瑞星2010年度安全報告
2011-01-14 14:39:53第三節(jié) 釣魚網(wǎng)站急劇增加
網(wǎng)絡釣魚(英文為Phishing,與釣魚的英語fishing發(fā)音相近,又名釣魚法或釣魚式攻擊),傳統(tǒng)意義上指的是利用偽造銀行網(wǎng)站的方式,竊取用戶銀行帳號的行為。但隨著網(wǎng)絡應用的復雜,網(wǎng)上出現(xiàn)了很多“釣魚”的新形式。
瑞星認為,凡是企圖利用人們對著名品牌、網(wǎng)站和機構(gòu)的信任,通過網(wǎng)絡進行詐騙活動的行為,都可以稱為“網(wǎng)絡釣魚”。由于絕大多數(shù)釣魚網(wǎng)站無木馬病毒或惡意代碼,所以傳統(tǒng)安全廠商很難全面監(jiān)控并及時處理釣魚網(wǎng)站的威脅。2010年,瑞星截獲的釣魚網(wǎng)站數(shù)量出現(xiàn)爆發(fā)性增長,從去年的13萬增加到175萬個,增加11倍。
圖6 “QQ刷鉆王”,當用戶使用時,會誘騙網(wǎng)民訂購手機套餐
在所有的釣魚網(wǎng)站中,假淘寶、假Q(mào)Q、假非常6+1、假工商銀行和假新浪,成為釣魚網(wǎng)站中的五大常見種類,這五大類網(wǎng)站占據(jù)了所有假冒網(wǎng)站的76%。這些釣魚網(wǎng)站通常使用與被模仿的著名網(wǎng)站相似的域名,采用聊天軟件、電子郵件等方式傳播。以“大抽獎”、“兩折機票”、“百元電腦”等方式進行詐騙。
第四節(jié) 2010年病毒特點
(1)?木馬竊取的目標從網(wǎng)游轉(zhuǎn)向網(wǎng)銀
從瑞星截獲病毒樣本的數(shù)量、受害網(wǎng)民求助案例的數(shù)量來看,本年度木馬病毒竊取的主要目標從網(wǎng)游、QQ等虛擬財產(chǎn),全面轉(zhuǎn)向網(wǎng)銀和支付帳戶,所有主流網(wǎng)絡銀行和第三方支付工具,都有受害案例出現(xiàn)。
針對性病毒的數(shù)量,與網(wǎng)銀、支付工具的市場地位密切相關,比如在網(wǎng)絡購物領域,有多種木馬和釣魚網(wǎng)站是針對淘寶、工商銀行編寫,其客戶端一旦出現(xiàn)漏洞,馬上就會被黑客利用,編寫相對應的木馬。
本年度最典型的病毒,當屬在網(wǎng)上泛濫的“網(wǎng)銀超級木馬”病毒,它是國內(nèi)罕見的首個針對大量網(wǎng)銀支付平臺的病毒。其盜取用戶錢財?shù)氖侄尾扇×私俪钟脩糁Ц俄撁娴姆绞剑莻鹘y(tǒng)的直接盜取賬號密碼。
目前的網(wǎng)銀木馬主要攻擊目標就是針對網(wǎng)絡交易的HTTP接口中的購物網(wǎng)站與支付網(wǎng)站之間的銜接認證上存在的薄弱環(huán)節(jié)。就目前得到的針對國內(nèi)網(wǎng)絡交易的網(wǎng)銀木馬分析情況來看,主要的攻擊手段為替換交易流程中的交易請求,將交易對象混淆,誘導交易者錯誤地將現(xiàn)金支付給其他賬戶,從而騙取現(xiàn)金。
(2)?病毒和木馬的釣魚式傳播
圖7 這些病毒看上去很像圖片,但其實是exe格式的病毒
由于殺毒軟件的防掛馬等技術的日益成熟,之前的通過網(wǎng)頁掛馬入侵成功的概率越來越小。進入2010年,黑客開始更多地采用釣魚式傳播。
以“網(wǎng)銀超級木馬”病毒為例,黑客先在淘寶、拍拍等購物網(wǎng)站建立網(wǎng)店,然后通過聊天工具將諸如“細節(jié)圖”、“報價”、“實物圖”等名稱的文件發(fā)給買家,這些文件圖標一般為圖片圖標,買家打開后病毒會在后臺運行,騙取錢財?shù)某晒β史浅8摺?/p>
瑞星公司截獲到的最早的“網(wǎng)銀超級木馬”病毒始于2010年7月份,截止到12月份,共截獲到該病毒的200余個變種。