《瑞星2011年度安全報(bào)告》發(fā)布

《瑞星2011年度安全報(bào)告》發(fā)布

瑞星分析表明，目前威脅國(guó)內(nèi)互聯(lián)網(wǎng)安全的因素主要包括三個(gè)方面：病毒和木馬等惡意程序、釣魚詐騙、黑客“拖庫(kù)”攻擊。與2010年相比，由黑客“拖庫(kù)”因素帶來(lái)的安全問(wèn)題顯著上升，包括CSDN、天涯在內(nèi)的一批互聯(lián)網(wǎng)網(wǎng)站用戶數(shù)據(jù)庫(kù)被竊取，導(dǎo)致用戶隱私大規(guī)模被泄漏，這給整個(gè)互聯(lián)網(wǎng)行業(yè)帶來(lái)巨大安全風(fēng)險(xiǎn)。釣魚詐騙帶來(lái)的安全問(wèn)題進(jìn)一步顯現(xiàn)。除了簡(jiǎn)單的“網(wǎng)頁(yè)仿冒”釣魚詐騙之外，2011年出現(xiàn)了多種詐騙方式，例如通過(guò)MSN和QQ進(jìn)行“充值卡詐騙”，利用團(tuán)購(gòu)進(jìn)行“假iPhone詐騙”等，這使得單個(gè)受害用戶的受損金額與往年相比有很大增長(zhǎng)。蓬勃發(fā)展的電子商務(wù)成為黑客窺測(cè)的主要對(duì)象，網(wǎng)購(gòu)、支付、配送、推廣、售后等多個(gè)環(huán)節(jié)均遭到黑客有針對(duì)性的攻擊。例如，有的黑客在購(gòu)物網(wǎng)站開(kāi)設(shè)網(wǎng)店，以超低價(jià)格吸引網(wǎng)民，在砍價(jià)、咨詢的過(guò)程中把捆綁了病毒的圖片或文件發(fā)送給受害者，這樣就可以竊取用戶的支付賬號(hào)，進(jìn)而竊取錢財(cái)。瑞星安全專家表示，黑客和病毒攻擊越來(lái)越有針對(duì)性，網(wǎng)購(gòu)、游戲等特定人群面臨較大安全風(fēng)險(xiǎn)，在可預(yù)見(jiàn)的時(shí)間段內(nèi)，這個(gè)發(fā)展趨勢(shì)仍將保持。2011年，中國(guó)互聯(lián)網(wǎng)安全領(lǐng)域呈現(xiàn)以下特征：1、報(bào)告期內(nèi)，瑞星共截獲病毒922萬(wàn)個(gè)，比去年上升22.9%，其中木馬病毒708萬(wàn)個(gè)，占據(jù)病毒總體數(shù)目的76.85%，是第一大種類病毒。2、報(bào)告期內(nèi)，瑞星共截獲掛馬網(wǎng)站347萬(wàn)個(gè)，比去年同期下降89.7%(去年同期為3382萬(wàn))。分析認(rèn)為，包括瑞星在內(nèi)的主流安全廠商，在今年成功實(shí)施了“云安全”技術(shù)，打破了黑色掛馬產(chǎn)業(yè)鏈的運(yùn)行，使得網(wǎng)站掛馬無(wú)利可圖，迫使黑客逐漸放棄此種攻擊手段。3、釣魚詐騙給網(wǎng)民帶來(lái)巨大損失。2011年，瑞星共截獲釣魚網(wǎng)站約480萬(wàn)個(gè)，共有1億9861萬(wàn)人次網(wǎng)民遭到釣魚網(wǎng)站攻擊，給網(wǎng)民造成的經(jīng)濟(jì)損失至少200億元。每次社會(huì)熱點(diǎn)，都成為黑客進(jìn)行釣魚的推手，例如2011年上半年的團(tuán)購(gòu)熱，黑客就推出了大量假團(tuán)購(gòu)網(wǎng)站，通過(guò)出售假冒iPhone、假充值卡等獲利。4、假Q(mào)Q、假“非常6+1”、假淘寶，成為排行前三的釣魚網(wǎng)站類型，黑客常用的騙術(shù)仍然是傳統(tǒng)的“你的QQ中大獎(jiǎng)了，需要交幾萬(wàn)的稅”、“淘寶十周年，您抽中了iPad2，需要交200元郵費(fèi)”。與往年不同的是，黑客開(kāi)始利用新浪微博、QQ空間的漏洞，在上面架設(shè)釣魚網(wǎng)站，使得這些網(wǎng)站的欺騙性增加。5、全國(guó)各地陸續(xù)爆出案值從幾萬(wàn)到幾十萬(wàn)、上百萬(wàn)的黑客釣魚案例，2010年瑞星曾經(jīng)指出的黑客釣魚潮得到了事實(shí)驗(yàn)證。這些案例通常受害人數(shù)不多，但案值很高，根據(jù)媒體報(bào)道，江蘇省吳江市某90后黑客，通過(guò)淘寶網(wǎng)進(jìn)行釣魚詐騙，作案200余起，獲利12萬(wàn)元。6、針對(duì)大型互聯(lián)網(wǎng)企業(yè)的“拖庫(kù)”攻擊愈演愈烈。包括索尼PSN、韓國(guó)《冒險(xiǎn)島》、中國(guó)CSDN等一批著名公司的用戶資料被竊。黑客可以利用這些數(shù)據(jù)庫(kù)，從中分析出用戶的使用行為、購(gòu)物習(xí)慣，有針對(duì)性地發(fā)動(dòng)釣魚攻擊。臨近年底，包括MSN、QQ等聊天軟件均出現(xiàn)“充值卡”詐騙，專家懷疑與此類“拖庫(kù)”攻擊有關(guān)。7、在黑客所有的主流攻擊手法中，正在從以技術(shù)為主的“硬黑客攻擊”發(fā)展到以心理學(xué)、社會(huì)工程學(xué)、商業(yè)數(shù)據(jù)分析等多個(gè)領(lǐng)域綜合的“軟黑客攻擊”為主，這些攻擊通常不會(huì)對(duì)用戶形成明顯的損害，但會(huì)極大地干擾用戶的正常生活和商業(yè)秩序，例如黑客對(duì)搜索引擎發(fā)動(dòng)的SEA(SearchEngineAttack)攻擊，通過(guò)病毒行為來(lái)干擾搜索結(jié)果的正常排序，從而把用戶引導(dǎo)到惡意網(wǎng)站。第一節(jié)年度安全狀況總結(jié)(1)病毒數(shù)量高位波動(dòng)，危害仍然不可小覷報(bào)告期內(nèi)，瑞星公司截獲病毒922萬(wàn)個(gè)，比去年上升22.9%，受害網(wǎng)民11.7億人次。從本年度新增病毒的種類來(lái)看，木馬(trojan)共有7，087，420個(gè)，占76.85%，當(dāng)之無(wú)愧成為所有惡意程序中最大的類別。與往年不同的是，2011年新增的病毒中包括win32感染型病毒795，893個(gè)，占總體數(shù)量的8.63%，已經(jīng)取代后門(backdoor)成為第二大類。后門和黑客程序(hack)兩類的數(shù)量幾乎相等，皆以4.33%的比例并列第三。病毒釋放器(Dropper)、蠕蟲病毒(worm)和廣告程序(adware)依次排列，比例分別為2.51%、2.29%和2.25%。(2)十大病毒排行2011年共11.7億人次網(wǎng)民被病毒感染，按感染人數(shù)、變種數(shù)量和代表性進(jìn)行綜合評(píng)估，瑞星評(píng)選出了2011年的十大病毒。(3)病毒技術(shù)趨勢(shì)：病毒更簡(jiǎn)單功能多元化根據(jù)瑞星研發(fā)團(tuán)隊(duì)對(duì)2011年新增感染型病毒樣本的感染行為分析來(lái)看，病毒的編譯方式正在發(fā)生巨大的變化，從傳統(tǒng)的低級(jí)匯編語(yǔ)言撰寫逐漸轉(zhuǎn)變?yōu)轭愃啤皡R編+C語(yǔ)言”這樣的混合撰寫模式，病毒用短小精悍的匯編引導(dǎo)部分，去加載C語(yǔ)言(或其他高級(jí)語(yǔ)言)編寫的主體，這樣結(jié)構(gòu)簡(jiǎn)單、工作量更小，病毒運(yùn)行也更加穩(wěn)定而隱秘。5月份，瑞星發(fā)布安全警告指出，“未來(lái)用高級(jí)語(yǔ)言編寫病毒會(huì)在未來(lái)形成主流”，事實(shí)上，截至2011年度末，瑞星共截獲感染型病毒(win32)約80萬(wàn)個(gè)，已經(jīng)成為木馬之后的第二大類惡意程序。這種病毒包括了下載運(yùn)行、廣告程序、盜取隱私、遠(yuǎn)程控制等多種功能模塊?？梢哉f(shuō)，這類病毒的結(jié)構(gòu)和編寫越來(lái)越簡(jiǎn)單，而能實(shí)現(xiàn)的功能卻越來(lái)越復(fù)雜和完善。從瑞星截獲的病毒樣本來(lái)看，感染型病毒并不是以傳播作為最終目的，而是作為其他病毒程序的跳板，將它們傳播到計(jì)算機(jī)的各個(gè)角落后，再將其載體激活后完成最終的目的。這類病毒就像空軍的“運(yùn)輸機(jī)”，它的作用就是騙過(guò)系統(tǒng)和殺毒軟件，把各種各樣的病毒運(yùn)到目的地。從感染型病毒的發(fā)展趨勢(shì)來(lái)看，木馬與病毒的界限越來(lái)越模糊，功能趨向統(tǒng)一化。傳統(tǒng)意義上木馬和病毒的區(qū)分主要在于他們的特征，木馬善于潛伏并完成某種預(yù)先設(shè)定的功能，而病毒主要擁有感染傳播的能力。就目前的感染型病毒的發(fā)展趨勢(shì)來(lái)看，感染型病毒逐漸采納了木馬程序的編寫手段和功能，而木馬程序的傳播途徑上又存在著與感染型病毒趨近的趨勢(shì)，這兩種病毒“長(zhǎng)得越來(lái)越像”。惡意程序都是出于某種特殊目的而產(chǎn)生的，病毒的制作者也會(huì)考慮到各種不同惡意程序的優(yōu)處和不足，并使之相互彌補(bǔ)和融合。但總體上，不論木馬還是病毒的發(fā)展趨勢(shì)都是向著簡(jiǎn)單高效的開(kāi)發(fā)方式發(fā)展的，功能上的相互融合使感染型病毒擁有了前所未有的對(duì)被感染機(jī)器的控制能力和隱蔽性。(4)掛馬網(wǎng)站保持平穩(wěn)瑞星“云安全”數(shù)據(jù)中心的統(tǒng)計(jì)表明，2011年截獲的掛馬網(wǎng)站，比去年同期下降了89.74%。分析其中的原因，瑞星安全專家指出，“云安全”的成功應(yīng)用、瑞星殺毒軟件永久免費(fèi)后安裝量的增長(zhǎng)，促使網(wǎng)民整體的安全防護(hù)能力比以前有較大提高，黑客掛馬行為變得困難而高風(fēng)險(xiǎn)，從而打破了“掛馬產(chǎn)業(yè)鏈”的黑色鏈條。報(bào)告期內(nèi)，瑞星共截獲掛馬網(wǎng)站3，471，148個(gè)，受害網(wǎng)民8065萬(wàn)。其中下半年截獲110萬(wàn)，比上半年的236萬(wàn)有大幅下降。從數(shù)據(jù)上來(lái)看，單個(gè)掛馬網(wǎng)站的侵害人數(shù)保持平穩(wěn)，這說(shuō)明黑客并未放棄網(wǎng)站掛馬的攻擊方式。瑞星公司統(tǒng)計(jì)了黑客用來(lái)掛馬的9大漏洞，存在漏洞的軟件集中在瀏覽器和flash插件上，其中5個(gè)漏洞與IE有關(guān)，3個(gè)與AdobeFlashPlayer有關(guān)。Flash作為一種純網(wǎng)絡(luò)化、跨平臺(tái)的應(yīng)用，其在移動(dòng)平臺(tái)上的安全風(fēng)險(xiǎn)也不可低估，例如在安卓系統(tǒng)上，就有可以被利用來(lái)進(jìn)行掛馬的Flash漏洞，隨著智能手機(jī)、平板運(yùn)算能力的增加，未來(lái)可能在移動(dòng)平臺(tái)出現(xiàn)大量的掛馬攻擊。目前，網(wǎng)絡(luò)上仍充斥著大量“掛馬網(wǎng)站”，廣大網(wǎng)民應(yīng)該提高安全意識(shí)，可以安裝永久免費(fèi)的瑞星殺毒軟件和防火墻，其中含有的智能反釣魚技術(shù)和防掛馬技術(shù)，可以攔截釣魚網(wǎng)站和掛馬網(wǎng)站，幫助用戶抵御安全風(fēng)險(xiǎn)。(注)掛馬網(wǎng)站：指的是被黑客植入惡意代碼的正規(guī)網(wǎng)站，這些被植入的惡意代碼，通常會(huì)直接指向“木馬網(wǎng)站”的網(wǎng)絡(luò)地址。木馬網(wǎng)站：是一種利用程序漏洞，在后臺(tái)偷偷下載木馬的網(wǎng)頁(yè)。這些網(wǎng)頁(yè)通常放在黑客自己管理的服務(wù)器上，當(dāng)用戶訪問(wèn)時(shí)，會(huì)把許多木馬下載到用戶機(jī)器中運(yùn)行。第二節(jié)席卷互聯(lián)網(wǎng)的密碼風(fēng)暴12月4日，匿名黑客將CSDN網(wǎng)站的密碼庫(kù)截圖上傳到專業(yè)安全論壇，但當(dāng)時(shí)并未引人注目，21日有人在新浪微博上放出了這個(gè)密碼庫(kù)的迅雷下載地址。這驗(yàn)證了長(zhǎng)久以來(lái)在互聯(lián)網(wǎng)上存在的一個(gè)傳言：國(guó)內(nèi)多家大型網(wǎng)站曾被“拖庫(kù)”，但因?yàn)闆](méi)有確鑿的證據(jù)無(wú)法得到驗(yàn)證(《瑞星2011上半年安全報(bào)告》中記錄了相關(guān)內(nèi)容)。隨后，包括天涯、新浪等一批著名網(wǎng)站數(shù)據(jù)庫(kù)連續(xù)外泄，形成了2011年末影響整個(gè)互聯(lián)網(wǎng)的安全大事件，給本已脆弱的互聯(lián)網(wǎng)安全造成了巨大沖擊。在本報(bào)告后半部分，瑞星專家剖析了黑客推廣釣魚網(wǎng)站的手法、增加用戶信任度的方法等，在這些推廣方式中，外泄的密碼庫(kù)起到了關(guān)鍵性的作用。1、為什么會(huì)出現(xiàn)這樣大規(guī)模的密碼泄漏？從已經(jīng)公開(kāi)的資料來(lái)看，這些網(wǎng)站不同程度地使用明文存儲(chǔ)用戶的數(shù)據(jù)庫(kù)，這是造成如此大規(guī)模用戶資料泄漏的根本原因。按照正常的安全流程，所有網(wǎng)站(不分大小，小網(wǎng)站也得加密)的數(shù)據(jù)庫(kù)都必須經(jīng)過(guò)加密后才能存儲(chǔ)在服務(wù)器上，加密標(biāo)準(zhǔn)要求為：唯一、不可逆。目前應(yīng)用較多的不可逆加密算法包括RSA公司發(fā)明的MD5算法和由美國(guó)國(guó)家標(biāo)準(zhǔn)局建議的不可逆加密標(biāo)準(zhǔn)SHS(SecureHashStandard-安全雜亂信息標(biāo)準(zhǔn))等。但事實(shí)上，很多網(wǎng)站、甚至是大型網(wǎng)站不知道什么原因，都采用了明文的方式把用戶數(shù)據(jù)庫(kù)儲(chǔ)存在自己的服務(wù)器上。有的是整體庫(kù)未加密(如CSDN)，有的是某項(xiàng)業(yè)務(wù)的用戶數(shù)據(jù)庫(kù)未加密(如新浪愛(ài)問(wèn))。這就導(dǎo)致當(dāng)黑客獲取服務(wù)器權(quán)限之后，可以像看自己電腦上的文本文件一樣瀏覽用戶名和密碼，導(dǎo)致大規(guī)模密碼及其他信息外泄。2、密碼外泄是中國(guó)網(wǎng)站獨(dú)有的嗎，國(guó)外網(wǎng)站是什么情況？事實(shí)上，互聯(lián)網(wǎng)沒(méi)有國(guó)界之分，即使強(qiáng)大如美、日、韓等國(guó)的互聯(lián)網(wǎng)，進(jìn)入2011年以來(lái)都面臨著同類問(wèn)題，在《瑞星2011年上半年安全報(bào)告》中指出，單單在上半年，就有日本索尼公司、美國(guó)wordpress等網(wǎng)站遭攻擊，損失慘重。4月21日下午，索尼PSN網(wǎng)絡(luò)遭黑客攻擊，波及包括美國(guó)、日本、歐洲等地幾乎全球各地的所有PSN用戶，PSN幾乎陷入了徹底的癱瘓。黑客入侵者竊取了大約7700萬(wàn)份PSN個(gè)人信息以及2700萬(wàn)個(gè)Qriocity(云音樂(lè)服務(wù))賬戶。被竊的7700萬(wàn)份PSN個(gè)人信息當(dāng)中，包括1000多萬(wàn)個(gè)信用卡賬戶，涉及57個(gè)國(guó)家和地區(qū)。而2700萬(wàn)個(gè)Qriocity賬戶中，也同時(shí)包含了用戶的姓名、地址和密碼等敏感信息。索尼數(shù)據(jù)遭竊案受影響的用戶可能超過(guò)1億人，堪稱史上規(guī)模最大的用戶數(shù)據(jù)失竊案。4月，W遭到攻擊，其服務(wù)器被黑客入侵，并盜走了部分源代碼和資料，導(dǎo)致VIP客戶的隱私信息外泄。在此次事件中可能泄露的眾多網(wǎng)站源代碼中，可能包括API密鑰和Twitter、Facebook密碼等敏感信息。WordP服務(wù)于1800萬(wàn)博客和網(wǎng)站，其中包括TED、CBS和TechCrunch博客等，其服務(wù)網(wǎng)站占全球網(wǎng)站數(shù)量的10%。3、針對(duì)這些密碼外泄，普通網(wǎng)民可以采取的六種防范措施目前我們看到的問(wèn)題在于：大型互聯(lián)網(wǎng)公司在服務(wù)器端出現(xiàn)了安全問(wèn)題，用戶即使在自己電腦上做再多的防護(hù)措施，也無(wú)濟(jì)于事，用戶面對(duì)這些密碼泄露問(wèn)題幾乎毫無(wú)辦法。在這種情況下，普通用戶只能通過(guò)采取下列措施來(lái)緩和密碼外泄的風(fēng)險(xiǎn)，但不能從根本上解決密碼泄漏問(wèn)題：(1)不要信任任何網(wǎng)站的安全防護(hù)措施，不要覺(jué)得他們是大網(wǎng)站就一定能保護(hù)好自己的密碼。連CSDN這樣的專業(yè)網(wǎng)站、天涯、新浪這樣的領(lǐng)頭羊企業(yè)都會(huì)出現(xiàn)密碼外泄問(wèn)題，我們只能假定一切密碼都時(shí)刻面臨外泄風(fēng)險(xiǎn)，在此基礎(chǔ)上確定自己的安全策略。(2)不要隨意注冊(cè)無(wú)關(guān)網(wǎng)站賬號(hào)，不要透露太多的個(gè)人信息，用戶名、賬號(hào)和密碼盡量用隨機(jī)數(shù)字，這樣可以把網(wǎng)絡(luò)和現(xiàn)實(shí)生活的影響降到最低。例如，注冊(cè)論壇的時(shí)候，IDwangxiaoming的安全性就比wag@！Jdm這樣的賬號(hào)低。因?yàn)楹诳驮讷@取用戶的賬號(hào)和密碼后，需要對(duì)其中的賬號(hào)進(jìn)行分類整理，一旦能把這些賬號(hào)和身份證、銀行卡等對(duì)應(yīng)起來(lái)，就會(huì)展開(kāi)詐騙或者釣魚。我們需要做的就是打破這個(gè)循環(huán)，盡量不要讓黑客了解到自己的信息。(3)不要輕易在安全性低的網(wǎng)站購(gòu)物，尤其是電商網(wǎng)站。一般的電子商務(wù)網(wǎng)站都會(huì)記錄用戶的銀行卡信息(如果你使用銀行卡支付)，記錄用戶的電話號(hào)碼(用來(lái)送貨)，有的會(huì)記錄你的身份證號(hào)(比如你需要實(shí)名購(gòu)買手機(jī)號(hào)碼的時(shí)候)，在這樣情況下，黑客一旦攻擊成功，會(huì)獲取所有有價(jià)值的信息。如果有必要購(gòu)物，可以采用”貨到付款”的方式，送貨地址可以填寫公司地址(不要填寫家庭地址)。(4)注冊(cè)網(wǎng)站賬號(hào)之后，應(yīng)定時(shí)更換密碼。比如每個(gè)月把自己所有的賬號(hào)密碼都改為全新的密碼。這樣即使黑客竊取了你的密碼，除非在一個(gè)月內(nèi)進(jìn)行登錄、詐騙等，否則你就會(huì)改為新密碼，從而使他竊取的密碼失效。(5)如果注冊(cè)多個(gè)密碼，用戶的記憶力將會(huì)面臨挑戰(zhàn)，普通網(wǎng)民可以把賬號(hào)密碼寫在隨身的本子上，或者記錄在手機(jī)上，瑞星手機(jī)安全軟件就提供了密碼記錄功能。(6)如果有必要，可以采取“密碼和手機(jī)綁定”的方式，比如支付寶、銀行都提供了這種方式來(lái)加強(qiáng)密碼的安全性。這樣綁定之后，一旦有賬號(hào)變動(dòng)異常，用戶會(huì)及時(shí)收到消息，及時(shí)申訴降低損失。本節(jié)小結(jié)盡管“拖庫(kù)”攻擊是個(gè)存在很久的攻擊手法，但直到2011年年底，這個(gè)概念才被普通網(wǎng)民所知。由于這種攻擊針對(duì)的是互聯(lián)網(wǎng)網(wǎng)站的服務(wù)器端，如果各大網(wǎng)站在服務(wù)器端仍然堅(jiān)持目前這種安全水準(zhǔn)的話，同樣的泄密事件會(huì)一直存在下去，用戶幾乎毫無(wú)辦法。本節(jié)主要討論了普通網(wǎng)民應(yīng)該進(jìn)行的預(yù)防性措施，對(duì)于互聯(lián)網(wǎng)網(wǎng)站應(yīng)該如何預(yù)防此類攻擊，瑞星公司將在隨后發(fā)布的企業(yè)級(jí)安全報(bào)告中詳細(xì)闡述。第三節(jié)釣魚網(wǎng)站和社會(huì)工程學(xué)攻擊隨著對(duì)2011年網(wǎng)絡(luò)釣魚案例、黑客攻擊案例的統(tǒng)計(jì)分析，瑞星安全專家認(rèn)為單純地把那些利用社會(huì)工程學(xué)原理發(fā)動(dòng)的網(wǎng)絡(luò)攻擊命名為“釣魚網(wǎng)站”，已經(jīng)不能準(zhǔn)確描述這種攻擊手法的本質(zhì)，社會(huì)工程學(xué)攻擊(利用人與人之間的信任、踐踏社會(huì)基本的商業(yè)準(zhǔn)則，夾雜在利益當(dāng)中)使得國(guó)內(nèi)網(wǎng)民面臨比以往更大的安全風(fēng)險(xiǎn)。(*社會(huì)工程學(xué)攻擊是一種利用人的弱點(diǎn)獲取系統(tǒng)口令、關(guān)鍵安全信息、金錢利益的攻擊方法，這些弱點(diǎn)包括人的本能反應(yīng)、好奇心、信任、貪便宜等，在此類攻擊中通常包括了諸如欺騙、傷害等危害手段，采用傳統(tǒng)安全方法無(wú)法杜絕社會(huì)工程學(xué)攻擊。)盡管目前的“釣魚網(wǎng)站”最終的表現(xiàn)形式仍然是“建立假網(wǎng)站→吸引用戶花錢”，但建立假網(wǎng)站之后如何吸引用戶，怎么讓用戶知道這個(gè)假網(wǎng)站，訪問(wèn)假網(wǎng)站之后如何增加用戶的信任感，如何欺騙搜索引擎從而獲取更好的搜索排名，如何把用戶被騙的錢取走(銀行都是實(shí)名制，如有大量的異常資金往來(lái)，很難瞞過(guò)監(jiān)管部門)，這些環(huán)節(jié)在以前都讓黑客撓頭，現(xiàn)在他們想出了種種方法來(lái)規(guī)避。下面，瑞星安全專家將對(duì)2011年的黑客釣魚活動(dòng)進(jìn)行深入分析。從黑客建立網(wǎng)站開(kāi)始，有四個(gè)主要環(huán)節(jié)，建立網(wǎng)站→推廣→瀏覽(建立信任)→支付。在這四個(gè)環(huán)節(jié)當(dāng)中，黑客尤其對(duì)后三個(gè)環(huán)節(jié)不斷進(jìn)行創(chuàng)新，加強(qiáng)推廣效果，降低提現(xiàn)難度。第一、黑客推廣釣魚網(wǎng)站的四大常用手法根據(jù)瑞星研究團(tuán)隊(duì)的分析，2011年黑客主要通過(guò)搜索引擎攻擊(SEA)、IM軟件、電子郵件群發(fā)、手機(jī)短信等四種方式推廣釣魚網(wǎng)站：(1)搜索引擎攻擊SEA(SearchEngineAttack)。作為網(wǎng)民獲取信息的主要途徑，搜索引擎在黑客推廣釣魚網(wǎng)站上起到了不可替代的作用。黑客們會(huì)追蹤搜索引擎上的熱門詞匯，針對(duì)這些熱門詞匯做出調(diào)整和優(yōu)化，使得網(wǎng)民在搜索的時(shí)候，假網(wǎng)站排在前列。有的甚至花費(fèi)重金，購(gòu)買搜索引擎廣告。在搜索引擎攻擊中，常見(jiàn)的攻擊手法包括：A、病毒點(diǎn)擊。黑客利用自己掌握的“僵尸網(wǎng)絡(luò)(*注)”搜索熱門詞，點(diǎn)擊其中的釣魚網(wǎng)站(假網(wǎng)站)，讓搜索引擎以為“這個(gè)網(wǎng)站具有高質(zhì)量?jī)?nèi)容，所以很多用戶喜歡”，提高釣魚網(wǎng)站的權(quán)值。這樣當(dāng)網(wǎng)民搜索熱門詞的時(shí)候，這些釣魚網(wǎng)站就會(huì)排在正常網(wǎng)站的前面，誤導(dǎo)網(wǎng)民。(注)“僵尸網(wǎng)絡(luò)”：通過(guò)各種手段在大量計(jì)算機(jī)中植入特定的惡意程序，使控制者能夠通過(guò)相對(duì)集中的若干計(jì)算機(jī)直接向大量計(jì)算機(jī)發(fā)送指令的攻擊網(wǎng)絡(luò)。攻擊者通常利用這樣大規(guī)模的僵尸網(wǎng)絡(luò)實(shí)施各種其他攻擊活動(dòng)。B、讓釣魚網(wǎng)站出現(xiàn)在搜索引擎的特定區(qū)域。這些特定區(qū)域包括：熱門詞的前三頁(yè)搜索結(jié)果、搜索排行榜、搜索問(wèn)答的熱門話題等。在這些特定區(qū)域中，普通用戶可以插入內(nèi)容，比如在百度知道的熱門問(wèn)題中，有關(guān)減肥、美容、癌癥等內(nèi)容的答案里。就有若干詐騙類網(wǎng)站的鏈接；而在排行榜類區(qū)域中，除非進(jìn)行人工干預(yù)，否則黑客可以利用病毒、木馬來(lái)模擬網(wǎng)民搜索行為，從而使得顯示的結(jié)果失真，這也就是所謂的“惡性SEO(SearchEngineOptimization)”C、熱點(diǎn)詞優(yōu)化。這類行為通常發(fā)生在某個(gè)“門事件”之后，例如“艷照門”、“X臥底”等媒體爆炒的事件之后，主流搜索引擎的結(jié)果中會(huì)出現(xiàn)大量的惡意網(wǎng)站結(jié)果，包括帶毒網(wǎng)站、詐騙網(wǎng)站、出售假冒偽劣商品的釣魚網(wǎng)站等等。D、購(gòu)買搜索引擎廣告。據(jù)媒體報(bào)道，湖北一網(wǎng)民在搜索“中國(guó)移動(dòng)湖北網(wǎng)上營(yíng)業(yè)廳”時(shí)，搜索引擎提供的廣告是釣魚網(wǎng)站，被騙話費(fèi)100元。2011年12月，公安部經(jīng)濟(jì)犯罪偵查局發(fā)布警告，列舉了多起用戶在搜索引擎上遭遇釣魚詐騙的案例。(網(wǎng)絡(luò)圖片：搜索引擎廣告中的釣魚網(wǎng)站)黑客攻擊大型網(wǎng)站，在其中放入釣魚網(wǎng)站的鏈接，欺騙搜索引擎，提升釣魚網(wǎng)站的權(quán)值，這樣可以使網(wǎng)民誤以為所進(jìn)入的釣魚網(wǎng)站是大網(wǎng)站的子站或者分站，從而提升釣魚網(wǎng)站的可信度，使網(wǎng)民更容易受騙。(2)利用QQ、MSN等IM軟件推廣釣魚網(wǎng)站，或直接詐騙從瑞星的監(jiān)測(cè)結(jié)果來(lái)看，2011年下半年，通過(guò)QQ、MSN等聊天軟件推廣釣魚網(wǎng)站，或直接進(jìn)行詐騙的案例有大幅上升。具體表現(xiàn)形式為，黑客登錄竊取的QQ號(hào)、MSN賬號(hào)等，給其好友發(fā)送釣魚網(wǎng)站，或者直接要求好友幫其購(gòu)買手機(jī)充值卡、網(wǎng)游點(diǎn)卡等容易銷臟的數(shù)字卡產(chǎn)品。中招者無(wú)法統(tǒng)計(jì)，數(shù)量級(jí)可能在數(shù)萬(wàn)到數(shù)十萬(wàn)之間。2011年12月，MSN中國(guó)發(fā)表聲明，稱已經(jīng)注意到部分MSN用戶遇到賬號(hào)密碼被盜的問(wèn)題，MSN中國(guó)非常關(guān)注，已經(jīng)向美國(guó)總部匯報(bào)，并立即展開(kāi)了調(diào)查，但是被盜賬戶數(shù)量和事件原委截至發(fā)稿時(shí)還沒(méi)有最終結(jié)果。(騙子利用MSN盜號(hào)詐騙圖例)瑞星安全專家介紹說(shuō)，這是黑客對(duì)國(guó)內(nèi)一些大型互聯(lián)網(wǎng)站進(jìn)行了“拖庫(kù)攻擊”，直接竊取大批用戶密碼，或者通過(guò)已泄露的密碼去猜測(cè)其他網(wǎng)站的密碼，在這波攻擊中，IM軟件未曾幸免。(3)利用郵件推廣釣魚網(wǎng)址黑客在網(wǎng)上購(gòu)買外泄的用戶資料，針對(duì)性地向某些用戶發(fā)送釣魚郵件，這樣可以極大地提高詐騙成功率。比如網(wǎng)上可以買到“淘寶每個(gè)月的活躍賬戶”、“當(dāng)當(dāng)高級(jí)買家賬戶”等，黑客會(huì)向這些已經(jīng)習(xí)慣網(wǎng)購(gòu)的買家發(fā)送釣魚網(wǎng)址，詐騙錢財(cái)。(4)利用手機(jī)短信推廣釣魚網(wǎng)址黑客在網(wǎng)上購(gòu)買大批用戶資料，利用某些地區(qū)對(duì)于垃圾短信監(jiān)管不嚴(yán)的漏洞，使用手機(jī)短信群發(fā)技術(shù)，給特定人群定向發(fā)動(dòng)釣魚短信，詐騙錢財(cái)，出售假冒偽劣商品等，這種方式相對(duì)隱蔽，詐騙成功率很高。第二、黑客加強(qiáng)釣魚網(wǎng)站信任度的三種常用方法推廣只是讓用戶“瀏覽釣魚網(wǎng)站”，但因?yàn)槊襟w的宣傳、有關(guān)部門的警告和瑞星這樣的專業(yè)安全公司持之以恒的努力，現(xiàn)在的網(wǎng)民一般都具有很高的警覺(jué)性，在這種情況下，黑客們常用以下三種方法來(lái)提升假網(wǎng)站的信任度。(1)在新浪博客、QQ空間等著名站點(diǎn)建立假網(wǎng)站來(lái)加強(qiáng)信任度傳統(tǒng)上，釣魚網(wǎng)站都會(huì)在自己頁(yè)面上仿制大量偽造的證書、榮譽(yù)、PS過(guò)的名人照片等，加強(qiáng)自己的信任度。2011年里，黑客們?cè)诩夹g(shù)上進(jìn)行了更高級(jí)別的偽裝，比如，利用新浪博客、QQ空間等著名網(wǎng)站的子服務(wù)來(lái)構(gòu)建假網(wǎng)站，這樣空間和域名都是真的，再配上與這些名牌網(wǎng)站相關(guān)的“新浪10周年大抽獎(jiǎng)”、“騰訊公司傾情回饋用戶”，這樣對(duì)于普通網(wǎng)民來(lái)講，可信程度就會(huì)大大增加。(騙子利用網(wǎng)易博客構(gòu)建的假網(wǎng)站)(2)利用相關(guān)站點(diǎn)推廣來(lái)增強(qiáng)信任度比如，黑客在新浪微博大量發(fā)送“您已經(jīng)中獎(jiǎng)了”的消息，再鏈接到新浪博客上建立的“釣魚網(wǎng)站”，這樣的騙術(shù)可信度就會(huì)變得很高，足以騙過(guò)大多數(shù)普通網(wǎng)民。(3)攻擊正常網(wǎng)站，在上面放推廣鏈接現(xiàn)在很多教育網(wǎng)站、新聞?lì)?、科研機(jī)構(gòu)網(wǎng)站的安全防護(hù)程度很低，但他們本身的品牌、網(wǎng)站權(quán)值、知名度都相當(dāng)高，甚至被選入百度新聞新聞源、搜搜新聞源，當(dāng)他們被黑客攻陷后，黑客在其服務(wù)器上建立釣魚網(wǎng)站，當(dāng)用戶在搜索引擎中搜索時(shí)，就可能被引導(dǎo)到這些網(wǎng)站上，進(jìn)而受騙。(黑客攻擊中南大學(xué)網(wǎng)站圖例)第三、黑客在支付環(huán)節(jié)的“創(chuàng)新”除了“推廣”和“加強(qiáng)信任”兩個(gè)環(huán)節(jié)之外，黑客在支付環(huán)節(jié)上的“創(chuàng)新”也不可低估。隨著淘寶、支付寶等在人們生活中的廣泛應(yīng)用，網(wǎng)絡(luò)支付越來(lái)越便捷，一些過(guò)去很難”銷臟”的貨物也變得好出手，比如手機(jī)充值卡、各種商場(chǎng)超市的預(yù)付卡，甚至國(guó)外的第三方支付工具等