赛门铁克发布2015网站安全威胁报告

若有梦

本帖最后由 root1605 于 2015-12-9 23:02 编辑


引言
2014 年，一些罪犯卑鄙地利用了“社会认同”效应的威力——这个概念是指人们认为那些被其他人分享或认可的事物更有价值。有一个经典的例子是这样的：有两家餐厅，其中一家大排长龙，另一家空空荡荡；人们宁愿排队等候，因为人气与质量挂钩。
罪犯利用这个原理，入侵 Snapchat 等平台上的真实账户，然后当您看到对某个欺诈产品或链接的推荐时就会信以为真，因为它似乎来自您确实认识的某人。
公众在 2014 年也低估了他们的资料价值，没有事先核查网站是否合法就随意透露了电子邮件地址和登录凭据。
虽然诈骗者在 2014 年显然在战术上有所演变，并打入了新的平台，但在大多数情况下，他们之所以得逞，仍然是因为人们自愿陷入那些可以预料并且很容易避免的骗局。
社交媒体骗局
不管是什么地方，只要有人可骗，罪犯就会涉足。许多人使用知名的社交媒体平台，于是这些平台就成了大量骗局的舞台。消息和约会应用程序的日益流行意味着它们已经引起了诈骗者的注意并被他们利用，而这些平台上也出现了五花八门的骗局。
Facebook、Twitter 和 Pinterest社交媒体骗局在今年的重大转变是手动分享类骗局的上升。这是指人们自愿、无意地分享有趣的视频、故事、照片和优惠信息，然而这些内容其实包含指向恶意网站或联盟网站的链接。
例如，诈骗者利用罗宾·威廉姆斯之死，分享了号称是他临终道别的视频。用户被告知必须与亲友分享这个视频才能观看，然后他们被提示填写问卷调查、下载软件或者被重定向到一个虚假的新闻网站。这个所谓的视频根本不存在。

对于手动分享，攻击者不需要入侵或劫持 —— 人们和他们的网络为罪犯做好所有工作。其他社交媒体骗局则要求罪犯本人多下一些功夫。例如，点赞劫持和评论劫持要求受害者点击伪装成“继续”或“验证”的按钮，以访问某些有趣的内容，但实际上，在点击该按钮后，受害者却对帖子内容点赞或评论，从而提高了帖子的热门程度和扩大了它的覆盖面。
Instagram
照片分享平台 Instagram 如今比 Twitter 拥有更多的每月活跃用户，很多合法的品牌利用 Instagram 作为营销渠道17,18。在 2014 年出现的 Instagram 骗局中，有些罪犯试图利用预先生成的账号牟利，仿造合法企业用户采用的优惠信息。
在一个骗局中，诈骗者用伪造的账号声称是彩票中奖者，愿意与所有关注他们的人分享赢得的奖金。在另一个骗局中，他们冒充知名品牌，声称赠送礼品卡。他们告诉 Instagram 用户，只需关注该虚假账号，并在评论中填写电子邮件地址等个人信息，即可收到奖励。受害者想都没想就透露了他们的个人信息。据诺顿移动应用调查报告显示，68% 的受访者愿意用各种隐私信息换取免费应用程序19。事实上，有些人甚至向诈骗者汇出 0.99 美元，以支付上述所谓优惠的邮费。（当然，这个优惠是永远不会兑现的）。由于这笔金额微不足道，人们毫不在意，但是他们还透露了更多信息，令诈骗者在获得个人信息的同时还收获到额外的钱财20。
这种现象在 Instagram 上尤其普遍，这在一定程度上是因为 Instagram 不会核查账号是否合法。人们中计之后，关注他们的好友也会看到他们发布的图片，然后同样上当受骗。
在虚假账号拥有足够的关注者之后，罪犯就会更改名称、图片和个人简介，所以当人们发现那个奖励没有兑现时，他们已经无法找到原来的账号并将它标记为垃圾。然后，罪犯将这个经过篡改过的账号连同所有关注者一起卖给出价最高的人。
不久之后，通常会出现一个新的账号，伪装成原先那份虚假的个人资料，声称其原有账号已被入侵，然后旧有的欺诈流程又重新开始。
消息平台
Snapchat 是一个让人们可以互相发送图片和视频的社交应用程序，而这些内容会在接收人打开消息后 10 秒之内自动销毁。这个社交应用程序是 2014 年的“重灾区”。
10 月，多个 Snapchat 账户遭黑客入侵，人们举报说收到朋友的消息，里面包含推销减肥药的活动链接。Snapchat 声称这些账户遭到了攻击，因为某些用户在多个网站上重复使用相同的密码，而其中一个网站上的数据遭到泄露22。
URL 缩短服务因为提供缩短的链接，深受诈骗者和社交网络用户的欢迎。对诈骗者来说，这种服务还提供另外一个好处，即模糊了这些链接背后的欺诈网站的域名。此外，通过在 bit.ly 链接末尾附加“+”，诈骗者及其团伙就能轻易访问点进率统计数据和其他人口统计学资料。
缩短的 URL 不仅经常出现在垃圾邮件中，还经常出现在垃圾短信和某些通过社交网络传播的新型骗局中。
10 月，赛门铁克还发现了另外一宗事件 —— 本应自动销毁的 Snapchat 图片竟然在网上又出现了，此事被网民戏谑地称为 snappening（“阅后即焚意外事件”）。结果发现，这个意外事件源自一个未经核准的第三方应用程序，有些人用它将 Snapchat 照片存档。
通常情况下，新兴的社交媒体平台的安全和隐私政策并未达到他们实际可以达到或应该达到的力度。与此同时，用户在多个不同的平台上重复使用相同的密码，并使用未经验证的第三方应用程序来增强体验，这对新兴平台的安全状况而言可谓雪上加霜。
除非用户开始考虑他们陷入的风险，否则我们可能会在2015年看到某些新兴的热门平台重现类似的账户劫持事件。

上述是Snapchat欺诈实例中包含的URL的点进率
约会骗局
性内容总是与网络犯罪紧密关联，2014 年也不例外。这些成人主题的骗局在 2014 年利用了流行的约会应用程序（在 Tinder 上就出现了这样的例子）以及Snapchat、 Kik Messenger 等消息服务。骗局的最终计划是让人们点击进入外部网站并注册，这时诈骗者就能根据联盟营销计划赚取佣金。
有些联盟营销计划在受害者点击进入后就会支付佣金，有些只会在他们注册并提交信用卡信息之后才会支付。对于每个成功注册的新用户，有些网站支付 6 美元佣金；如果用户成为付费会员，则会支付最高60美元的佣金。换言之，这些网站是网络罪犯获取可观利润的策略。（参看《联盟营销计划：社交媒体骗局的催化剂》，了解关于联盟营销的更多信息。）
这种骗局通常开始于年轻、漂亮的女生表示可提供激情视频聊天、性爱短信或一夜情。Tinder 上也出现了个人简介图片叠加卖淫服务文字的实例。诈骗者将这些文字放在图片内，以规避垃圾信息过滤工具。接收者如果想继续进行，就必须点击进入或手动访问联盟网站。实际上，这些“火辣女郎”只不过是脚本化机器人程序加上性感的个人资料图片，在屏幕的另一端根本没有人在等候赴约。
这些性内容的承诺已被证明广受欢迎：一场与名为“blamcams” 的网站相关的骗局在短短四个月为它的七个网址吸引了总共将近五十万人次的点击量25。 对于参加联盟营销计划或利用虚假视频网站链接来骗取信用卡信息的诈骗者来说，这是不错的收入来源。

社交媒体中的恶意代码
值得注意的是，虽然大多数分享类骗局的重点是为联盟营销计划吸引点击量和注册量，但是 2014 年却有一个Facebook 骗局却是重定向到 Nuclear 漏洞利用工具包。在这个骗局中，一旦成功，攻击者就可以控制受害者的电脑，并发送垃圾邮件和下载更多恶意文件。
对于朋友发布的看起来耸人听闻的链接内容，人们应保持警惕，不要点击这样的链接，而应直接访问可信的新闻来源并在那里了解相关情况。
“反社交”网络的兴起
对隐私的担忧（包括对政府监控以及与服务提供商过度分享的担忧）催生了以保密、隐私和/或匿名为重点的新兴社交网络，如 Secret、Cloaq、Whisper、ind.ie、Post Secret 等。这类应用程序是八卦、告白、甚至是人性的阴暗面的天堂。有人声称保密是下一阶段社交网络的关键。批评者认为，4chan 之类的匿名论坛为恶意挑衅者、欺凌者和犯罪分子创造了一个庇护所。Twitter、Facebook 等现有的社交网络通过增加信息披露和加强隐私政策来回应人们的担忧，例如Facebook 发布了政府数据请求数量、Twitter 正在考虑使用“悄悄话模式”、Google 增强了 Gmail 电子邮件服务的加密。
尽管保持匿名的意向可能对一些人极具吸引力，但是我们始终要牢记其中的弊端。有些企业制定了相当严格的指导方针和政策来规管员工的网上行为方式，但是对于这些容许人们肆无忌惮地想说什么就说什么的新环境，仍然有很多企业尚处于适应阶段。企业应采取电子通信政策来解决这些问题，并落实相关技术来监控可能存在的违规行为。阻止访问也许不太妥当，但是这种做法对于监控不当行为可能会有莫大的帮助。
网络钓鱼

网络钓鱼电子邮件比例（非鱼叉式）
2014 年的整体网络钓鱼比例是 1/965（虽然六月至九月之间略有下滑），而 2013 年的比例是 1/392。网络钓鱼攻击在临近年底时上升是因为 Apple ID 网络钓鱼骗局的激增。在此之前，发生了轰动一时的黑客入侵事件，该事件导致多张明星裸照被盗和公开。Apple ID 一直是网络钓鱼诈骗者的目标，但是这则新闻说明了人们特别容易轻信那些声称与他们 iCloud 账号安全有关的虚假消息。整体而言，2014 年，每 965 封电子邮件有 1 封是网络钓鱼电子邮件，而在 2013 年，每 392 封电子邮件有 1封是网络钓鱼电子邮件。

网络钓鱼，2012-2014
Kelihos 僵尸网络试图利用公众恐慌，发送消息声称受害者的 iCloud 账户通过异常设备和异常 IP 地址进行了购买。消息敦促受害者尽快点击随附链接，以检查他们的 Apple ID，而该链接会将受害者引向网络钓鱼页面。这个假冒 Apple 的网站会要求用户提交其 Apple ID 和密码，而这些资料随后被罪犯夺取并加以利用或转售。
这种主题的骗局在整个 2014 年屡屡发生，罪犯的目的是收集社交媒体资料、银行账号信息和电子邮箱登录信息。
网络钓鱼骗局大多通过网络钓鱼电子邮件或社交媒体网站上的链接进行散播。在社交媒体上，罪犯经常以新闻为诱饵，例如埃博拉病毒爆发或明星丑闻，以此诱使人们点击链接，而打开的页面会要求他们“登录”才能查看链接承诺提供的信息或视频。
以电子邮件为途径的传播也会以新闻为诱饵，但被用来诱骗人们登录专业性质的账号，如银行账号、LinkedIn账号、云文件存储账号或电子邮箱账号等35。有些电子邮件伪装成安全更新或异常行为警告，敦促受害者在网络钓鱼网站上填写个人资料，这些资料会被立即发送给罪犯。
这些钓鱼网站的源头通常会模糊化处理，以防受害者打开浏览器时看到安全警告，而今年罪犯对 AES（高级加密标准）的采用达到了新高。
使用这种加密法是为了提高分析钓鱼网站的难度，对网页的普通分析不会透露与钓鱼网站有关的内容，因为它包含在不可读的加密文本中。因此，浏览器警告和安全软件警告不太可能会出现，导致更多受害者可能上当受骗，追查起来却更为困难。

2009-2014年社交媒体上的网络钓鱼URL数量
电子邮件骗局和垃圾邮件
不仅网络钓鱼攻击减少了对电子邮件的使用，而且全球垃圾邮件的比重也在下降。
在过去的三年里，垃圾邮件整体比重从 2012 年的 69%下降到 2013 年的 66%，再下降到 2014 年的 60%。虽然这在整体上令人欣慰，但是目前仍有大量骗局正在通过电子邮件传播，罪犯仍然在赚取不义之财。
赛门铁克在十月份报告了某种骗局的增加，这种骗局是向受害者（通常是某家公司财务部的员工）发送电子邮件，要求用信用卡付款或完成电汇。发件人的资料有时候纯属捏造，或者伪装成受害者公司的首席执行官或其他高层。收款人信息作为邮件附件提供，或者要求受害者回复邮件索取这些信息。
这类骗局的兴起可能是因为基于恶意附件的骗局更容易被企业安全系统过滤掉，但是很多企业仍未实施这种简单的过滤措施，对大多数恶意电子邮件仍在借助可能有害的附件进行欺诈这一事实漠然视之。
临近年底时恶意链接的剧增（相比恶意附件）则与骗术的转变和社交骗局垃圾邮件的激增有关。

垃圾邮件整体比例

预计全球每日垃圾邮件量
联盟营销计划：社交媒体骗局的催化剂
如果您在最近十年内用过社交网络，那么您很有可能在您的动态新闻和时间线里看到过以下消息：
• 免费智能手机、机票或礼品卡• 令人难以置信的明星新闻（例如性爱录像、死讯等）• 令人难以置信的全球新闻（特别是自然灾害）• 视频裸聊邀请，或所谓的性工作者的提议如今已经很明显：每当一个社交网络平台流行起来，总是会有诈骗者紧随其后。虽然每个平台可能不尽相同，每个骗局也可能略有差异，但始终不变的是联盟营销计划一直是这些现象背后的驱动力。
联盟营销是一种流行的营销方法，很多企业借此提高他们在互联网上的业务量。企业利用联盟伙伴来协助宣传和销售他们的产品。例如，联盟伙伴可以在网页上推荐一本书，并提供直接指向出售此书的商家的链接。每促成一笔销售，联盟伙伴就能赚取一笔小额佣金。
联盟营销方式的使用者既包括合法商家，也不乏非法商家。在有些情况下，商家本身是正当合法的，但是他们的某些联盟伙伴为了从联盟营销计划中获利却不择手段。
联盟伙伴参与联盟营销计划的方式是，在顾客点击广告时使用的链接里附加一个特别的联盟 ID，这样有助于追踪具体的点击来源。商家就是依据这个联盟 ID 掌握联盟伙伴的业绩，并支付相应的佣金。

诈骗者通过利用联盟网络在社交媒体上牟利。每当用户被提示填写问卷调查或注册获取付费服务时，该用户就成为联盟营销计划的转介人。诈骗者诱使用户参加问卷调查和/或注册获取付费服务，从而从中牟利。
与这些半合法联盟网络及其提供的报酬相关的资料是模糊的。有很多联盟网络不愿分享详细信息，因此难以估计联盟伙伴究竟能赚到多少钱。然而，大多数联盟网络都贴出商家的出价，其中清楚地说明了必须完成哪些行动才算是满足了转化条件。在上述例子中，一份 1500美元的 Visa 礼品卡广告的转化条件是被转介人提交电子邮件地址。这个商家向联盟伙伴支付佣金的标准是每个电子邮件转化对应 1.4 美元。
我们在热门的约会应用程序 Tinder 上发现了一些指向成人约会服务和视频聊天网站的联盟链接。这些网站直接宣传自己的联盟佣金方案。我们发现，对于每个注册账号的用户，有一个网站支付最高 6 美元的佣金；如果用户注册付费服务，则支付最高 60 美元的佣金。付费服务通常需要使用信用卡支付订阅费。
根据这种价格体系，说服用户注册付费服务可能会带来相当丰厚的收入。不仅如此，诈骗者为这些网站带来的注册账号的流量如此庞大，仅仅每人 6 美元的佣金加起来就足以构成可观的利润。如果有些用户注册付费服务，那更是锦上添花。
合法商家和一些联盟网络都曾尝试解决自己平台上的欺诈问题，但是只要这些灰色的联盟营销计划仍然有利可图，那些问题就会一直存在。作为商家，您一定要了解与您合作的联盟伙伴，确保他们对其做法保持透明。
最终用户在使用任何社交网络时都应当谨慎，对免费的工具、礼品卡、机票等产品或者性感女生提出的加入成人约会和视频聊天网站的邀请都要保持警惕。假如您被要求填写问卷调查或使用信用卡注册某项服务，那么很有可能您面对的正是一场骗局。就像老话所说的那样，天上不可能掉下馅饼。如果某个东西好到令人难以置信，那么它很可能就不是真的。
在您可能意想不到的国家发生的网络钓鱼
赛门铁克发现，跨国电子邮件流量占据显著的比重，并且我们最近惊讶地看到网络钓鱼攻击盯上了一些令人意想不到的地区的机构。
安哥拉和莫桑比克是非洲南部的两个国家，分别位于非洲的东部和西部遥遥相对。这两个国家不会是您首先想到的网络钓鱼攻击会针对的地点，毕竟网络钓鱼的目的是通过收集敏感信息敛财。莫桑比克尽管拥有丰富的自然资源，仍然是一个发展中国家，在很大程度上依赖国外援助。该国的人均 GDP 是 600 美元左右。安哥拉的经济状况优于莫桑比克，人均 GDP 略低于 6000 美元。就数据而言，两者都是贫穷国家。（为了便于比较，全球人均 GDP 为 10400 美元左右，美国人均 GDP 为 52800美元左右。）
最近有一次网络钓鱼行动以某家大型非洲金融机构为目标，发件人看上去是莫桑比克的一家银行，电子邮件主题是 “Mensagens & alertas: 1 nova mensagem!”（消息和提醒：1 条新消息！）正文中包含的链接指向该银行网站的虚假版本，要求目标输入多项银行信息，这样攻击者就可以利用这些信息接管账户。
这些国家的金融机构为何会成为目标？答案无从知晓，但是网络钓鱼的其中一个主要危险是攻击者可以轻易建立钓鱼网站。多年来，我们发现了很多“网络钓鱼工具包”，其中含有钓鱼网站的压缩文件包，可以随时解压到刚刚攻陷的网络服务器上。从攻击者的角度来看，网络钓鱼的门槛非常低。通过攻击小型或冷门的机构，网络钓鱼者可以避免与同行竞争。发展中国家对网络钓鱼的认识程度可能低于美国、欧洲国家等地区。
针对安哥拉和莫桑比克的网络钓鱼欺诈很有可能源自这些国家或邻近国家。以发达国家的人们为目标的网络钓鱼者不会有兴趣对安哥拉或莫桑比克的账户发动网络钓鱼攻击，因为潜在收益相对较低。但是，（从西方标准来看，）这样的低收益仍然可能吸引安哥拉、莫桑比克或生活水平相近的邻近国家的居民。对于居住在安哥拉或莫桑比克的网络钓鱼者而言，在当地使用被盗的凭据也比转售更加容易。
由于人们越来越多地在网上与企业和服务机构互动，我们预计网络钓鱼将呈上升趋势 —— 目标越来越多，而门槛越来越低。就连位于喜马拉雅山脉东段、小而偏僻的不丹王国也曾沦为网络钓鱼攻击的目标。这更加证明了网络钓鱼无孔不入。
展望：后见之明+深刻洞察=前瞻远见
安全游戏化
15 世纪的安全顾问尼可罗 • 马基亚维利 (Niccolo Machiavell)说：
“人类太单纯，而且很容易屈服于眼下的欲望，所以耍诡计的人总能找到被诡计耍的人。”互联网安全对人为因素的依赖不亚于对技术的依赖。如果人们更高明一些，就能帮助减少他们面临的风险。消费者避免被骗和政府雇员避免目标性攻击采用的社交骗局都是这个道理。

在这个语境里，利用简单的电脑游戏带来的心理回报和即时满足，可以用“游戏化”将“眼下的欲望”变成持久的行为变化。例如，游戏化可以用来训练人们警惕网络钓鱼电子邮件或生成、记住和使用强密码。
我们看到了这种培训在未来数年里巨大的市场机遇和庞大需求。
安全模拟
企业可以通过利用模拟和安全“演习”，做好应对安全漏洞的准备，并加深对自身防御的了解。通过将传统的渗透测试延伸到模拟响应及补救阶段中，企业可以培训员工和改善他们的就绪状态。这一措施同样适用于政府。2015 年 1 月，英国首相戴维 • 卡梅伦和美国总统巴拉克 • 奥巴马达成了两国之间进行网络攻击“演习”的协议。企业应该会在 2015 年陆续效仿。
不甘罢休的攻击者可能会成功
在攻击者和企业 IT 安全人员之间的斗争中，邪恶的一方只要有一次侥幸就能得逞。IT 部门必须每次都把握好运，这样才能立于不败之地。考虑到这一点，IT 管理者（其实消费者也一样）需要做好最坏的打算。没有任何神奇的技术能够保证在互联网犯罪或坚持不懈的目标性攻击前，赋予您金刚不坏之身。所以，不妨假设您已被黑客攻击或者即将被黑客攻击。从“安全/不安全”的二元式观点切换到细致入微、近乎医学式的观点来看待趋势、症状以及行为预防、诊断和治疗。
在技术层面上，这意味着确保您在每个端点、网关和电子邮件服务器上都具备有效的数据丢失预防软件，以防止数据向外渗漏。这也意味着备份和灾难恢复的重要性大大提高，检测和响应计划也是如此。这不是绝望之中的建议 — 在任何时候，我们都不应该放弃防范，否则就等于为攻击者大开方便之门。与其事后追悔，不如事前明智。
企业之间的数据分享是必不可少的
企业之间的数据分享对安全而言是必不可少的。一直以来，企业都不敢与其他企业分享太多信息，于是他们一直都依赖自己的内部资源，与不法之徒单打独斗。我们认为企业有必要共享威胁情报，并分享交流他们打击罪犯的经验。可以帮助他们在分享之余兼顾知识产权保护的工具的重要性将与日俱增。例如，安全电子数据交换可以分享哈希 (hash)、二进制属性、症状等等，同时不会透露企业机密或可能对攻击有用的信息。
不安全的操作系统
四分之一的 PC 用户在 2014 年 7 月仍在运行 WindowsXP 和 Office 2013，即使他们的软件已经不再受到支持，并且 Microsoft 也终止了相应的更新。许多人仍然对这场改变持怀疑态度。这使他们在新的威胁出现时处于无修补程序状态。在接下来的一年里，这将构成重大的安全风险。对于运行过时操作系统的嵌入式设备，企业需要找到新的方式来保护它们，直到可以更换或升级这些设备。
物联网
越来越多的消费者购买智能手表、活动追踪器、全息耳机以及在美国硅谷和中国深圳横空出世的各种新型可穿戴设备，针对这些设备提高安全性也成了日益迫切的需要。这是一个斗转星移的环境。在这个环境里，创新胜过隐私。由于缺乏政府监管和适合媒体报道的恐慌新闻，并且消费者的危险意识也有待提高，安全和隐私不太可能得到应有的重视。
*报告作者：赛门铁克，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

书生

感觉药丸