勒索软件与商业邮件欺骗将继续蔓延

文/本刊记者 陈 杰

勒索软件与商业邮件欺骗将继续蔓延

文/本刊记者 陈 杰

云与大数据安全技术厂商亚信安全发布的最新安全威胁回顾与预测报告显示，过去的一年是真正的勒索软件之年，新的勒索软件家族增长了748%，金融攻击以及商业电子邮件欺骗（BEC）骗局越来越受欢迎。同时，亚信安全还对未来一年网络安全威胁呈现的新形势进行预测：勒索软件的攻击手法和目标将更加多样化，物联网设备在DDoS攻击中将发挥重要作用，同时以企业为目标的安全攻击也将更具威胁。

数据泄漏与网络攻击花样翻新

2016年，勒索软件的泛滥最值得关注。据亚信安全网络监测实验室统计显示，2016年度共截获勒索软件数量22144个，同比2015年增加62%。与此同时，勒索家族种类更是呈爆发式增长，其中影响较大的如：数量最庞大的locky勒索家族、破坏主引导记录（MBR）的PETYA勒索软件、不断更新升级的Cerber勒索软件等。

亚信安全CTO张伟钦指出：“巨额的赎金收益是勒索软件在本年度肆掠的直接原因。不法分子常常瞄准的是中小企业用户、商务人士等高价值目标，因此有较高几率获得高额赎金。而赎金往往以比特币进行支付，整个流程难以被追踪，也让勒索软件成为备受网络不法分子欢迎的攻击方式。此外，勒索软件新变种不断产生，这使得传统基于特征码的防护方式效用大减，不法分子可以通过鱼叉式钓鱼邮件、漏洞利用传播、软件捆绑安装等方式进行广泛传播。”

除了勒索软件，数据泄漏、金融攻击也在2016年度成为热点。其中，数据泄露的规模与威胁都有扩大的趋势，例如2016年发生的1.54亿美国选民数据被泄露、1.17亿LinkedIn(领英)用户数据在暗网被出售等，这些被泄露行为严重危害了公民个人隐私与企业的商业利益。而在金融攻击方面，SWIFT银行劫案以及ATM病毒也给银行业带来巨大的震撼，犯罪份子瞄准SWIFT银行间转账系统以及ATM系统的漏洞，对相关银行实施攻击和窃取，造成了巨额资金的损失。

物联网安全在2016年更是受到了广泛的关注，家庭安全摄像头、婴儿监视器、胰岛素泵、心脏起搏器、健身追踪器、智能手表等智能设备在带来便捷的同时也增添了很多安全隐患。

尤为值得关注的是，2016年10月，黑客入侵、控制了全世界十多万台智能硬件设备，组成了僵尸网络，对美国互联网域名解析服务商DYN进行DDoS攻击，酿成了美国东海岸大面积互联网断网事件。

赌博诈骗类网络诈骗爆发式增长

2016年亚信安全对安卓平台APK文件的处理数量依旧呈上升趋势。亚信安全2016年度处理数量已累计高达3931万个，创历史新高。在2016年，不法分子擅长假冒《Pokemon GO》等热门手游或者应用传播恶意程序，不仅可能窃取用户的手机号码、短信等机密信息，甚至还会植入勒索程序，加密手机中的文件。而除了安卓平台之外，iOS系统的威胁也不断凸显，2016年，苹果iOS系统被曝出存在“三叉戟”0day漏洞，可导致黑客远程控制手机，让用户信息在网络攻击中完全处于开放状态。

受几起重大网络欺诈案件的影响，网络欺诈在2016年受到了前所未有的社会关注。2016年亚信安全反钓鱼系统共监测到网络欺诈钓鱼网站共217072个，其中金融钓鱼网站及通信类钓鱼网站在本年度呈持续递减趋势，这与我们国家2016年出台的多项网络安全政策密不可分，但赌博诈骗类的网络欺诈事件却有了爆发式增长，这显示网络诈骗的治理之路仍然任重而道远。

在2016年度，亚信安全监测发现的厂商漏洞发生了新的变化。其中，苹果的漏洞增加了188%，而微软漏洞则减少了47%。此外，网络罪犯还更加倾向利用漏洞工具包等方式来发动更有效率的攻击。

2017年安全威胁形势更趋复杂

亚信安全预测，2017年勒索软件家族数量将会增长25%，虽然在数量上增长趋于平稳，但平稳的背后将会推动网络竞争多样化，触及更多的潜在受害者和更大的目标。不仅非桌面计算机终端PoS系统或者ATM将会遭受勒索攻击，针对工业环境的勒索软件以及物联网攻击也将呈现更大的破坏性。因此，提高勒索软件检测技术对于企业来说显得尤为重要。张伟钦表示：“随着威胁逐渐多样化和复杂化，网络罪犯的目标已经从主要针对个人转移到企业，新的一年这个趋势不会改变，所以企业应该领先一步，防范潜在的攻击。”

随着物联网在2017年持续普及与发展，物联网设备也将在DDoS攻击中扮演更为重要的角色，从而成为黑客重点针对的目标，僵尸网络将不断的制造“黑色能源”来延续他们的生命周期。同时，企业逐步将物联网设备引入工业生产（如制造产业和能源生产），监控和数据采集(CSADA)等系统漏洞的数量将随着被黑客关注程度的提升而不断增加，黑客将想方设法利用这些漏洞，工业物联网设备系统攻击将因此更具针对性。

与计划周密的网络诈骗相比，简单有效的商务电子邮件诈骗（BEC）却更易为不法分子带来丰厚的收益。亚信安全预测BEC攻击，特别是CEO欺诈，将在2017年成为网络罪犯的新宠。因其犯罪成本低廉，不需要太多的基础设施，一旦成功将会获得巨大经济利益（一次成功的BEC攻击的平均支付价格一般是14万美元），这对不法分子的诱惑巨大。而且，BEC攻击很难被检测出来，因为其攻击邮件不包含恶意载体或恶意二进制文件，这对企业的网络安全防范能力构成了巨大的挑战。