赛门铁克日前发表2010年网络安全半年报。针对2010年网络安全提出4大网络威胁现象,包括社交网络盛行的第三方应用程序已沦为诈骗目标、短网址服务成为钓客新宠儿、廉价垃圾邮件帐户农夫建立垃圾邮件等现象:
(一) 社交网络的第三方应用程序沦为诈骗目标
网络诈骗威胁随着不断成长社交网络用户数攀升,尤其社交网络持续开放程序开发者等第三方开发的应用程序中的漏洞,更成为黑客最新攻击的目标。 赛门铁克代管服务的Web Security Service在2010年拦阻经由社交网站而来的恶意内容,从平均每451起即有1起,攀升至每301起即有1起。尤其有愈来愈多的开放应用程序被开发 使用,更让黑客有机可趁。
(二) 字词验证码(CAPTCHA)技术将再进化以预防垃圾邮件
字词验证码技术(CAPTCHA)可拦阻垃圾邮件发送者以用自动化方式制造发送垃圾邮件的新帐户。为突破此技术的阻扰,垃圾邮件作者在新兴国 家以不到10%的低廉成本雇用帐户农夫(account-farmers),以每一千个帐户30到40美元的报酬,建立新帐户以闪避检查机制。纽约时报曾 于今年4月报导垃圾邮件作者在开发中国家雇用廉价人力一事,以”行情价”每一千起8毛至1.2美元的报酬,手动输入字词验证码申请新帐户以散播垃圾邮件。 因此,赛门铁克预估字词验证码技术将可能再进化,进以有效防止垃圾邮件帐户的产生。
(三) 短网址服务(URL Shortening Services)成为钓客新宠儿
一般人对短网址的警戒心较低,因为单从网址难以分辨该连结的目的地;此外,也因夹带短网址的垃圾邮件较能躲过防垃圾邮件过滤机制的检查,因此 短网址已成为垃圾邮件作者、钓鱼客和恶意程序作者的最爱。此类夹带短网址的垃圾邮件曾在2009年7月达到9.3%的历史高峰,换句话说,每天就有100 亿封此类型的垃圾邮件漫步全球,而今年4月,此数目更近两倍的新高刷新纪录。
(四) 杀毒软件不足以抵御变化多端的网络威胁
千变万化的恶意程序盛行,仅能提供文件特征、启发(heuristic)或行为式(behavioral)学习能力的杀毒软件已不足以防御外 来威胁。赛门铁克在2009年发现超过2亿4千万个新型恶意程序,较2008年成长100%,截至今年年中也已发现1亿2千4百万个新型恶意程序。这些数 字证明单纯的杀毒软件,不足以应付繁衍迅速且变化多端的新型恶意程序,未来需运用如赛门铁克的信誉评等安全技术(Reputation-Based Security)或其他如启发式、行为式及入侵预防等 技术方能抵挡攻击。
伪冒杀毒软件业者将网络上可轻易找到的免费杀毒软件重新包装,再贩售给不知情的用户。然其中尚有更恶质的业者,例如赛门铁克近期调查名为”Online PC Doctors”的公司,该公司程序声称侦测用户电脑中毒,说服网络使用者授权以远端遥控方式检测,并提供如信用卡帐号等个人资料后即可免费”维修”,进而骗取个人重要资讯;
黑客以迅雷不及掩耳的速度,目标攻击微软最新发表的操作系统Windows 7。虽然Stuxnet尚未传出重大灾情,但仍需提防黑客们的动向。
市场占有率越高的操作系统越容易成为黑客的目标,恶意程序作者更能因此赚得更多不义之财。近年Mac及智能手机持续上升的人气,让恶意程序作者纷纷以诸如Sexy Space的僵尸网站(botnet) 、OSX.Iservice Trojan分别锁定Symbian的移动设备操作系统及Mac用户攻击。要提醒用户的是,因Mac及智能手机的日渐普及,黑客们也将投注更多时间研究攻击的方式。