Symantec Corporation發表二零零八年MessageLabs年度網絡安全報告指出,二零零八年為互聯網保安前景關鍵的一年,因為惡意軟件及垃圾郵件均在技術上有革命性發展,在地下「影子」經濟中做出了成績。
據該報告顯示,全球整體垃圾郵件比率在二零零八年二月到達頂峰,為百分之八十二點七。全年平均總垃圾郵件比率則為百分之八十一點二,而二零零七年就有百分之八十四點六。
有多達九成的垃圾郵件是透過殭屍網絡,包括惡名昭彰的Storm (又名Peacomm) 殭屍網絡傳播。Storm殭屍網絡威脅早在二零零七年年初出現,但到了去年年底卻消失無影無?,領先位置拱手讓予Srizbi及Cutwait (即Pandex) 等殭屍網絡對手。直至有關單位於二零零八年九月及十一月採取執法行動,分別成功關閉兩間被指託管及控制數個極具規模的殭屍網絡,例如Mega-D (別稱Ozdok) 及Srizbi,亦即近一半圾垃郵件的源頭,美國互聯網服務供應商,堵塞了這些殭屍網絡的散播渠道,情況才出現變更。
不過,除了Srizbi,其他受影響的殭屍網絡都已找到替代的託管主機,使垃圾郵件回復到未關閉這兩家互聯網供應商之前的水平,而Srizbi的競爭對手,如Cutwail和Rustock,更進佔 Srizbi原先的位置。
在二零零八年,垃圾郵件發送者擊破CAPTCHA (Completely Automated Public Turing Test to tell Computers and Humans Apart) 技術,透過向大型並擁有良好信譽的網絡電郵與應用服務申請龐大數量的個人電郵賬戶,務求提升郵件接收者的親切感,以便更有效散播垃圾郵件。在一月份,僅有百分之六點五的垃圾郵件源自這些託管網絡電郵賬戶,但到了九月份,比率卻升至百分之二十五的高峰,隨後每月平均比率亦有百分之十二。
MessageLabs首席資訊保安分析師Mark Sunner 表示:「二零零八年是網絡保安業界重要的一年,因為當舊式網絡威脅正在演變的同時,新的威脅亦出現。此外,互聯網日趨複雜,用戶對互聯網的知識亦比以前更豐富。擊破CAPTCHA 成為其中一種散布垃圾郵件的絕佳方法,這亦使各式各樣的垃圾郵件能夠藉要求個人賬戶登入使用的免費網絡電郵及社交網站發放。」
基於互聯網的複雜惡意軟件在二零零八年大肆散播至社交網站和有漏洞的合法網站,結果使這些惡意軟件毋須用戶作出任何行動,亦能自行下載至用戶的電腦上安裝。新發現潛伏了惡意軟件的網站數量,由一月份的每天一千零六十八個,上升至十一月份的最高峰,達五千四百二十四個。黑客透過SQL注入技術大幅增加這類攻擊。MessageLabs攔截的新網站便由二零零七年的一千二百五十三個,急升至二零零八年的二千二百九十個。
基於互聯網的攻擊在二零零八年更見普及,以電郵進行的攻擊數目便較二零零七年增加了百分之零點一五。二零零八年,在一百四十三點八個電郵中,就有一個電郵 (比率為百分之零點七) 含有惡意內容;至於二零零七年,在一百一十七點七個電郵當中即有一個 (比率為百分之零點八五) 屬於惡意。
此外,兩種獨特的針對性攻擊在二零零八年誕生。MessageLabs情報指出,二零零八年被MessageLabs攔截的針對性木馬程式數量上升至每天五十三個,最高更達至四月份的每天七十八個。反觀在二零零五年,MessageLabs 每星期只須要攔截一至兩個針對性木馬程式,到二零零六年亦僅為每天一至兩個,即使二零零七年年初的數量也只是每天十個。
Sunner指出:「Web 2.0為網上詐騙者提供無盡機會,由虛假的社群網絡賬戶以至騙人的短片,都可以讓他們隨意散播惡意軟件。在二零零八年,以社群網絡環境為目標的威脅已經成為不爭的事實。Web 2.0的興起在於用戶能自行創作內容,情況就正如垃圾郵件發放者製作垃圾內容一樣。網上罪犯的強項是善於運用新媒體,並上載叫人難以抗拒的內容作餌,誘使渴求資訊的用戶開啟瀏覽。他們這種『才能』使他們能夠把詐騙活動,成功演變為地下影子經濟中擴展的商業模式。」
以下例子便可反映出這類透過新途徑出擊的威脅如何在過去一年愈見流行。一種針對性木馬威脅在七月下旬把惡意軟件隱藏在電郵附件上,以欺騙一家與奧運會相關的機構。該電郵附件內藏JavaScript,可把惡意執行程式下載到目標電腦上。這個惡意軟件其後更被寄往數個參賽國家的體育組織及運動員代表。至於另一個針對性木馬威脅,則採用企業間諜的手法,聲稱擁有一些針對接收者的投訴檔案,以欺騙一家知名企業。原來該威脅竟牽涉約九百個以世界各地高級行政人員為目標的針對性木馬程式。
臨近二零零八年年終,信貸危機使垃圾郵件發放者和詐騙者有機可乘,意圖藉著經濟環境轉變為華爾街以至全球帶來的恐慌及不明朗氣氛來圖利,導致製造了很多與財務相關的新攻擊。
流氓程式和社群網絡
在二零零八年,殭屍網絡是九成垃圾郵件的幕後黑手,亦要為內含連接至惡意網站的電郵惡意軟件比例增長負責。有關比例在二月份創下高峰,達百分之六十一點一,而當中被攔截的威脅有百分之九十六是來自Storm加劇了的惡意活動。這個殭屍網絡滅亡前的其中一項最後活動,涉及一種於二零零八年七月份出現的嶄新惡意軟件。該惡意軟件以名人過身為標題,更載有其他網站的網址,只要用戶開啟及連接至這網站,一個號稱反間諜軟件的流氓程式Antivirus XP2008便會在用戶不為意下自動下載安裝。此程式會在電腦運行一次虛假的掃描,並欺騙用戶電腦受到感染,要求收取費用以助移除相關間諜軟件。雖然 Storm已經消失,但該流氓應用程式仍然透過其他殭屍網絡,包括Srizbi、Rustock 及Mega-D,在網上蔓延。在今年七月份被攔截的惡意連接當中便有三分一是與Antivirus XP 2008有關;到了八月份,則有百分之六十四的惡意郵件,其中有大部份偽裝為賀卡,內含連接至為安裝該流氓反間諜軟件而設的木馬投放器。
另一種網絡罪犯在二零零八年偏愛的手段是透過社交網站發放惡意軟件,其實有少部分行動早於二零零七年年終展開。至於今年較流行的方式,是在社交網站上建立虛假個人簡介,然後貼上含有惡意成份的網址以誘騙其他網站用戶。當其他用戶中下圈套,垃圾郵件發放者會在其朋友的留言板上留言,並透過他們的賬戶傳送訊息至其他人。這些訊息最常用作發放垃圾郵件,包括連接至網上藥房等垃圾網站。詐騙者獲准進入正當用戶簡介後,便會套取更多個人資料、加強攻擊目標,使情況一發不可收拾。
最後,報告顯示,釣魚網絡在二零零八年出現了顯著變化,就是由專門的殭屍網絡作出釣魚攻擊變得司空見慣。雖然釣魚攻擊的強度在過去一年並沒有明顯的改變,目標卻由以往的金融機構擴闊至招聘機構及網上零售店。MessageLabs預期在二零零九年,專門針對銀行的木馬程式數量將會繼續攀升。
二零零八年最重要趨勢
網絡保安:MessageLabs攔截的新惡意網站,數量由二零零七年平均每天一千二百五十三個,上升至二零零八年的二千二百九十個,增幅達百分之八十二點八。當中主要原因是黑客增加了注入SQL技術的攻擊。
垃圾郵件:二零零八年全年平均垃圾郵件比率為百分之八十二點二,相比二零零七年的百分之八十四點六,下降百分之三點四。二零零八年有大部分垃圾郵件都是由純文字或HTML內容編寫而成,同時由源自具信譽網絡電郵及應用服務供應商建立的垃圾郵件所佔比例亦有所增加。
病毒:二零零八年的病毒平均水平比率較二零零七年下降了百分之零點一五。二零零八年,平均每一百四十三點八封電郵中,便有一封載有病毒 ( 佔百分之零點七 ) ;在二零零七年,則於一百一十七點七封電郵中,就有一封載有病毒 ( 佔百分之零點八五 ) 。比率有所下降,是因為病毒發放的散播途徑,由以往黑客主要使用、以不同方法引誘收件人打開的電郵,逐漸演變為利用網站載負惡意內容,讓受害者不經意下載安裝。
釣魚網絡:二零零八年的網絡釣魚攻擊水平,為每二百四十四點九封電郵中,就有一封載有釣魚內容 ( 佔百分之零點四一 ) ,而在二零零七年,則在一百五十六封電郵中,有一封載有釣魚內容。二零零八年的釣魚式攻擊高峰在二月份,高達每九十九點一封電郵中,就有一封載有釣魚內容。部分原因,是由於即用式釣魚攻擊附助套件的數量,以及專門為釣魚攻擊而設的殭屍網絡數目均有上升趨勢。
垃圾郵件及惡意軟件去年發展見革命性突破
