瑞星2011年上半年安全報告
2011-07-20 16:28:39二、掛馬網站
1、掛馬網站概述
瑞星“云安全”數據中心的統計表明,2011年上半年截獲的掛馬網站(以URL計算)總數目為236萬個,比去年同期下降了91.2%,這是掛馬網站連續第二年以90%以上的幅度下降。究其原因,是因為隨著瑞星“云安全”、“防掛馬”等技術的運用,打破了掛馬網站黑色鏈條的運作,使得通過掛馬進行網絡攻擊越來越無利可圖,從而使得這類攻擊減少。
從數據來看,利用0day漏洞仍然是黑客進行網站掛馬的主要方式之一,黑客通常利用0day漏洞補丁發布之前的空窗期(*注),大規模入侵用戶的電腦系統,從中獲取大量有價值的信息內容。2011年上半年,被黑客掛馬利用最多的兩個漏洞分別為CVE-2010-0806和CVE-2010-3962,都是相對較新的漏洞。
(注)空窗期:系統漏洞、軟件漏洞在網絡上被曝光之后,廠商需要一段時間來開發補丁程序,在對其進行測試后發布,而曝光和發布之間的時期,被稱為“空窗期”。
2、掛馬網站及相關數據統計
瑞星“云安全”數據中心2011年上半年的監測數據,統計來自“瑞星殺毒軟件”、“瑞星全功能安全軟件”自動攔截的掛馬網站數量,截獲到的掛馬網站(以網頁個數統計)數目總計2363966個,攔截次數總計54,300,484次。
與去年同期相比,掛馬網站數量下降91.2%,受攻擊人數降低60.8%。這說明單個掛馬網站的攻擊人數有所增加,應該是黑客調整了掛馬策略和攻擊技術的結果。
2011年上半年,瑞星“云安全”數據中心已攔截到54,300,484人次訪問掛馬網站,平均每天有近30萬人次網民訪問過惡意網頁。
(注)掛馬網站:指的是被黑客植入惡意代碼的正規網站,這些被植入的惡意代碼,通常會直接指向“木馬網站”的網絡地址。木馬網站:是一種利用程序漏洞,在后臺偷偷下載木馬的網頁。這些網頁通常放在黑客自己管理的服務器上,當用戶訪問時,會把許多木馬下載到用戶機器中運行。
?
三、網絡釣魚
1、網絡釣魚概述
網絡釣魚(Phishing)是近年來興起的一種新型網絡攻擊方式,黑客建立一個網站,通過模仿銀行、購物網站、炒股網站、彩票網站等,誘騙用戶上當。由于在整個環節中沒有任何的病毒、木馬和惡意程序參與,傳統殺毒軟件根本無法阻擋釣魚網站的攻擊。
針對此類攻擊,瑞星防火墻、瑞星全功能安全軟件中嵌入了“智能反釣魚”模塊,通過對釣魚網站的色塊布局頻率、引誘用戶鼠標點擊的行為習慣、域名變化趨勢等進行數學統計,總結出了一套應用廣泛的“反釣魚網站”智能辨別模型,可以智能攔截流行釣魚網站。
2、數據分析
1至6月,瑞星截獲釣魚網站218萬個(以URL計算),是去年同期的25倍;共1億零53萬人次網民遭釣魚網站侵襲。按照CNNIC數據,我國網民每次網購金額在162元估算,2011年上半年釣魚網站的直接損失應為百億元級別。其中,虛假藥品、偽劣保健品、偽劣數碼產品成為釣魚網站最為熱衷出售的“商品”。
目前,多數釣魚網站為逃避相關部門對其監控和取證,生命周期很短,通常一個釣魚網站在網上的生存時間不超過一個月,有的只存活幾天甚至幾個小時。釣魚網站類型排名依次為假銀行占33%;假中獎網站占29%;假購物網站占19%,假游戲網站占7%。
3、網絡釣魚新趨勢
去年,瑞星曾經在《2010年上半年度安全報告》中,詳細描述了“六大類釣魚網站”、“七種網絡欺詐手段分析”等流行釣魚網站模式和黑客欺詐手段。時間過去了一年,黑客常見的手段并無太大變化,只是隨著社會熱點和商業模式的改變,有了一些細節上的調整。
假冒團購站嶄露頭角
近一段時間,團購網站成為黑客進行“網絡釣魚”的新寵,因為很多網民已經習慣了在團購網站購買價廉物美的商品,同時這些資金都是直接打入“團購網站”賬戶,缺乏第三方監管,很容易成為窺測的對象。
例如,在淘寶上買到了假東西,因為錢在支付寶里,購買者在確認付款之前,商家是拿不到錢的;而在團購網站不同,只要你決定購買了商品,就要先把錢打入到商家賬戶。于是黑客就利用了這個時間差:
先建立一個假冒的團購網站,黑客們通常都是假冒著名網站,如新浪團購、拉手團購、美團團購等(有的甚至會冒充“微軟團購”);然后以非常廉價的商品號召,例如僅需99元的數碼攝像機、七天包瘦僅要66元的減肥藥等等,吸引人購買;再通過論壇發帖、搜索引擎廣告等方式導入用戶,當用戶付款完畢,黑客早已逃之夭夭。
iPhone成釣魚網站新寵
在瑞星截獲的釣魚網站中,iPhone作為新的流行符號,得到了很多詐騙者的偏愛,無論是以山寨機冒充正品的“1668元購買蘋果四代”;還是根本就沒打算發貨的“3300元購買正品iPhone4”;甚至還有企圖騙取用戶注冊信息的“0元抽iPad2”,都已經成為本年度報告期內釣魚網站的重要組成部分。
搜索引擎成為網民遇到釣魚網站的最大途徑
根據瑞星公司統計,在2011年上半年截獲的釣魚網站中,用戶通過搜索引擎搜到的比例占據了總體訪問量的60%以上,搜索引擎已經成為網民遇到釣魚網站的最大途徑。分析其中的原因,可能包含兩個方面:
第一、釣魚網站利用專業的SEO(搜索引擎優化)團隊,在一些熱門關鍵詞上做優化,比如當用戶搜素“二手手機”、“iPhone”、“便宜貨”等熱門詞時,排在前面的搜索結果有很大幾率是釣魚網站。
第二、有的釣魚網站利用網絡廣告審核不嚴的漏洞,在搜索引擎、論壇、SNS網站投入巨額廣告,吸引用戶訪問。尤其是一些山寨數碼產品、減肥豐胸產品類的釣魚網站,非常善于采用此種手法。
2011年6月,瑞星截獲了一批通過購買搜索引擎廣告進行推廣的假網站,他們冒充假的美團網、拉手網等,企圖從搜索引擎用戶手中騙取錢財。其中一個釣魚網站的團購結果顯示,這個網站上售價3300元的iPhone4,已經售出了256件,詐騙金額在數十萬元。根據技術分析和定位,此前該詐騙網站曾經用多個相似域名來仿冒著名團購站,騙取錢財。
電器維修、茶葉等傳統行業的釣魚網站嶄露頭角
近期,基于傳統行業的一些釣魚網站開始嶄露頭角,他們往往是仿冒一些知名公司的冒牌官網,通過提供偽劣的售后服務、配件等獲取高額利潤。這類假官網上雖然標注有400或者其他服務熱線,但是細心的人就會發現其網頁上寫的400售后服務電話與真官網上公布的400電話略有不同。
(在搜索引擎搜“海爾售后電話”,結果卻是真假難辨的400電話)
瑞星安全專家指出,一些原來在傳統領域騙人的詐騙者,已經開始“電商化”、“網絡化”,包括豐胸減肥、高血壓、癌癥、茶葉、珍珠玉器等領域,也開始大量出現釣魚假網站。例如,在一些論壇上,大家經常看到的“茶農直銷、全國包郵”之類的廣告,很多就是收錢不發貨,或者發的是劣質茶葉的釣魚網站。
