分析
垃圾邮件和网页仿冒转向社交媒体
过去几年中我们注意到,社交媒体网站上的垃圾邮件和网页仿冒大幅增加。罪犯尾随用户到流行的网站上。随着 Facebook和 Twitter 用户数量的增长,这些网站也吸引了更多犯罪行为不过,去年网络罪犯也开始将目标对准一些飞速壮大的新网站,如 Instagram、Pinterest 和 Tumblr。
典型的威胁包括礼品卡和调查骗局。此类虚假内容骗局占全部社交媒体攻击的一半以上 (56%)。例如,在某个骗局中,受害者在某人的 Facebook Wall 或 Pinterest Feeds(其中的内容看似来自受害者关注的人或特定类别的人)上看到一个帖子,写着“单击此
处获得 100 美元的礼品卡”。当用户单击该链接后,会转到一个网站,要求用户报名参加种种活动,并在此过程中提交详细的个人信息。每注册一名用户,垃圾邮件发送者即可获得一定报酬,当然,直到过程结束,用户也不会收到任何礼品卡。
典型的社交网络骗局
包含虚假调查的虚假网站
仿冒网站伪装成一个宣传足球明星 Lionel Messi 的社交网站。
我们还记录了针对时下大热的照片分享应用程序Instagram 的一起类似的骗局。
还有一种骗局,是利用虚假网站来诱使受害者透露详细个人信息和密码,例如,Facebook 或 Twitter 帐户信息。这种网页仿冒骗局极为隐蔽,而且往往利用人们对名人的崇拜心理,如职业运动员、电影明星或歌手等。我们注意到,针对特定国家/地区及其名人的网页仿冒骗局有所增加。
2012 年我们注意到,越来越多威胁瞄准了社交媒体网站以及不断涌现的更多新渠道和平台,尤其是那些仅用作移动应用程序的渠道和平台。这些移动社交渠道很可能在 2013 年成为更大的目标,尤其是那些专门针对青少年和年轻人的社交渠道,这些年轻用户可能不知道如何识别此类攻击,并且对个人信息的保护也不太在意。
移动设备威胁
上一年我们观察到,移动恶意软件呈进一步增长势头。这与互联网连接移动设备数量的不断增长不无关系。根据 Gartner 的统计,Android 占据 72% 的市场份额,Apple? iOS 以相去甚远的 14% 位列第二。18 Android 因市场份额以及更为开放的开发环境,成为主要的移动设备威胁目标。
通常情况下,人们习惯用手机存储个人信息和联系信息,随后渐渐有了高速互联网连接。智能手机因自身特点成为了功能强大的计算机,因而对罪犯充满了诱惑力。此外,它们还具有与支付系统(所有者的手机合约)绑定的额外优势,这意味着它们为罪犯从受害者那窃取金钱提供了更多方式。
我们注意到,所有类型的手机攻击均大量增加:
• Android 威胁在东欧和亚洲地区更常见,不过,去年欧洲其他地区以及美国的 Android 威胁数量有所提升。
• 隐私泄露攻击意在暴露个人信息,包括设计用于暗中发送手机所有者位置的监视软件的推出。
• 付费服务号码诈骗,恶意应用程序发送昂贵的短信。这是通过移动恶意软件敛财最快的一种方式。赛门铁克观察到的一个移动僵尸网络即采用虚假移动应用程序感染用户,根据我们的计算,僵尸操控者不断在各地涌现,诈骗金额为每天 1,600 到9,000 美元,每年 547,500 到 3,285,000 美元。
在以往的情况中,恶意软件对智能手机的感染是通过流氓应用程序市场,以及用户通过电脑连线直接将应用程序安装到手机上这种方式。但现在,合法的应用程序商店也不能幸免。2012 年我们注意到,在 Google? Play 市场中,流氓软件伪装成热门游戏,以避开Google 的自动筛选流程。
企业逐渐允许员工“自带设备”(BYOD) 上班,允许员工将个人计算机、平板电脑或智能手机用于工作,甚至补贴员工购买自己的设备。即使公司提供设备,但消费化趋势意味着公司往往会转而采用个人用户技术(如文件共享网站)和设备(如个人用户笔记本电脑或平板电脑)以降低成本。这两个趋势打开了一扇大门,令企业处于更大的风险之中,因为移动设备往往缺乏安全功能,例如,加密、访问控制和可管理性等。
我们注意到,2012 年针对 iOS 平台的漏洞遥遥领先于 Android,占已发布漏洞的 93%,不过 Android 在恶意软件方面仍居前列,占新威胁的 97%。
乍看之下二者似乎相互矛盾,但此现象有一个很好的理由可解释:破解 iOS 设备。为了安装 Apple App Store 中没有的应用程序,用户必须利用软件中的漏洞。虽然从安全角度而言,这并非最安全的方法,但这是安装无法通过 Apple App Store 获得的应用程序的唯一方式。
相反,Android 平台提供了从非官方市场安装应用程序的选项,只需更改操作系统设置即可。由于不需要利用漏洞,因而不存在 iOS 上那样的动机。Android 用户容易受到大量威胁的攻击,但极少有攻击利用漏洞来扩散威胁。
尽管 Android 平台 2012 年遭遇了 103 种威胁,不过与移动设备威胁范畴内的其他估值相比,该数据并不算多。许多估值更大,是因为它们提供的是总的变体数量,而不是新的独特的威胁。其中许多变体只是进行了微小调整,以避开防病毒扫描程序的检测。根据赛门铁克的统计,一年当中至少出现了 3,906 个不同的移动变体。
在安全功能方面,旧版本 Android 与新版本之间存在重大区别。Google 在 Android 4.x 版中新增了一个功能,允许用户阻止任何特定应用程序向状态栏推送通知。由于广告平台向状态栏推送通知,骚扰到旧版本用户,该功能是根据其反馈意见做出的调整。
此外,由于在用户毫无察觉情况下发送付费短信这一威胁形式的兴起(例如,Android.Opfake、Android.Premiumtext、Android.Positmob 和 Android.Rufraud),Google 在 Android 4.2 中增加了一个功能,以提示用户确认是否发送此类付费短信。该功能对于保护大多数用户非常有用。
然而,到 2012 年年底,Android 4.2 设备的市场渗透率仅为大约10%,23 只占总设备的一小部分。Android 生态系统使得很难令每个用户保持最新状态。Google 发布的官方平台只能在 Nexus 设备(Google 自己的品牌设备)上实现即装即用。每家制造商均以此为基础修改并发布自己的平台,然后移动网络运营商会挑选这些平台,同时他们也会定制自己的平台。
因此,Google 的任何变更不可能迅速推广到市场中的所有设备。对平台所做的任何更改需要每家制造商,然后是每家运营商进行全面彻底的测试,从而延长了到达用户手中所需的时间。设备型号如此之多,也大大增加了所有这些公司为每次更新不得不分配的资源量,从而导致很少发布更新程序,某些情况下较老的设备甚至没有更新程序。
对于操作系统中的大多数漏洞利用,Google 均发布了快速修复,但用户仍需等待较长时间才能从网络运营商那获得修复程序。某些漏洞利用并非存在于初始操作系统中,而是位于制造商的定制修改版本中,例如,2012 年出现的针对 Samsung 型号的漏洞利用。Samsung 迅速修复了该漏洞,但修复程序仍必须通过网络运营商才能到达用户手中。
Google 对平台的严格控制有利于解决某些“碎片”问题,但也会影响与制造商的合作关系。针对旧版本 Android 用户设立截止点有助于减少风险,但通常是制造商这么做。
云计算风险
根据 Gartner 数据分析,2012 年云服务市场预计增长 20%。24云计算使企业有望在无需大笔前期资本成本的情况下加强 IT 能力,对于较小规模的企业而言,能够以可承受的价格使用企业级商业软件。基本言之,随着互联网带宽及处理能力的飞速提升,云计算带来了不断增长的巨大规模经济。
云计算也带来了一些潜在的安全优势,尤其对于没有专门的 IT 安全部门的小公司而言。运行良好的云应用程序更有可能经过有效修补和更新。相比内部系统,它们也更可能具备灵活性、安全性和备份功能。
不过,云计算也存在一些安全隐患:
• 隐私。对于谁能在哪些情况下访问客户数据(例如,用于故障排除),经营有方的云服务公司应当拥有周密的策略。只有在充分保障数据管理和访问方式的情况下,才能将信息通过互联网托付给第三方。
• 数据自由。如果您希望更换提供商,云计算企业可使之轻松启动,信誉良好的公司可令您的数据提取更简单(例如,归档的电子邮件或客户记录)。在将数据托付给云提供商之前,潜在用户应以后提取并恢复数据的条款和条件进行全面评估。
• 鸡蛋放在一个篮子里。如我们在过去几年中发生的大规模数据泄露事件中所见,攻击者倾向于去到那些不费力气即可攫取最多数据的地方。如果云服务提供商存储了大量客户的机密信息,那么也会成为攻击者的猎物。云提供商的哪怕一次泄露,对攻击者而言可能是一座个人数据金矿。
• 消费化。如果公司员工临时使用未经批准的云系统,公司将面临数据意外或故意泄露的重大风险。例如,如果根据公司策略,很难将大文件通过电子邮件发送给第三方,员工可能会转而使用免费的在线文件共享应用程序。风险在于,这些系统可能达不到公司的安全标准。例如,某个知名的文件共享网站将其所有用户帐户保持未锁定状态长达四小时。25 此外,如果员工在工作中使用未经授权的云应用程序,譬如通过社交媒体网站进行市场营销,公司可能会遭致基于 Web 的恶意软件的攻击。
• 基础架构。在多租户虚拟体系结构中,恶意用户可以租赁一个虚拟机,然后利用基础管理程序中的漏洞,通过该虚拟机向系统发动攻击,并访问运行于相同环境下的其他虚拟机,这种理论上的风险虽然并不常见,但仍然存在。还应当考虑在虚拟机内进行数据加密,以尽量降低未经授权访问物理硬盘所带来的风险。
建议
将社交媒体威胁视为企业问题。
公司往往不愿意全面限制对社交媒体网站的访问,但必须想办法防御这些网站以及其他网站上基于 Web 的恶意软件。这意味着需要在网关和客户端电脑上安装多层安全软件。此外,还应当积极安装修补程序和更新程序,以降低偷渡式下载感染风险。最后,用户培训和明确的政策必不可少,尤其在用户在线泄露的个人信息量方面。
云服务安全建议。
在签字前进行全面风险评估。确保自身信息和身份信息的安全。建立强大的管理框架。
保护移动设备。
考虑在移动设备上安装安全软件。此外,必须对用户进行培训,告知下载流氓应用程序的风险以及如何使用隐私和权限设置。对于公司提供的设备,可考虑全面锁定设备,防止安装任何未经批准的应用程序