模型的存在也会放大这些公司的资源来分配每个更新。因此,很少更新发布或在某些情况下没有更新旧设备。对于大多数利用操作系统,谷歌发布的快速修复。然而,用户仍然一直等待他们从网络运营商获得了解决。有些利用不是在原来的操作系统本身,而是在自定义修改由制造商,如三星的开发模型,出现在2012年[4]。 | ||||||||
三星(S3在升级固件的情况下,智能手机注2)很快修理它,但是修复仍不得不通过网络运营商传播到用户。严格控制从谷歌的平台可以解决一些“碎片化”问题,但这可能影响与制造商的关系[4]。年长的分界点Android用户可能有助于降低风险,但它通常是做这个的厂家。 | ||||||||
同时,它已被发现,智能手机用户大部分时间都花在互联网浏览(每天24.81分钟)其次是社交网络17.49分钟,15.64分钟的演奏音乐,14.44分钟的游戏和12.13分钟的电话。根据这一信息,近50%的智能手机用户花更多时间使用手机进行社交网络比电话[2]。这一点加深了使用手机带来的社会风险。 | ||||||||
数据还显示,73.6%的iPhone用户主动连接到Facebook使用Facebook应用程序的iPhone和Android版本的应用程序有30%较高的普及率[3]。因此,所有相关的社交网络威胁也对移动设备构成威胁。 | ||||||||
诉球场骚乱(研究、通知、选择和培训)框架 |
||||||||
综上所述,我们发现少了一件东西在实施信息安全意识行为。大公司正在进行大量的研究和他们暴露了很多隐藏的威胁和漏洞的工具支持大多数社交媒体。然而,人们并没有完全意识到他们如何能够保护自己的信息或身份。事实上,这些威胁的曝光已经引起一些技术恐惧的用户和潜在用户的社交网络。好像这还不够,这些威胁的接触仅仅是局限于许多学者或在相关领域的研究者,而更大一部分天真的用户是脆弱的。 | ||||||||
培训计划应包括一个更大的面积比是目前覆盖。研讨会主要大学正在进行,但在工作场所太少了。护士、警察、法官auto-drivers和许多不同的工人也在社交媒体的用户,他们应该意识到他们面临在社交网络上的漏洞。因此我们设计了球场骚乱(研究通知审查和火车)框架,可用于实现信息安全意识实践(图4.0)。 | ||||||||
罗切斯特理工学院的航拍框架由三个阶段组成,包括研究、通知和培训。 | ||||||||
1。研究:在这个阶段我们希望问题识别发生,这可能包括识别的威胁、漏洞和攻击特定的平台。这就是目前枪由领先的大安全公司赛门铁克,Websense和许多更多。 | ||||||||
2。通知:这是一个阶段,这些威胁信息的基础上,研究成果传播和暴露给公众。这可能包括通过白皮书公布调查结果,技术杂志、学术刊物等。 | ||||||||
3所示。检查:这是阶段,威胁、漏洞和攻击识别将会仔细分析,构建一个分类的威胁水平基于潜在的受害者。这将使所有的类人是针对信息安全意识计划。 | ||||||||
4所示。培训:培训阶段将由用户和潜在用户的教育技术的参与。这可能包括一个计划设计审查阶段分类人根据他们的工作或弱点。这就是培训计划预计将增加的报道,让人们的知识威胁,漏洞和这些问题的可能的解决方案。 | ||||||||
第六,总结和结论 |
||||||||
信息安全意识已经持续了一段时间在大型机构如大学但不幸的是,常见的如auto-drivers,公共汽车售票员,更多的人被排除在外。这已经发生了由于缺乏适当的信息意识的实践框架,将有助于使信息安全访问各种各样的人。对我们未来的工作中,我们将介绍球场骚乱框架,一个小社区,使统计比较与一个相同的社区将不会利用框架。 | ||||||||
数据乍一看 |
||||||||
|
||||||||