勒索軟件與商業郵件欺騙將繼續蔓延

文/本刊記者 陳 杰

勒索軟件與商業郵件欺騙將繼續蔓延

文/本刊記者 陳 杰

云與大數據安全技術廠商亞信安全發布的最新安全威脅回顧與預測報告顯示，過去的一年是真正的勒索軟件之年，新的勒索軟件家族增長了748%，金融攻擊以及商業電子郵件欺騙（BEC）騙局越來越受歡迎。同時，亞信安全還對未來一年網絡安全威脅呈現的新形勢進行預測：勒索軟件的攻擊手法和目標將更加多樣化，物聯網設備在DDoS攻擊中將發揮重要作用，同時以企業為目標的安全攻擊也將更具威脅。

數據泄漏與網絡攻擊花樣翻新

2016年，勒索軟件的泛濫最值得關注。據亞信安全網絡監測實驗室統計顯示，2016年度共截獲勒索軟件數量22144個，同比2015年增加62%。與此同時，勒索家族種類更是呈爆發式增長，其中影響較大的如：數量最龐大的locky勒索家族、破壞主引導記錄（MBR）的PETYA勒索軟件、不斷更新升級的Cerber勒索軟件等。

亞信安全CTO張偉欽指出：“巨額的贖金收益是勒索軟件在本年度肆掠的直接原因。不法分子常常瞄準的是中小企業用戶、商務人士等高價值目標，因此有較高幾率獲得高額贖金。而贖金往往以比特幣進行支付，整個流程難以被追蹤，也讓勒索軟件成為備受網絡不法分子歡迎的攻擊方式。此外，勒索軟件新變種不斷產生，這使得傳統基于特征碼的防護方式效用大減，不法分子可以通過魚叉式釣魚郵件、漏洞利用傳播、軟件捆綁安裝等方式進行廣泛傳播。”

除了勒索軟件，數據泄漏、金融攻擊也在2016年度成為熱點。其中，數據泄露的規模與威脅都有擴大的趨勢，例如2016年發生的1.54億美國選民數據被泄露、1.17億LinkedIn(領英)用戶數據在暗網被出售等，這些被泄露行為嚴重危害了公民個人隱私與企業的商業利益。而在金融攻擊方面，SWIFT銀行劫案以及ATM病毒也給銀行業帶來巨大的震撼，犯罪份子瞄準SWIFT銀行間轉賬系統以及ATM系統的漏洞，對相關銀行實施攻擊和竊取，造成了巨額資金的損失。

物聯網安全在2016年更是受到了廣泛的關注，家庭安全攝像頭、嬰兒監視器、胰島素泵、心臟起搏器、健身追蹤器、智能手表等智能設備在帶來便捷的同時也增添了很多安全隱患。

尤為值得關注的是，2016年10月，黑客入侵、控制了全世界十多萬臺智能硬件設備，組成了僵尸網絡，對美國互聯網域名解析服務商DYN進行DDoS攻擊，釀成了美國東海岸大面積互聯網斷網事件。

賭博詐騙類網絡詐騙爆發式增長

2016年亞信安全對安卓平臺APK文件的處理數量依舊呈上升趨勢。亞信安全2016年度處理數量已累計高達3931萬個，創歷史新高。在2016年，不法分子擅長假冒《Pokemon GO》等熱門手游或者應用傳播惡意程序，不僅可能竊取用戶的手機號碼、短信等機密信息，甚至還會植入勒索程序，加密手機中的文件。而除了安卓平臺之外，iOS系統的威脅也不斷凸顯，2016年，蘋果iOS系統被曝出存在“三叉戟”0day漏洞，可導致黑客遠程控制手機，讓用戶信息在網絡攻擊中完全處于開放狀態。

受幾起重大網絡欺詐案件的影響，網絡欺詐在2016年受到了前所未有的社會關注。2016年亞信安全反釣魚系統共監測到網絡欺詐釣魚網站共217072個，其中金融釣魚網站及通信類釣魚網站在本年度呈持續遞減趨勢，這與我們國家2016年出臺的多項網絡安全政策密不可分，但賭博詐騙類的網絡欺詐事件卻有了爆發式增長，這顯示網絡詐騙的治理之路仍然任重而道遠。

在2016年度，亞信安全監測發現的廠商漏洞發生了新的變化。其中，蘋果的漏洞增加了188%，而微軟漏洞則減少了47%。此外，網絡罪犯還更加傾向利用漏洞工具包等方式來發動更有效率的攻擊。

2017年安全威脅形勢更趨復雜

亞信安全預測，2017年勒索軟件家族數量將會增長25%，雖然在數量上增長趨于平穩，但平穩的背后將會推動網絡競爭多樣化，觸及更多的潛在受害者和更大的目標。不僅非桌面計算機終端PoS系統或者ATM將會遭受勒索攻擊，針對工業環境的勒索軟件以及物聯網攻擊也將呈現更大的破壞性。因此，提高勒索軟件檢測技術對于企業來說顯得尤為重要。張偉欽表示：“隨著威脅逐漸多樣化和復雜化，網絡罪犯的目標已經從主要針對個人轉移到企業，新的一年這個趨勢不會改變，所以企業應該領先一步，防范潛在的攻擊?！?/p>

隨著物聯網在2017年持續普及與發展，物聯網設備也將在DDoS攻擊中扮演更為重要的角色，從而成為黑客重點針對的目標，僵尸網絡將不斷的制造“黑色能源”來延續他們的生命周期。同時，企業逐步將物聯網設備引入工業生產（如制造產業和能源生產），監控和數據采集(CSADA)等系統漏洞的數量將隨著被黑客關注程度的提升而不斷增加，黑客將想方設法利用這些漏洞，工業物聯網設備系統攻擊將因此更具針對性。

與計劃周密的網絡詐騙相比，簡單有效的商務電子郵件詐騙（BEC）卻更易為不法分子帶來豐厚的收益。亞信安全預測BEC攻擊，特別是CEO欺詐，將在2017年成為網絡罪犯的新寵。因其犯罪成本低廉，不需要太多的基礎設施，一旦成功將會獲得巨大經濟利益（一次成功的BEC攻擊的平均支付價格一般是14萬美元），這對不法分子的誘惑巨大。而且，BEC攻擊很難被檢測出來，因為其攻擊郵件不包含惡意載體或惡意二進制文件，這對企業的網絡安全防范能力構成了巨大的挑戰。