毫無疑問，網(wǎng)絡(luò)犯罪分子正繼續(xù)利用自有和租用的僵尸網(wǎng)絡(luò)來滿互聯(lián)網(wǎng)發(fā)布包含虛假和仿制商品信息的非法廣告，但它作為核心搖錢樹的地位正呈現(xiàn)出下降的趨勢。現(xiàn)在，電子郵件已經(jīng)成為網(wǎng)絡(luò)的軟肋所在，從惡作劇類搞笑行為的樂園變成騙子橫行收件人財產(chǎn)受到極大威脅的不法之地。

日益方便的惡意網(wǎng)站建立方式

今天，網(wǎng)絡(luò)犯罪分子可以利用大量發(fā)送電子郵件的方式來盜竊受害人的資金。在網(wǎng)絡(luò)犯罪分子的眼中，既然使用和依賴電子郵件賬戶的人員數(shù)量是如此之多，怎么還會有比它更值得的關(guān)注目標(biāo)?

通常情況下，所謂的電子郵件類攻擊包括了網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚、木馬、惡意附件和隱藏腳本等形式。因此，對于安全專家來說，需要努力掌握處于不斷發(fā)展中的新攻擊技術(shù)，才能予以有效防范。這種“貓捉老鼠”的方式推動惡意軟件開發(fā)者為了實現(xiàn)預(yù)定目的而不斷推出更好的工具，并且導(dǎo)致了一些非常復(fù)雜的代碼出現(xiàn)。

剛開始的時間，為了引誘受害者訪問惡意網(wǎng)站，網(wǎng)絡(luò)犯罪分子需要首先人工建立好網(wǎng)站并在被關(guān)閉前吸引到足夠多的用戶訪問。作為一種替代方法，網(wǎng)絡(luò)犯罪分子也可能通過發(fā)送偽裝成被接收方感興趣事物的特洛伊木馬病毒。通常情況下，攻擊者的工作包括了編寫惡意代碼，發(fā)送電子郵件，維持破壞網(wǎng)站的運行等部分。盡管木馬模式依然屬于可行選擇，但是感謝外包服務(wù)的普及，攻擊者必須具備基礎(chǔ)技能和相應(yīng)資源的客觀限制已經(jīng)不存在了。現(xiàn)在，只要擁有必要的資金和意愿，任何人都可以組織起一個正式的網(wǎng)絡(luò)犯罪團體來，并在短短幾天內(nèi)做好所有的準(zhǔn)備工作。

急劇增長的惡意軟件變種

我們已經(jīng)見識過數(shù)以百萬計利用電子郵件進行傳播的惡意軟件變種了，其中最典型的就是1999年出現(xiàn)的“梅莉莎”。大家猜得不錯，梅莉莎代表了開發(fā)者與一位同名女性之間的風(fēng)流韻事。盡管看起來象是一份微軟Word文件，但本質(zhì)上梅莉莎確屬于一種蠕蟲病毒。它的傳播速度是如此之快，以至于大量網(wǎng)站不得不選擇直接關(guān)閉以防止系統(tǒng)崩潰。直到目前為止，它造成的效果依然屬于有史以來規(guī)模最大的網(wǎng)絡(luò)攻擊。

千禧年的時間，另一種叫做愛情蟲的變種惡意軟件威脅又出現(xiàn)了。愛情蟲采用的攻擊方式與梅莉莎類似，就是說服收件人打開偽裝成一封情書的惡意附件。接下來就是在2001年，紅色代碼給整個網(wǎng)絡(luò)業(yè)帶來了極大破壞，所有清理費用加起來的總額估計高達數(shù)十億美元。而且，我們也不應(yīng)該忘記怪物病毒。它屬于利用電子郵件進行傳播的病毒，可以通過微軟Outlook竊取受害者的信用卡號碼和密碼，甚至讓微軟都沒有意識到會發(fā)生了這樣的情況并給出解決方案。

一晃就是數(shù)年的時間過去了，利用電子郵件傳播的病毒依然呈現(xiàn)出數(shù)量急劇上升的趨勢。沖擊波蠕蟲、震蕩波、蠕蟲王紛紛現(xiàn)身，再加上更具破壞性和高度靈活性的暴風(fēng)蠕蟲也不甘示弱，這一切讓人們認識到在病毒背后存在著開發(fā)團隊和僵尸網(wǎng)絡(luò)的支持。暴風(fēng)蠕蟲的代碼是如此高效，以至于盡管從2007年開始就被當(dāng)作主要威脅但卻一直流行到2010年。此后不久，暴風(fēng)蠕蟲就被甚至更靈活的Waledac、Pushdo和BredoLab所取代。某些專家甚至懷疑風(fēng)暴蠕蟲的開發(fā)者也就是Waledac的作者。

各具特色的惡意軟件工具包

十年前，人們所擔(dān)憂的不過是垃圾郵件發(fā)送者成功地發(fā)送出一大批垃圾電子郵件。但今天，攻擊者的目標(biāo)變得更加專注而明確，這就是錢。

在利用電子郵件傳播的惡意軟件中，宙斯木馬就是一個非常流行并且極為危險的典型。在最近幾年里，它一直非常流行;甚至在原始開發(fā)者都已經(jīng)將源代碼交給了另一款惡意軟件工具包諜眼的作者后，還是不斷出現(xiàn)各種變種。造成這種情況的原因是什么呢?答案就是，“工具包”使用起來很方便并且可以在地下論壇上方便找到。

通過將工具打包出售，惡意軟件開發(fā)者可以從企圖從事網(wǎng)絡(luò)犯罪行為但又缺乏足夠能力的人群中賺取鈔票。大部分工具包的價格都處于普通人可以負擔(dān)的程度。盡管最早在黑市上曾經(jīng)到過幾千美元的高價，但很快就下降到幾百美元的樣子。其它開發(fā)者則采取了類似宙斯和諜眼的模式，利用增值服務(wù)來獲得利潤;通過向購買者提供訪問支持頁面，親自回答功能方面出現(xiàn)疑問的形式來贏得用戶。更嚴重的情況就是，某些開發(fā)者聲稱可以提供連最新防病毒解決方案也無法識別的版本，從而實現(xiàn)提高電子郵件類攻擊成功率的目標(biāo)。

通常情況下，工具包的使用者都屬于入門級用戶。攻擊者只要輸入相關(guān)信息(舉例來說，受害人的電子郵件地址)，它就可以自動生成通用的郵件內(nèi)容，然后只要確認竊取信息返回的目的地就可以了。接下來，攻擊者要做的就是點擊“確認”，工具包就可以自動完成從盡一切可能從尋找網(wǎng)站中存在的漏洞到輸入惡意代碼盜竊個人信息在內(nèi)的所有工作。

對于一起典型的宙斯/諜眼攻擊來說，往往會開始于一名潛在受害者接受到一封偽造的電子郵件，涉及內(nèi)容通常是假發(fā)票或者銀行關(guān)于賬戶安全問題的“官方”通知。舉例來說，郵件附件中將包含偽裝成為假發(fā)票的文件，或者是一條顯示“修復(fù)”賬戶問題的鏈接。一旦收件人打開惡意鏈接或者附件，系統(tǒng)中就會被打開一個后門。惡意軟件將會尋找系統(tǒng)中正在運行的防病毒解決方案，并試圖在后臺模式里偷偷地關(guān)閉。更強大的版本甚至?xí)ふ蚁到y(tǒng)已有的惡意軟件，并予以禁用，以防止其搶占系統(tǒng)資源。諜眼就是第一個采取這種模式的(甚至在宙斯開發(fā)者將代碼移交之前)病毒。使用者只要選擇一個簡單的標(biāo)記復(fù)選框，利用“清除宙斯”功能就可以有效地確認禁止并清除所在機器上的宙斯木馬。

一旦完成了上述準(zhǔn)備工作，惡意軟件就可以用打開的后門下載木馬。來自命令和控制服務(wù)器的惡意軟件就可以進入到系統(tǒng)中。通常情況下，宙斯和諜眼會安裝鍵盤記錄器，并在受害者訪問銀行賬戶之類的機密網(wǎng)站時記錄所有按鍵信息。通常情況下，利用該方式獲得的用戶名和密碼等機密信息會被發(fā)送到預(yù)定的外部受控制服務(wù)器上存放。盡管按照開發(fā)者的愿望，惡意軟件控制器應(yīng)該可以清除其它競爭者，將“后門”永久保持下去，但是現(xiàn)實情況并非總是如此。

現(xiàn)在，壞蛋們就可以對收集到的信息進行打包處理，并到黑市論壇上轉(zhuǎn)售。人們可以購買“完整版本”，或者成千上萬條按照個人姓名、出生日期、賬戶號碼、信用卡號碼、社會安全號碼、日志項和密碼等常用信息分類的數(shù)據(jù)包來進行在線購物或者利用錢騾在帳號中洗錢。被當(dāng)作錢騾的用戶并不一定會了解真正的交易，他們僅僅是相信所謂“在家工作”類廣告可以帶來好處。對于他們來說，即便是聲稱不懂法也不能降低自身在犯罪中的從犯地位。

提高警惕性是保證安全的關(guān)鍵

盡管垃圾電子郵件的總量出現(xiàn)降低可能屬于事實，但這并不意味著電子郵件涉及的危險性會有所下降。為了應(yīng)對安全性改善和提高帶來的問題，網(wǎng)絡(luò)犯罪分子也正變得越來越有創(chuàng)意，導(dǎo)致電子信息中的危險系數(shù)也開始上升。這就是我們?yōu)槭裁磻?yīng)該加強針對網(wǎng)絡(luò)威脅的宣傳和教育。畢竟，驕傲自滿的人往往就會成為下一名受害者。
 

【編輯推薦】

1. 惡意軟件嚴重程度遭質(zhì)疑
2. 網(wǎng)址過濾：防御惡意軟件的第一道防線
3. 企業(yè)如何應(yīng)對Android惡意軟件猛增的安全挑戰(zhàn)
4. 惡意軟件感染成企業(yè)安全的勁敵