新兴安全威胁现状是怎样的、在云计算日益普及的今天将会呈现怎样的发展、在移动互联网时代如何更好做好防御?在9月23日由360公司主办的“中国互联网安全大会上”,新兴安全威胁成为安全专家们普遍关注的重点。
新一代“骇客”怎么精确攻击目标?
美国SANS学院互联网风暴中心主管马克·萨切斯(Marc Sachs)在较早的时候说过:“现在的恶意软件的作者试图窃取用户的身份及信用卡数据,他们利用拥有的技术进行违法犯罪活动,发不义之财。他们不再选用通常的更多可归类为恶作剧式的攻击手法,而是实施有组织的破坏性的计划。他们不是想在互联网上制造混乱,而是想利用互联网谋取不义之财。”
以往的蠕虫传播往往是面向随机IP或随机账户,而有社交网络之后,犯罪份子们往往可以更精确的锁定目标。在我们发布个人状态和新闻消息时,犯罪份子可能正在微博、人人网、微信、淘宝、京东上面确认着你的行踪。没错,你的一举一动都可能被人关注着。更让人无法忍受的,是那些昧着良心把你注册信息卖给第三方的服务商。如果你是垃圾短信、垃圾邮件的受害者,你一定能体会到这种痛苦。犯罪份子和垃圾广告发送者经常用这种廉价而又高效的方式来获取用户的信息,从而为下一步行动做准备。
技术实力雄厚的攻击者可以通过窃取用户云端服务商的数据库来获得用户的个人信息和密码,普通的攻击者则更多的使用钓鱼的方式来引诱用户去点击他们精心构筑的链接……然后,他们可以冒充用户来对不知情的用户好友进行诈骗。比如在QQ上说我这几天手头紧,能否给我的帐号打几百块钱;或者直接去登录用户的游戏帐号、网店账户,将里面的虚拟货币和货款提走。甚至借用你的帐号来做跳板,去攻击另外的人。
笔者曾经遇到过一起真实案例,一个同事接到某个好友发来的微博私信,说是让她帮忙买几张游戏点卡。同事看到消息后犹豫了一下,便给那个好友打了个电话,不料好友电话关机。于是同事就给对方买下了点卡。两个小时后,该好友重新上线,发现自己的微博已被人盗用。在这起攻击事件中,犯罪份子是在确认了该微博用户电话关机的状态下,才向受害者实施诈骗的,其攻击过程的精确程度让人乍舌。
我们该如何应对威胁?
SSL、HTTPS、VPN……以往被认为是无懈可击的加密系统已被证明其并不可靠,无论是在机场还是在咖啡馆,无数的恶意AP可以让准备用Wifi上网的用户毫无察觉的交出自己的密码,还有一些高级APT形式的攻击方式则更加令人难以防范。比如,之前网上出现过一篇名叫《小心闺蜜寄来的手机》的文章,讲到了一个技术公司的女员工收到闺蜜寄来内置间谍软件的新手机,能够在用户毫无防备使用过程中,不幸将公司机密泄露。这些攻击都不再单纯是技术上的博弈,而是社会工程学和骇客行为的邪恶融合,在企业间的竞争中屡见不鲜。如果说传统威胁是犯罪份子PK电脑的话,新兴的威胁已经是犯罪份子直接来PK受害者。毫不夸张的说,从社交身份窃取到网购欺诈,目前流行的互联网威胁已进入“贴身肉搏”时代。
而面对危机四伏安全威胁,单纯的给系统打补丁、安装杀毒软件已经远远不够。国内的360等安全公司不但推出了安全防护工具,还推出了“网购先赔”等相应的安全保障服务,为产品漏报给用户造成的损失买单,这些都是缓解攻击的好办法。同时,用户也需要提高自己的安全意识:网购不贪图小便宜,不要用手机进入机密或机要的网络,不要登录使用陌生的无线网络,在使用社交网络、即时通讯、电商服务的时候主要保护个人隐私…..没有绝对的安全,但我们可以做到更好的保护,这就是首届中国互联网安全大会带来的启示。