恶意软件
感染恐惧
网上罪犯在2008年最常用来非法敛财的方法是利用伪装的防病毒软件,也称为恐吓性软件(scare ware)或欺诈软件(rogue ware)。这类攻击利用用户对IT安全的恐惧,让他们误以为计算机发生问题,其实计算机一切安好。
通常,恐吓性软件会以弹出式广告或冒充下载程序的形式置入在网站上。不过,也曾经有黑客利用垃圾邮件寄送恐吓性软件或其链接,以传统的社会工程(social engineering)伎俩蒙骗用户去点击附件或链接。仅在其中一个垃圾邮件捕捉陷阱里,Sophos每天就侦测到约5000封这类电子邮件。
含有恐吓性软件链接的网站通常有伪装的安全软件,以捏造的评论说明清除病毒的假效果。这些网站有时候也会窃取用户的信用卡资料。
黑客集团伪造网站的技巧越来越纯熟,可快速制作出具专业外表的假网站,冒充合法的安全供应商。平均而言,Sophos每天发现5个新的恐吓性软件网站,这个数据偶尔会攀升为每天发现超过20个此类网站。即使是成立已久的安全品牌如Norton AntiVirus和AVG也是黑客的目标。
有些合法软件公司甚至可能卷入诈欺案件,因为伪造的广告利用恐吓性软件来增加合法产品的销售。
恐吓性软件问题背后操盘手的动机,在Lee Shin-ja的案例中变得显而易见。Lee Shin-ja是韩国防病毒公司的前任首席执行官。Lee据称自2005年起已牟取逾980万美元的私利,他利用免费的反间谍软件程序,显示假造的安全警告并引导用户购买他公司的Doctor Virus清除病毒方案。
值得注意的是,恐吓性软件的问题并不限于Windows计算机。2008年2月,Sophos发现的恐吓性软件行动即同时以Windows和Apple Mac用户为目标。
移动装置的恶意软件
经由U盘来传输的恶意软件的比例也在增加。也许在2008年发生的与U盘中恶意软件相关的最奇特事件,就是宇航员因为未采取严格的安全措施而感染了国际太空站上的计算机。
社交网络上的恶意软件攻击
2008年的恶意软件比从前更喜欢利用社交网络来散播。8月时,Facebook坦承有多达1800名用户的用户文档已遭到秘密安装的木马程序窜改,并显示一张宫廷弄臣吹动覆盆子果实的动画影像。
Facebook会员也在交友网络上收到被黑掉的友人账户寄出的信件,含有第三方网站的链接,专门感染收件人的计算机。黑客因为入侵Facebook账户而尝到甜头,他们窃取用户名称和密码,接着利用用户文档作为跳板,大肆散布恶意软件攻击和垃圾邮件。
此外,尚有第三方Facebook应用程序,专门显示让人烦恼的弹出式广告。不过,自从Facebook更换用户界面,让第三方应用程序并不显眼以后,这类威胁也大幅减少。
利用更多程序弱点
除了寻找操作系统和浏览器弱点来下手以外,黑客同时也在其它普遍使用的程序和工具(例如Adobe Flash和PDF)中寻找安全漏洞。
恶意的Flash和PDF档案数量攀升的部份原因,在于使用恶意软件建构工具所建立的网页攻击页面含有诡雷代码(booby-trapped code)。包含Flash和PDF内容即可对普遍使用的Adobe浏览器插件弱点展开攻击,表示这些程序必须随时更新。
除此之外,2008年内核模式rootkit的数量增加了46%。这些rootkit企图躲避传统安全产品的侦测,利用精密的低阶操作系统技巧来隐藏自己。
恶意软件的所在位置
Sophos Labs的研究发现恶意软件总共有44种不同的语言,然而所检查的恶意软件样本中,有47.9%无法撷取其所在位置的信息。
全部恶意软件中有11.6%位在中国。这样的比例比2007年稍低,当时中国的黑客释出的恶意代码占21%而且都来自特定区域。确切的语言分类如下:
‧ 英语系国家-24.5%
‧ 汉语-11.6%
‧ 德语-3.7%
‧ 法语-3.1%
‧ 俄语-3.0%
‧ 葡萄牙语-1.6%
‧ 其它-4.6%
该分析同时发现全球不同的黑客集团之间的动机和惯用技巧存在相当有趣的差异性。大部份中文的恶意软件采用后门木马程序的形式,但也有一部份的中文恶意软件企图窃取在线游戏玩家的密码。大部份以巴西文撰写的恶意代码是专门窃取网络银行信息的木马程序。其间,俄罗斯的黑客则多数专注于建立僵尸网络然后开启后门让网上罪犯可以从远程访问被黑掉的计算机。
三家网络公司的传闻
Atrivo
这家设在美国加州的ISP(也称为Intercage)在9月时从因特网中断联机,因为有证据显示其网络大部份时候用来兜售假造的防病毒软件(或恐吓性软件)和恶意软件。
ESTDomains
不久以后,关于居住在爱沙尼亚的俄裔人士Vladimir Tsastsin的疑问浮上台面。Tsastsin是EstDomains的创办人,EstDomains提供网域注册服务,而且凑巧是Atrivo的客户。他的公司被指控为注册网域供恶意活动使用的罪犯提供掩护,确保EstDomains收到网域滥用回报时不会终止他们的犯罪活动。在爱沙尼亚政府正式控告Tsastsin犯下信用卡诈欺、洗钱和其它罪行后,ICANN也撤销该公司的网域注册授权。
McColo
另一个俄罗斯的网络公司McColo已广受怀疑是五大僵尸网络Srizbi(Zlob)、Mega-D、Rustock、Dedler和Storm的指控中心。当McColo在2008年11月11日13.23时中断因特网联机以后,僵尸网络离线而导致垃圾邮件数量遽降。McColo强制离线以后,垃圾邮件数量立刻急降75%。自那时起,黑客一直试图重新控制这些僵尸网络,确有部分成功。
上述例子突显出同心协力的安全群体能够沉重地打击全世界的网络犯罪活动。终究,McColo的结束对于全球
垃圾邮件数量的影响(即便是暂时的),是任何由政府当局逮捕的黑客都不能比拟的。
垃圾邮件
垃圾邮件仍然普遍
垃圾邮件仍然是企业的严重问题,Sophos研究发现所有企业邮件中竟有97%是垃圾邮件。Sophos每天从全球的垃圾邮件捕捉陷阱中接收到成千上万的新邮件。
各国的垃圾邮件
2008年,有240个国家送出垃圾邮件。美国转发了全球17.5%的垃圾邮件,相较于2007年的转发份额22.5%,其垃圾邮件问题确有稍微缓和。然而,美国要解决这个问题就丝毫不能松懈。美国仍然是世界上最大宗垃圾邮件的制造者-有些邮件附有恶意软件或是通往恶意或感染网站的链接。大部份这类垃圾邮件来自计算机被僵尸网络控制的不知情的家庭用户。
|
美国17.5% |
|
俄罗斯7.8% |
|
土耳其6.9% |
|
中国(含香港)6.0% |
|
巴西4.4% |
|
南韩3.7% |
|
意大利3.3% |
|
英国3.1% |
|
波兰3.0% |
|
印度2.9% |
|
西班牙2.8% |
|
德国2.7% |
|
其它35.9% |
|
2008年十大垃圾邮件产生国 |
不过,僵尸网络的问题确是全球皆无法幸免。我们清楚地知道,更多的计算机必须更新防病毒保护以及最新的安全补丁,而且普通大众必须接受更好的教育,了解如何为自己的个人资料和计算机避开风险。
您是垃圾制造者吗?
实际上,所有垃圾邮件皆来自被黑掉的计算机(称为「僵尸网络」(bots或zombie),这些计算机被攻击以后,在所有人不知情的情况下传送大量垃圾邮件、发动分布式拒絕服务攻击或窃取机密信息。
保持病毒防护的最新状态、安装且执行防火墙,以及确保操作系统及任何已安装应用程序的所有安全补丁皆已安装,将能大大降低计算机被黑的可能性。
各个大陆的垃圾邮件
亚洲传送超过三分之一的垃圾邮件,而且若与欧洲合计,则全世界有将近三分之二的垃圾邮件来自这两个大陆。
|
亚洲36.6% |
|
欧洲27.1% |
|
北美洲20.7% |
|
南美洲13.4% |
|
非洲1.1% |
|
大洋洲0.7% |
|
未分类0.4% |
|
2008年各大陆转寄的垃圾邮件 |
博客垃圾邮件
电子邮件不是垃圾邮件唯一的传输途径。网络博客因邀请访客留言也沦为散布工具,一般是利用自动化的僵尸网络搜索有弱点的网页。虽然许多博客使用免费工具试图过滤垃圾邮件以后再发布,但是据统计,所有博客留言中超过85%实际上是垃圾邮件。
垃圾邮件和社交网络
在2008年里,垃圾制造者证明他们勇于尝试各种新方法来散播他们的广告信件和恶意软件。社交网络,例如Facebook和Twitter,渐渐成为他们经常使用的媒介途径。
黑客通常会窃取会员的用户名称和密码,然后不断攻击受害者的朋友和家人,以几乎没有掩饰的广告信息,将受害者引至第三方网页。
利用社交网络弱点的手法也出现有趣的趋势。企图骗取钱财的骗子黑掉无辜的Facebook账户然后伪装成为该用户。他们接着发出垃圾信息给那个人的朋友,表示在国外渡假时遭抢劫而遗失了钱包和回程机票。接着,他们要求对方透过西联汇款将金钱汇过去。
计算机用户若在一般的邮件收件箱中看到相同的邮件通常会产生怀疑,但是当他们以为是朋友的人透过Facebook联络他们时,感情通常会超越理智。诈骗者甚至可以更进一步利用网络,借着被黑账户的信息,与目标猎物谈话聊天来博取信任。例如,若是被黑账户的所有人经由状态信息通知他的Facebook朋友,说他正在某个国家旅游,则被抢劫的故事会更有说服力。
网络用户对于这类信息必须抱持更多的怀疑,日后遇到这类骗取信任的把戏时才能避免上当。
2008年11月,法院裁定蒙特娄的垃圾制造者必须赔偿Facebook的金额高达8.73亿美元,因为后者被指称利用被黑掉的账户传送超过400万封邮件。Sophos的研究发现透过社交网络传送的垃圾邮件数量与日俱增,而且预期未来会更加严重。
| 共3页: 上一页 [1] 2 [3] 下一页 |