瑞星2010年度安全報告
2011-01-14 14:39:53第三節 釣魚網站急劇增加
網絡釣魚(英文為Phishing,與釣魚的英語fishing發音相近,又名釣魚法或釣魚式攻擊),傳統意義上指的是利用偽造銀行網站的方式,竊取用戶銀行帳號的行為。但隨著網絡應用的復雜,網上出現了很多“釣魚”的新形式。
瑞星認為,凡是企圖利用人們對著名品牌、網站和機構的信任,通過網絡進行詐騙活動的行為,都可以稱為“網絡釣魚”。由于絕大多數釣魚網站無木馬病毒或惡意代碼,所以傳統安全廠商很難全面監控并及時處理釣魚網站的威脅。2010年,瑞星截獲的釣魚網站數量出現爆發性增長,從去年的13萬增加到175萬個,增加11倍。
圖6 “QQ刷鉆王”,當用戶使用時,會誘騙網民訂購手機套餐
在所有的釣魚網站中,假淘寶、假QQ、假非常6+1、假工商銀行和假新浪,成為釣魚網站中的五大常見種類,這五大類網站占據了所有假冒網站的76%。這些釣魚網站通常使用與被模仿的著名網站相似的域名,采用聊天軟件、電子郵件等方式傳播。以“大抽獎”、“兩折機票”、“百元電腦”等方式進行詐騙。
第四節 2010年病毒特點
(1)?木馬竊取的目標從網游轉向網銀
從瑞星截獲病毒樣本的數量、受害網民求助案例的數量來看,本年度木馬病毒竊取的主要目標從網游、QQ等虛擬財產,全面轉向網銀和支付帳戶,所有主流網絡銀行和第三方支付工具,都有受害案例出現。
針對性病毒的數量,與網銀、支付工具的市場地位密切相關,比如在網絡購物領域,有多種木馬和釣魚網站是針對淘寶、工商銀行編寫,其客戶端一旦出現漏洞,馬上就會被黑客利用,編寫相對應的木馬。
本年度最典型的病毒,當屬在網上泛濫的“網銀超級木馬”病毒,它是國內罕見的首個針對大量網銀支付平臺的病毒。其盜取用戶錢財的手段采取了劫持用戶支付頁面的方式,而非傳統的直接盜取賬號密碼。
目前的網銀木馬主要攻擊目標就是針對網絡交易的HTTP接口中的購物網站與支付網站之間的銜接認證上存在的薄弱環節。就目前得到的針對國內網絡交易的網銀木馬分析情況來看,主要的攻擊手段為替換交易流程中的交易請求,將交易對象混淆,誘導交易者錯誤地將現金支付給其他賬戶,從而騙取現金。
(2)?病毒和木馬的釣魚式傳播
圖7 這些病毒看上去很像圖片,但其實是exe格式的病毒
由于殺毒軟件的防掛馬等技術的日益成熟,之前的通過網頁掛馬入侵成功的概率越來越小。進入2010年,黑客開始更多地采用釣魚式傳播。
以“網銀超級木馬”病毒為例,黑客先在淘寶、拍拍等購物網站建立網店,然后通過聊天工具將諸如“細節圖”、“報價”、“實物圖”等名稱的文件發給買家,這些文件圖標一般為圖片圖標,買家打開后病毒會在后臺運行,騙取錢財的成功率非常高。
瑞星公司截獲到的最早的“網銀超級木馬”病毒始于2010年7月份,截止到12月份,共截獲到該病毒的200余個變種。