瑞星2010年度安全报告
2011-01-14 14:39:53第三节 钓鱼网站急剧增加
网络钓鱼(英文为Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击),传统意义上指的是利用伪造银行网站的方式,窃取用户银行帐号的行为。但随着网络应用的复杂,网上出现了很多“钓鱼”的新形式。
瑞星认为,凡是企图利用人们对著名品牌、网站和机构的信任,通过网络进行诈骗活动的行为,都可以称为“网络钓鱼”。由于绝大多数钓鱼网站无木马病毒或恶意代码,所以传统安全厂商很难全面监控并及时处理钓鱼网站的威胁。2010年,瑞星截获的钓鱼网站数量出现爆发性增长,从去年的13万增加到175万个,增加11倍。
图6 “QQ刷钻王”,当用户使用时,会诱骗网民订购手机套餐
在所有的钓鱼网站中,假淘宝、假QQ、假非常6+1、假工商银行和假新浪,成为钓鱼网站中的五大常见种类,这五大类网站占据了所有假冒网站的76%。这些钓鱼网站通常使用与被模仿的著名网站相似的域名,采用聊天软件、电子邮件等方式传播。以“大抽奖”、“两折机票”、“百元电脑”等方式进行诈骗。
第四节 2010年病毒特点
(1) 木马窃取的目标从网游转向网银
从瑞星截获病毒样本的数量、受害网民求助案例的数量来看,本年度木马病毒窃取的主要目标从网游、QQ等虚拟财产,全面转向网银和支付帐户,所有主流网络银行和第三方支付工具,都有受害案例出现。
针对性病毒的数量,与网银、支付工具的市场地位密切相关,比如在网络购物领域,有多种木马和钓鱼网站是针对淘宝、工商银行编写,其客户端一旦出现漏洞,马上就会被黑客利用,编写相对应的木马。
本年度最典型的病毒,当属在网上泛滥的“网银超级木马”病毒,它是国内罕见的首个针对大量网银支付平台的病毒。其盗取用户钱财的手段采取了劫持用户支付页面的方式,而非传统的直接盗取账号密码。
目前的网银木马主要攻击目标就是针对网络交易的HTTP接口中的购物网站与支付网站之间的衔接认证上存在的薄弱环节。就目前得到的针对国内网络交易的网银木马分析情况来看,主要的攻击手段为替换交易流程中的交易请求,将交易对象混淆,诱导交易者错误地将现金支付给其他账户,从而骗取现金。
(2) 病毒和木马的钓鱼式传播
图7 这些病毒看上去很像图片,但其实是exe格式的病毒
由于杀毒软件的防挂马等技术的日益成熟,之前的通过网页挂马入侵成功的概率越来越小。进入2010年,黑客开始更多地采用钓鱼式传播。
以“网银超级木马”病毒为例,黑客先在淘宝、拍拍等购物网站建立网店,然后通过聊天工具将诸如“细节图”、“报价”、“实物图”等名称的文件发给买家,这些文件图标一般为图片图标,买家打开后病毒会在后台运行,骗取钱财的成功率非常高。
瑞星公司截获到的最早的“网银超级木马”病毒始于2010年7月份,截止到12月份,共截获到该病毒的200余个变种。