「黑色星期五」(Black Friday) 意指11月的最后一个星期五，代表美国感恩节周末以及全球性的大型网上购物盛会已开始，而此时也是网路诈骗者和网路钓鱼攻击蠢蠢欲动的最佳时机。不过，相对地当人们上网浏览和共用资讯，尤其是使用外部或公司的电脑购物时，是否也应该担心所面临的未知风险？

Sophos 首席研究科学家 Chester Wisniewski研究当今网际网路安全的状态。他将研究发现写成一系列文章，并在今年的黑色星期五时期公布。

Sophos 首席研究科学家 Chester Wisniewski为了找出问题的答案，因此研究当今网际网路安全的状态。他将研究发现写成一系列三篇文章，并在今年的黑色星期五时期公布。

文章摘要

1.不要害怕 Wi-Fi ─ 在这一篇探讨公共 Wi-Fi 安全的文章中，Wisniewski 厘清什么是事实与什么是想像，并发现大多数人都比他们想像的要安全得多。例如，攻击者除了必须实际出现在目标的身边，还得判断哪些网站容易受到降级攻击，以便透过未加密的网站重新导向流量，或是赌运气看能否找到只有 5% 的未加密网站 (其中大部分是广告追踪程式和行销垃圾邮件)。 Wisniewski 还为更谨慎的使用者提供了一些替代方案和指导。

2.密码管理程式可以使网路更安全 (但要注意漏洞) ─ 在本文中，Wisniewski 对 8 个密码管理程式进行了测试。他分别扮演网路钓鱼的「受害者」和潜在的「攻击者」，查看这些密码管理程式在面对未加密的网站和使用假凭证的网站时，是否会拒绝自动填入资料和/或提出警告。

3.2021 年全球资讯网 (WWW) 安全现况 ─ 随着越来越多网路使用者在将个人或财务资料送出到浏览器之前，会先检查对方是否为 HTTPS 网站，Wisniewski 决定仔细深入研究 HTTP 强制安全传输 (HSTS)，了解有多少网站具备健全的加密和安全，以及加密被普遍采用的情况。 Wisniewski 发现，虽然只有 5% 的网站尚未加密，但 61% 的已加密网站仍可能被「降级」，这会让使用者暴露在何种程度的风险之中？

Sophos首席研究科学家 Chester Wisniewski表示： 「近年来，全球在改善网际网路安全方面取得了巨大进步。我们强化了安全性基准，并在背后改变了实作对加密的方式，以确保通讯能保持私密性。还增强了密码管理程式，帮助使用者在面对未加密的网站、使用假凭证的网站或显然是网路钓鱼的网站时能保护自己免受伤害。结合以上发展，攻击者不太可能经由公用 Wi-Fi 锁定使用者。毕竟，这种攻击只能在受害者附近发动，而不是从摩尔多瓦透过 Tor 匿名进行犯罪，且投资回报很低，因为最有价值的网站都已经被加密了，所以犯罪分子为什么要还投入时间和精力攻击？

「但风险依然存在，我们还有很长的路要走。在太多数情况下，保持安全的大部分责任仍然在使用者。当然，网际网路使用者必须始终依照常识判断和谨慎行事，尤其是在使用未知的网路或浏览不受信任的网站时，还需要小心伪装成快递公司或类似企业的网路钓鱼电子邮件。但是网路厂商、技术和服务提供商以及网路安全行业还是必须了解并缩小仍然存在的安全漏洞—尤其是那些使用者自己无法轻易看到的漏洞——因为如果我们现在不解决它们，当网路攻击者找到新方法来锁定和利用它们或新出现的弱点时，我们就会远远落后。 」

其他资源

**阅读 SophosLabs 对消费者和家庭使用者面临的网路威胁的报告，包括 fleeceware、假加密货币 App，以及适用于 iOS 和 Android 的 CryptoRom 交友 App 加密货币交易诈骗

**如需行动装置网路威胁的更多详细资讯，请参见《Sophos 2022 年威胁报告》的行动恶意软体章节