瑞星发布2011年度安全报告 “密码门”重塑黑色产业
2012-01-11 17:16:512012年1月10日,瑞星公司发布《瑞星2011年度安全报告》(下文简称<瑞星报告>)。报告指出,目前威胁国内互联网安全的因素主要包括三个方面:病毒和木马等恶意程序、钓鱼诈骗、黑客“拖库”攻击。黑客开始以取得的用户数据库为基础,利用“社会工程学”原理对用户进行全面的诈骗、密码猜解、身份伪造、病毒和挂马等攻击,这种新型攻击已经全面渗透到黑色产业的各个环节,显示出巨大的现实危害。
瑞星报告指出,2011年下半年MSN充值卡诈骗、QQ充值卡诈骗等案例频繁发生,就是社会工程攻击危害力的现实例证。与2010年相比,由黑客“拖库”因素带来的安全问题显著上升,包括CSDN、天涯在内的一批互联网网站用户数据库被窃取,导致用户隐私大规模被泄漏,这给整个互联网带来巨大安全风险。
报告期内,瑞星公司截获病毒922万个,比去年上升22.9%,受害网民11.7亿人次。从本年度新增病毒的种类来看,木马(trojan)共有7,087,420个,占75.66%,当之无愧成为所有恶意程序中最大的类别。
瑞星报告数据显示,单个受害用户的受损金额与往年相比有很大增长,这是因为2011年出现了多种诈骗方式:黑客通过MSN和QQ进行“老同学,帮我买几张充值卡”诈骗,利用团购进行“假iPhone诈骗”,利用搜索引擎广告来出售假冒伪劣商品等多种新型钓鱼诈骗方式,使得网民一旦中招,就会损失数千、甚至上万的金钱。
蓬勃发展的电子商务成为黑客窥测的主要对象,网购、支付、配送、推广、售后等多个环节均遭到黑客有针对性的攻击。例如,有的黑客在购物网站开设网店,以超低价格吸引网民,在砍价、咨询的过程中把捆绑了病毒的图片或文件发送给受害者,这样就可以窃取用户的支付账号,进而窃取钱财。
瑞星报告指出,黑客和病毒攻击越来越有针对性,网购、游戏等特定人群面临较大安全风险,在可预见的时间段内,这个发展趋势仍将保持。
病毒数量高位波动,木马独占总量的75.66%
报告期内,瑞星公司截获病毒922万个,比去年上升22.9%,受害网民11.7亿人次,比去年同期上升66.4%。新增的病毒中包括win32感染型病毒795,893个,占总体数量的 8.63%,已经取代后门(backdoor)成为第二大类。后门和黑客程序(hack)两类的数量几乎相等,皆以4.33%的比例并列第三。病毒释放器(dropper)、蠕虫病毒(worm)和广告程序(adware)依次排列,比例分别为2.51%、2.29%和2.25%。
从技术角度看,2011年新增病毒的编译方式正在发生巨大的变化,从传统的低级汇编语言撰写逐渐转变为类似“汇编+C语言”这样的混合撰写模式,病毒用短小精悍的汇编引导部分,去加载C语言(或其他高级语言)编写的主体,这样结构简单、工作量更小,病毒运行也更加稳定而隐秘。
截至2011年度末,瑞星共截获感染型病毒(win32)约80万个,已经成为木马之后的第二大类恶意程序。这种病毒包括了下载运行、广告程序、盗取隐私、远程控制等多种功能模块。可以说,这类病毒的结构和编写越来越简单,而能实现的功能却越来越复杂和完善。
杀毒软件永久免费打破挂马产业链
报告期内,瑞星共截获挂马网站3,471,148个,比去年同期下降了89.74%(2010年为3382万个)。其中2011年下半年截获110万,比上半年的236万有大幅下降。从数据上来看,单个挂马网站的侵害人数保持平稳,这说明黑客并未放弃网站挂马的攻击方式。
瑞星安全专家指出,“云安全”的成功应用、瑞星杀毒软件永久免费后安装量的增长,促使网民整体的安全防护能力比以前有较大提高,黑客挂马行为变得困难而高风险,从而打破了“挂马产业链”的黑色链条。
瑞星公司统计了黑客用来挂马的9大漏洞,存在漏洞的软件集中在浏览器和flash插件上。Flash作为一种纯网络化、跨平台的应用,其在移动平台上的安全风险也不可低估,例如在安卓系统上,就有可被利用来进行挂马的Flash漏洞,随着智能手机、平板运算能力的增加,未来可能在移动平台出现大量的挂马攻击。
“密码门”引爆安全恐慌 或改变黑色产业链生态
瑞星报告指出,2011年底包括天涯、新浪等一批著名网站数据库连续外泄,形成了影响整个互联网的安全大事件,给本已脆弱的互联网安全造成了巨大冲击。黑客利用这些数据库,可对网民发起多种攻击。“泄密门”事件的发生,证实了长久以来的“传言”:国内多数网站都曾遭到拖库攻击,肆虐互联网的垃圾短信、营销邮件和钓鱼网站,都是利用这些外泄的用户资料来进行的。
报告显示,泄密门不仅发生在中国互联网上,事实上,针对大型网络服务商的拖库攻击已经席卷全球,即使强大如美、日、韩等国的互联网,进入2011年以来都面临着同类问题,单单在上半年,就有日本索尼公司、美国wordpress等网站遭攻击,损失惨重。
由于拖库攻击发生在服务器上,普通网民的防护措施仅能相对降低风险,延缓黑客利用的程度,而非彻底防止泄密事件的发生。瑞星报告指出,普通用户可以采用六项措施来降低密码泄漏风险:
1、不要信任任何网站的安全防护措施,确定正确的安全策略
2、不要随意注册无关网站账号
3、不要在安全性低的网站购物,提倡货到付款方式
4、注册网站账号之后,应定时更换密码
5、利用手机软件来帮助记忆密码
6、尽量采用更多的验证方式,比如将账号与手机绑定
社会工程学被广泛利用到钓鱼诈骗中
瑞星报告认为,黑客广泛的利用社会工程学原理发动攻击,把其应用到钓鱼诈骗的各个环节之中,使得国内网民面临比以往更大的安全风险。据分析,从黑客建立网站开始,共有四个主要环节,建立网站→推广→浏览(建立信任)→支付。在这四个环节当中,黑客尤其对后三个环节不断进行创新,加强推广效果,降低体现难度。
在推广钓鱼网站的方式上,黑客主要利用了搜索引擎攻击、手机短信、IM软件、电子邮件群发等四种方式。其中搜索引擎攻击SEA(Search Engine Attack)作为一种有效的传播方式,得到了黑客的重点使用。
常见的搜索引擎攻击方式包括:利用病毒点击提高网站权值,攻击大型网站在其中放入钓鱼网站的链接,热点词优化,甚至通过购买搜索引擎广告的方式来推广钓鱼网站。种种花样翻新的攻击方式,使得网民对于钓鱼网站防不胜防。
(网络图片:搜索引擎广告中的钓鱼网站)
除了钓鱼网站之外,黑客以窃取到的用户数据库为基础,频繁尝试进行“充值卡诈骗”、“假快递诈骗”等。2011年下半年,通过QQ、MSN等聊天软件推广钓鱼网站、或直接进行诈骗的案例有大幅上升。具体表现形式为,黑客登录窃取的QQ号、MSN账号等,给其好友发送钓鱼网站,或者直接要求好友帮其购买手机充值卡、网游点卡等容易销脏的数字卡产品。中招者无法统计,数量级可能在数万到数十万之间。
瑞星安全专家介绍说,由于黑客对国内一些大型互联网站进行了“拖库攻击”,直接窃取大批用户密码,或者通过已泄露的密码去猜测其他网站的密码,在这波攻击中,IM软件未曾幸免。
2011年,黑客通过攻击大型网站来进行诈骗的案例大幅上升,很多教育网站、新闻类、科研机构网站的安全防护程度很低,但他们本身的品牌、网站权值、知名度都相当高,甚至被选入百度新闻新闻源、搜搜新闻源,当他们被黑客攻陷后,黑客在其服务器上建立钓鱼网站,当用户在搜索引擎中搜索时,就可能被引导到这些网站上,进而受骗。
网络安全需要进一步加强
瑞星报告指出,从统计数据来看,个人端的安全防护比起以往已经有了长足的进步,但企业服务器端的防护将成为整个安全链条上的薄弱环节,目前网络安全的主要矛盾已经转移到“普通网民越来越高的安全需求和目前大中型网站的安全投入不足之间的矛盾”。这给整个互联网安全带来巨大安全隐患,而CSDN、天涯等密码泄露,就是这种安全隐患的一次集中爆发。
互联网安全的改善和好转,不但需要安全技术的创新和积累,更需要各个厂商踏踏实实的努力,需要与用户资料安全需求相匹配的安全投入。安全是一切业务的基石,缺乏安全和信任的互联网,将是所有网民、网站和厂商的噩梦。
