網絡罪案越發猖獗,不谙數碼的公衆不知如何分辨以假亂真的釣魚網站,遭騙走畢生積蓄的例子時有耳聞。新加坡國立大學團隊將設計一個可識別並持續監測釣魚網站的平台,在用戶誤入釣魚網站時通過浏覽器插件提醒,並對不同網站進行動態比對判斷真僞,還將收集釣魚網站代碼用于研究。
新加坡本地三所公立大學在新加坡網絡安全局“全國網絡安全研發計劃”下獲得180萬元資助,展開網絡安全相關的研發工作。這三份項目提案從網安局收到的13個提案中脫穎而出,將獲資助24個月。國大的提案就是其中之一。
新加坡國立大學計算機系研究助理教授林雲接受訪問時指出,如今黑客設立釣魚(phishing)網站的成本非常低,“菜鳥級的黑客都能在黑客市場買到源代碼”,可一鍵自動生成釣魚網站,無須耗時耗力重新構建一個網站、注冊域名。
林雲說,考慮到現有的“黑名單”防護技術響應所需的時間,釣魚網站一般只可存活兩三天至一周,黑客也非常清楚這一點,專門在這個“窗口期”行騙,網站下線後還可重開新網站。研究團隊通過“爬蟲”(crawler)監測釣魚網站的源代碼,可大致從代碼中分析出黑客的身份並進行溯源,了解各釣魚網站間是否存在譜系關系。
除了一般網民,常遭仿冒的銀行、電子支付及網購平台等機構預計也可從項目中受益。林雲認爲,這些企業須盡全力保護客戶權益,因爲客戶上當蒙受損失,企業的聲譽也會受損。他設想,團隊的研究成果可爲這些企業提供定制化的方案。
現在不少手機應用要求用戶開放麥克風、攝像頭,以及地理位置等權限,有時甚至遠超它們正常運行所需的範圍。這些不必要的權限一旦開放,用戶的手機就面臨更大的網絡安全風險。同樣獲得資助的新加坡管理大學研究團隊將研發一套工具,屏蔽安卓應用中不必要的代碼,讓用戶不必做出開放權限否則無法使用的“兩難抉擇”。
新加坡管理大學計算機與信息系統學院高德斌副教授說:“許多安卓應用要求用戶開放過多它們可能在核心功能中根本不需要的權限,經‘消腫’(debloating)後,將成爲只使用必要權限的壓縮、迷你版的應用。”
高德斌舉例說,一些遊戲應用竟要求用戶開放權限訪問通訊錄和通話記錄,這些收集的資料可能在後端進行用戶分析,從而優化定向營銷效果。
不過,用戶考慮的往往是應用的功能,但這些功能都通過一些代碼實現,當功能越來越多時,黑客就有可能濫用這些代碼,竊取數據。
然而,現有的應用權限控制選項往往“一刀切”,譬如某個應用要求訪問地理位置,如果用戶不允許,應用可能完全無法運行,而團隊將通過在內存中屏蔽相關代碼,阻止要求開放地理位置權限的請求出現,從而在確保用戶隱私的同時,使應用得以正常運行。
新加坡網安局與以色列特拉維夫大學在2020年推出“全國網絡安全研發計劃”撥款,旨在促進與學術夥伴和研究機構的研發合作,豐富新加坡的研發投資組合,並評估新加坡與其他先進國家相比的研究能力。
獲資助的另一項目來自新加坡南洋理工大學,旨在識別企業在新加坡和以色列金融和水務領域采納網絡安全解決方案時的社會、法律及商業層面的非技術障礙,未來可能用于打造包括一項用于網絡安全審計的全新資訊科技安全標准。
新加坡教育文化促進會爲廣大學生辦理赴新加坡留學,升學等服務,歡迎私信。