瑞星2012年中国信息安全综合报告
2013-01-23 10:09:49二、 恶意网站
(一)挂马网站
1. 2012年挂马网站概述
2012年1至12月,瑞星“云安全”系统截获挂马网站516万个(以网页个数统计),比2011年同期增加了48.7%。瑞星安全专家介绍,挂马网站由于形式单一,技术上又无本质突破,所以今年不存在几年前爆发式增长的情况。同时,由于反挂马技术愈加成熟,使来自挂马网站的攻击多数被成功拦截。
报告期内,瑞星拦截挂马网站攻击的总数总计5,097万次,其中上半年1,986万次,下半年3,111万次,具体分布情况如下:
图3:2012年拦截挂马网站攻击次数
2. 2012年度挂马漏洞Top10
图4:2012年度挂马漏洞Top10
2012年1至12月,网页挂马仍主要集中利用IE浏览器的漏洞,同时,相较于2011年IE与Flash漏洞各占半壁江山的情况,本年度被挂马网站利用的Flash漏洞呈下降趋势,Java漏洞则成为黑客的新宠。瑞星安全专家介绍,报告期内,挂马网站采用的加密技术与过往相比并没有太大变化,预计今后挂马网站在数量上可能趋于平缓。
3. 教育类网站成为挂马攻击的主要目标
从2012年1至12月被挂马的网站来看,很多教育类网站和公共事业类网站遭到黑客攻击,并被插入恶意代码。究其原因,主要是由于这两类网站的安全性较为薄弱。除此之外,很多非法游戏的宣传页面也会出现嵌入恶意代码的情况,瑞星安全专家分析分析,这种情况很有可能是网站拥有者自行植入的恶意代码。
(二)钓鱼网站
1. 2012年钓鱼网站概述
2012年1至12月,瑞星共截获钓鱼网站597万个(以URL计算),比2011年增加了24.38%,帮助用户拦截钓鱼网站攻击19,909万人次,具体分布情况如下:
图5:2012年拦截钓鱼网站攻击次数
在本年度截获的钓鱼网站中,虚假中奖类网站位居榜首,占钓鱼网站总量的31%,其后依次为仿冒银行类网站,占总比例的26%;虚假在线充值类网站占总比例的15%。除此之外,虚假购物类网站与虚假网络游戏类网站二者总和占总体数量的23%。
图6:2012年截获各类钓鱼网站比例
2. 2012年度钓鱼网站Top10
图7:2012年度钓鱼网站Top10
从2012年度钓鱼网站Top10排行中可以看出:目前,钓鱼网站的主流方向仍然是盗取网民虚拟财产或钱财,经济利益成为现代黑客关注的重点。除此之外,值得注意的是,今年QQ相关的钓鱼网站及假冒电视节目中奖的网站,都在盗取网民钱财的同时,还会套取用户的个人身份信息。
3. 2012年钓鱼网站发展趋势
1) 紧随节假日、社会热点及各类打折促销
据瑞星“云安全”系统监测,报告期内,钓鱼网站多以奥运会、欧洲杯、电商大促、选秀节目和社会热点为名,并集中出现在节假日、奥运会、欧洲杯、暑期促销等时段。从2012年拦截钓鱼网站攻击次数图表中可以看出,7、8月份是全年钓鱼攻击最集中的两个月。瑞星安全专家表示,“存活时间短、题材多变是本年度钓鱼网站最突出的特点。”
2) 高度仿冒,批量生产,大规模投放
瑞星“云安全”系统监测显示,今年的钓鱼网站开始采用“批量生产”的方式大规模投放。首先,黑客会去被仿冒的网站上下载该站点的页面素材,并利用这些素材制作出模板。由于模板页面中的图片、文字本来就出自被仿冒的对象,所以内容看起来非常正规,很容易让人放松警惕。
其次,黑客会用这个极其逼真的模板进行大量复制,并对复制品的细节进行小幅修改(如商品名称、联系方式等)。同时,黑客还会海量伪造与被仿冒网站近似的域名,最终将这些“批量生产”的钓鱼网站大规模投放到网络上。
3) 套取隐私信息恐吓网民
报告期内,瑞星“云安全”系统截获的钓鱼网站开始出现了敲诈、恐吓等相关内容。例如:2012年10月,假冒“中国好声音”钓鱼网站集中出现,该钓鱼网站会在网民注册领奖的流程中提示,如果网民不遵照他们的要求致电客服,并交纳钱款,就会依照之前注册时提供的居住地址、身份证号码等信息,对网民进行起诉。
图8:钓鱼网站假冒“中国好声音”并恐吓网民
“诈骗者绝不可能起诉网民,”瑞星安全专家指出,“钓鱼网站上的该类提示都是在恐吓网民。事实上,根据2012年底颁布的网络信息保护相关规定,带有欺瞒性质的收集网民的个人身份信息行为已属于违法行为,诈骗者无论是提起诉讼还是报警,都无异于自投罗网。”
4. 2012年网络钓鱼新手段
1) 微博成为钓鱼陷阱的新平台
微博作为信息共享、互动交流的新型社交平台深受众多互联网用户青睐,同时,也成为了不法分子用来实施诈骗的工具。业内人士透露,一些微博大号都会承接信息发布业务,几百块钱就可以发一条微博,这些大号多数都拥有数十万甚至上百万粉丝,可以说,这样的宣传价格不仅十分低廉,而且受众面极广。然而,这些大号对所发布的信息多数并无审查,不法分子就是利用这个漏洞将虚假的钓鱼信息以文字、图片或者视频等形式进行大肆传播。一些安全意识薄弱的用户很容易信以为真,误入骗子的圈套。
图9:拥有大量粉丝的微博大号散播虚假信息
2) 低价诱饵 线下交易 巨额钓鱼
网络诈骗行为中,以虚假信息诈骗为多,尤其在网络交易中最为常见。而今年出现的一批专门以假冒豪车作为诱饵的虚假网站在互联网中肆意横行,这类网站通常以类似“8万买宝马,6万买奔驰”的夸张低价引诱用户,还打出“全国送货上门、支持4S店验货、代办过户套牌”等旗号消除网民顾虑。
图10:瑞星个人防火墙拦截汽车销售类钓鱼网站
不仅如此,这些网站往往采取线下交易的方式,先要求网民致电咨询,而购车流程页面上大都标注了不需要定金,采用现金交易的形式,并承诺“一手交钱,一手交车”。这让不少网民放松了警惕,然而,骗子会以各种名义让网民向其银行账户打款,同时拒绝看车。当网民向其交纳了大量的钱款后,骗子就会彻底消失。
3) 新型钓鱼颠覆传统 篡改购物页面欺骗网民
通常,大多数用户在网络购物时都会选择大型正规网购平台来购买商品,以确保购物安全。而今年发现的一种新型钓鱼手法则是专门针对大型正规网购平台而设计的,这种新型钓鱼方式完全颠覆了传统方法,利用常人想不到的技术和手段,在网店的装修功能中对店铺页面内容的布局进行修改,用图片伪造虚假信息,覆盖正常内容,在视觉上让用户误以为真。
图11:0件销量的商品假冒580件迷惑用户
随后,瑞星“云安全”系统截获到大批具有同样功能的家族式木马病毒,均可以达到篡改商品描述页面的目的。无论是电商网站还是网购用户,都有可能遭到该类病毒的袭击,不仅会使用户网购时掉入黑客陷阱,遭遇隐私泄露、网银财产被盗的危险,还会使企业面临商业机密泄露的巨大威胁。
4) 第三方支付平台审核制度不严 “信用担保”难以兑现
时下,第三方支付平台作为“代收代付”和“信用担保”的中间人模式已经广泛应用于互联网交易,买卖双方在交易过程中都希望通过第三方支付平台达到公正交易的目的。而由于部分第三方支付平台准入门槛低,服务商注册资金及资质没有严格审核标准,并且存在注册账户随意租借、买卖等现象,因此导致一些不法分子利用这样的漏洞进行网络欺诈。
据业内人士透露,在一些第三方支付平台上,只需几千元就可以买到一套以他人信息注册的账户资料,并且数日内即可开通使用。显然,这些原始登记资料并不是账户使用者的真实信息,同时使用者还可以随意将账户内的钱款转出。网民一旦与这种虚假账户的持有者进行交易,就很有可能面临货款两空的风险。这些第三方支付平台只顾自身利益,而根本无法履行信用担保的职责,用户的利益自然无法得到保障。
5) 新型攻击专盯网银动态密码 瞬间洗空账户
目前,在线支付已经成为广大网民常用的付款方式。由于普通网银的安全性相对较低,各大银行纷纷推出了动态口令、U盾等安全措施。但是,瑞星“云安全”系统发现了一种最新的网银攻击方式,它不仅可盗取用户网银的账号和密码,甚至能盗取动态口令。黑客主要利用网银动态密码的漏洞,预先在网上放出大量钓鱼网站,用户一旦登录了该网站的网银模块,账号及密码就会被发送至黑客指定的服务器。
图12:钓鱼网站利用动态口令60秒规则洗劫用户银行账号
用户登录网银模块的同时,浏览器将跳转至一个等待页面,该页面以系统升级为借口,让用户等待60秒。由于常见的动态口令规则是60秒更新一次,且在60秒内,同一口令只能使用一次。黑客便利用这个时间差,登录用户真实的网银账号,并随时等待接收来自钓鱼网站上用户输入的动态口令,进而登录用户账号,盗取钱款。由于动态密码这种防护手段被很多银行使用,黑客只需要针对不同银行的网银制作出相应的钓鱼页面,就能够随时瞄准相应的用户群,因此这种新型网银攻击方式对广大用户的危害极大。
