網絡安全：行將淪陷的特洛伊

馮　艷

網絡的誕生，一如火藥的發明，初衷無害，卻在人貪欲的驅策下，一天天淪為惡者的幫兇。時至今日，它只走了不到四十個春秋，卻已毒入膏盲，淪為騙子行騙和小偷盜竊的新天堂。病毒軟件：道高一尺，魔高一丈

盡管計算機安全產業不懈地努力，malware(惡意的軟件)還是比任何時候都更瘋狂地蔓延。僅2008年一年，其數量就翻了三番，比過去21年內累積的總和還增加了200％。

malware會在暗中占領一臺PC，然后利用它以幾何級數向其他電腦傳播更多的malware。2008年10月，位于馬薩諸塞州貝德福的一家安全咨詢團體——RSA欺詐行為研究實驗室——發現50萬信用卡號碼和銀行賬戶登陸信息已被一個所謂的超自然計算機偷竊，該計算機由一個網上幫派遠程控制。同月，GeorgiaTech信息安全中心的研究員稱，全世界遭到botnets(通過互聯網發送垃圾信件或干擾以互聯網為基礎的服務的網絡，也稱僵尸網絡)感染的聯網計算機可能將于2008年底增至25％，而2007年只有10％。這意味著多達1000萬臺電腦將有可能遭到感染，被犯罪分子用于通過互聯網發送垃圾信件和計算機病毒。

電腦科學家和安全研究人員承認，他們無法與這些襲擊抗衡。

越來越狡猾的病毒

迄今為止，人們對抗病毒的努力幾乎是杯水車薪，因為散播計算機病毒的botnets和蟲子一樣，可以從一臺電腦爬向另一臺電腦，商業殺毒軟件目前還無法識別它們。2008年11月，硅谷電腦安全公司FireEye的首席科學家Stuart Staniford指出，在36個商業殺毒產品測試里，只有少于一半的最新病毒程序被發現。

而幫派分子們仍在孜孜不倦地改良其病毒。現在，他們已寫出用于搜尋個人電腦里某種特定信息的程序。一些病毒會利用操作系統尋找用戶近期生產的文件，推定它們更具價值。而另外一些會定期監測和偷盜登陸及密碼信息，特別是客戶的金融信息。

這些程序的復雜性在過去兩年內已賦予它們以假亂真的能力。比如，病毒程序一旦感染了一臺電腦，就會定期使用其自身殺毒功能，不僅令殺毒軟件失效，還清除與其競爭的病毒程序。最近，微軟反病毒研究員破解了一個感染程序，他們驚異地發現，當它攻占用戶的電腦后，它會定期打開Windows的升級功能，保證其自身不受其他犯罪者的侵襲。

但最大的問題是人們不知道自己的計算機是否被感染了。因為病毒常常偽裝自己，逃脫殺毒軟件的視線。眼下，蘋果的Macintosh計算機或多或少能幸免于這些侵襲，但研究人員認為，隨著市場分額逐日增大，蘋果電腦會成為更大的目標。

感染驅動的時代

盡管新技術阻遏了一些病毒的侵襲，一些計算機安全專家表示，眼下水深火熱的經濟低谷有可能會導致計算機安全成為第一個被削減預算的項目，這是因為其有效性很難得到印證。而網絡罪犯卻至少和尖端的大軟件公司一樣技術先進，也更快，更靈活。當軟件公司加緊提高基本操作系統如Windows和Macintosh的安全性時，進犯者已轉移到網絡瀏覽器和程序上，如Adobe Flash和Apple QuickTime。由于資源有限，安全人員無力重新設計架構，只能力求解決現存問題，這就造成了好人被壞人牽著鼻子走的窘況，也即所謂的“感染驅動”的時代。

警惕：社交網絡中那個自稱是你朋友的人

如果說病毒是人們難以抵御的災難的話，那么很多網絡詐騙似乎該是可以避免的了，因為它們的形成大都需要兩個不可或缺的要件：騙子施騙，以及受害人上當受騙。既然此類犯罪的要素之一是人們自身的行為，那么是不是就可以輕易避免受害了呢?

最近，澳大利亞公民Karina Wells在社交網站碰到一個酷似尼日利亞詐騙犯的家伙。此人在Facebook上發給她一條信息，自稱是她現實生活中的朋友Adrian，被困在尼日利亞拉格斯，附近找不到電話。他請求Wells匯來500美金，好讓他買機票回家。

Wells當然不肯買他的帳。她向澳大利亞當局和Facebook發出警報。兩者現在都在調查中。盡管細節還需證實，Facebook官方已經認定，有人誘使Adrian在一個虛假網址上輸入其在Facebook上的密碼，從而獲取了他的登陸信息。

Wells挫敗了這個明顯的騙局，但官方和安全專家警告，由于數百萬人每天在社交網絡中互動，人們常在越來越廣闊的朋友圈內分享詳細個人信息，這將導致類似的網絡詐騙越來越常見。“默認的信任”

FBI和國家白領犯罪中心指出，雖然e-mail仍是詐騙高手接觸潛在受害人的最常見網上手段，騙子們已日益轉向包含社交網絡的網頁。他們還指出，美國人2007年在互聯網犯罪中被卷走的金額總數增加了21％，達到空前的2億4千萬美元。在此類案件中，通過網頁被鎖定的受害人占32.7％，而2005年僅有16.5％。官方表示，社交網絡要對這一增長負局部責任。因為在這些網頁上，存在著一種默認的信任，人們感覺不到人身威脅。FBI網絡調查部門副主任Shawn Henry指出，很多罪犯如今轉向了計算機網絡，因為那里是受害人云集之地，也即機會之所在。

安全專家也被騙

最近，一對網絡安全顧問做了一個試驗，證明在Linkedln上偽裝成另一個人是如何輕而易舉。他們從他們的朋友Marcus Ranum那里得到允許，在以專家為目標讀者的網站上建立了一個關于他的虛假資料網頁。MarcusRanum是為白宮官方網站建立第一個e-mail服務器的顧問，并因此聞名。這兩個安全顧問就使用他的名字，簡歷，照片(所有照片皆來自網絡，無需任何幫助)。然后他們試圖聯系大公司主要信息官員，安全交易雜志的主編，防御產業專家，以及其他現實生活中Ranum可能知道的人。

盡管這些人都專長于網絡安全，卻大都接受了這個請求。一旦假Ranum和這個產業有了切實的聯結，他對下一個目標就顯得更可信了。這一實驗表明，社交網站的用戶對一個朋友身份信息的期待少之又少。一個名字，一張照片，一些關于他們真實生活的了解就足矣了。

2008年網絡詐騙手段排名

除冒充別人行騙外，還有數不勝數的其它門類的網絡詐騙。美國消費者詐騙舉報協會融合美國互聯網犯罪舉報中心及自身追蹤系統提供的數據，發布了2008年網絡詐騙統計。根據此項統計，排名前八的現行詐騙手段如下：

樂透中獎騙局：受害人會被告知他們已進入一個抽獎程序，之后他們會收到祝賀電話，恭喜其中獎。但在領獎前，他們必須繳納管理費和稅款。這里

的獎品當然是子虛烏有。任何真正的樂透也都不會在中獎人領取錢款之前，先要求其交錢。

互聯網拍賣詐騙：通常被稱為Ebay或PayPal詐騙。在此類詐騙中，或者拍賣貨品是假的，或者拍賣人收了錢而不發貨。

尼日利亞預付款詐騙：詐騙人通過信件，e-mail或傳真，提出和受害人分享巨額款項，前提是要用后者的銀行賬戶向國外轉賬。罪犯常常會使用這些銀行賬戶詳細信息提走受害人名下的存款。

身份盜竊：受害人會收到一個看似真實可信的銀行或信用卡公司的email，其中包含一個網頁的鏈接，要求受害人更新賬戶信息。但這些網頁和email都是假的，目的只是在騙取帳戶信息，然后偷竊。

致富騙局：此類詐騙會許諾你一旦收到他們的免費書籍或CD，就能了解他們致富的秘密。這些網頁本身就是詐騙，其產品更是毫無價值。他們根本沒什么秘密可言，更糟的是，他們中很多人是身份盜竊犯。

假支票：你從email里收到一張支票，看起來是真的，但當你試圖去取錢時，你會發現它是假的。你會因此而被捕!

免費信用卡報告：該網頁的名字是“免費信用卡報告.com”，但你只在申請其有償服務時才會收到一份報告。這是多么公然的欺詐!

在家中工作：當你申請了這類工作后，你將被要求付材料費，錢一到手，對方就會人間蒸發。

套用一句耳熟能詳的廣告詞，正所謂：網絡詐騙，種類繁多，總有一款適合您!

網絡安全保衛戰：路漫漫其修遠

美國政府已意識到問題的嚴重性。2008年1月，布什總統簽署了國家安全總統指示54號文件，建立了一個國家網絡安全創制權。這一計劃預計將在未來七年內花費3百億美元，旨在保護聯邦政府電腦及運營國家重要架構的系統，如石油和天然氣網絡以及電力和水系統。

目前正在參議院接受討論的2008互聯網犯罪預防法案(InternetCrime Prevention Act of 2008)提出了互聯網犯罪預防教育計劃，旨在教育家長，孩子，教育工作者及公眾如何識別和防范潛在的網絡犯罪活動。筆者認為，在互聯網犯罪愈演愈烈的今天，這類法律在全世界各國都勢在必行。因為，很顯然地，這將是一場世界范圍內曠日持久，也許永無盡頭的戰役。和現實世界一樣，哪里有利可圖，哪里就會有犯罪。隨著網絡一日千里地滲透到人們生活的方方面面，特別是經濟領域，其中的“利”會越來越耀眼，照出虛擬世界里的犯罪更加猙獰而真實的存在。和現實世界中的犯罪相比，也許網絡世界里的犯罪更容易，更安全，成本也更低廉。同時，有關網絡犯罪的法律還在創立和完善階段，這就為罪犯成為漏網之魚提供了條件。既然如此，一個詐騙犯何必不在網絡里詐騙呢?也許正像.com公司的興起，這是一個新興的犯罪領域，其中蘊藏著無限“商機”。所以，這不會是一場容易的仗。誰也無法預測它將如何演變。形勢也許會得到控制，也許會更糟。重要的是，人們必須要意識到問題的嚴重性，在網絡犯罪肆虐到不可收拾前，同心協力去打這場保衛戰，讓網絡時代的孩子們從小就形成網絡安全意識，讓每一個普通人都把網絡當作現實世界的延伸，以及不法分子犯罪舞臺的延伸，充分提高警惕，這樣，才會將犯罪分子的破壞性降到最低，也才能維持住已成為21世紀商業基礎的電子商務。

除了加強立法，美國還采取了一系列其他防治措施：

強制報案制度：這一制度在一些國家和地區已經興起。比如，美國佐治亞州和猶他州在立法中規定，知道計算機犯罪事件的人、企業或者單位有向有關當局舉報的義務。佐治亞州還規定，如果報告者出于真誠，將免于承擔任何因進行報告而導致的民事責任。

成立互聯網欺詐投訴中心：為打擊計算機和互聯網犯罪，美國各種專門機構如雨后春筍，紛紛涌現。2000年5月8日，美國政府成立了“互聯網欺詐投訴中心(the Internet Fraud Complaint Center，IFCC)”，作為聯邦調查局的分支，專門負責調查和打擊日益猖獗的網上欺詐行為，消費者可以隨時通過該中心的網站(www.ifccfbi.gov)進行投訴。這是世界上第一個專門針對網絡欺詐的政府機構。通過設立這樣一個專門受理網絡欺詐的政府機構，那些懷疑受到電子商務欺詐侵害的消費者可以迅速有效地與執法部門分享有關信息。美國互聯網欺詐投訴中心在成立之初就配備了12名聯邦調查局特工和15名來自全國白領犯罪調查中心的人員，在全國范圍內履行執法任務。

此外，美國司法機關于1991年就成立了國家網絡犯罪訓練合作社，訓練地方，州及聯邦法律執行機關識別和打擊網絡犯罪。網絡欺詐罪犯可被判為重罪，面臨高達25萬美金的罰款和長達20年的牢獄生涯。

裝備專業技術警察：目前，大多數國家都裝備了專業計算機技術警察。美國的“C-37”就是偵查計算機犯罪行為的行動小組。他們的裝備不僅有手槍等武器，還配備了便攜式計算機，其任務是追蹤計算機系統和網絡空間的犯罪分子。

面對鋪天蓋地的網絡犯罪，來自政府的努力顯然遠遠不夠，網絡安全更需全體網民的努力，所謂匹夫有責。安全專家摩耶認為，各個網站都應采取用戶的認證措施。他建議新用戶的檔案資料都建立日期顯示，以打擊那些每天都開設很多新帳戶的詐騙犯。另外，網站應發展某種友情提醒系統，讓用戶舉報他人的可疑行為。最好的預防措施仍然是教育網民當心網上的人。或者對要錢或銀行賬戶信息的要求留個心眼兒。

一言以蔽之，面對日益兇險的網絡犯罪，每個人都要在戰爭中學習戰爭，并且牢記：勝利不會向我們走來，我們必須自己走向勝利。