新興安全威脅現(xiàn)狀是怎樣的、在云計算日益普及的今天將會呈現(xiàn)怎樣的發(fā)展、在移動互聯(lián)網(wǎng)時代如何更好做好防御？在9月23日由360公司主辦的“中國互聯(lián)網(wǎng)安全大會上”，新興安全威脅成為安全專家們普遍關(guān)注的重點。

新一代“駭客”怎么精確攻擊目標？

美國SANS學(xué)院互聯(lián)網(wǎng)風暴中心主管馬克·薩切斯（Marc Sachs）在較早的時候說過：“現(xiàn)在的惡意軟件的作者試圖竊取用戶的身份及信用卡數(shù)據(jù)，他們利用擁有的技術(shù)進行違法犯罪活動，發(fā)不義之財。他們不再選用通常的更多可歸類為惡作劇式的攻擊手法，而是實施有組織的破壞性的計劃。他們不是想在互聯(lián)網(wǎng)上制造混亂，而是想利用互聯(lián)網(wǎng)謀取不義之財。”

以往的蠕蟲傳播往往是面向隨機IP或隨機賬戶，而有社交網(wǎng)絡(luò)之后，犯罪份子們往往可以更精確的鎖定目標。在我們發(fā)布個人狀態(tài)和新聞消息時，犯罪份子可能正在微博、人人網(wǎng)、微信、淘寶、京東上面確認著你的行蹤。沒錯，你的一舉一動都可能被人關(guān)注著。更讓人無法忍受的，是那些昧著良心把你注冊信息賣給第三方的服務(wù)商。如果你是垃圾短信、垃圾郵件的受害者，你一定能體會到這種痛苦。犯罪份子和垃圾廣告發(fā)送者經(jīng)常用這種廉價而又高效的方式來獲取用戶的信息，從而為下一步行動做準備。

技術(shù)實力雄厚的攻擊者可以通過竊取用戶云端服務(wù)商的數(shù)據(jù)庫來獲得用戶的個人信息和密碼，普通的攻擊者則更多的使用釣魚的方式來引誘用戶去點擊他們精心構(gòu)筑的鏈接……然后，他們可以冒充用戶來對不知情的用戶好友進行詐騙。比如在QQ上說我這幾天手頭緊，能否給我的帳號打幾百塊錢；或者直接去登錄用戶的游戲帳號、網(wǎng)店賬戶，將里面的虛擬貨幣和貨款提走。甚至借用你的帳號來做跳板，去攻擊另外的人。

筆者曾經(jīng)遇到過一起真實案例，一個同事接到某個好友發(fā)來的微博私信，說是讓她幫忙買幾張游戲點卡。同事看到消息后猶豫了一下，便給那個好友打了個電話，不料好友電話關(guān)機。于是同事就給對方買下了點卡。兩個小時后，該好友重新上線，發(fā)現(xiàn)自己的微博已被人盜用。在這起攻擊事件中，犯罪份子是在確認了該微博用戶電話關(guān)機的狀態(tài)下，才向受害者實施詐騙的，其攻擊過程的精確程度讓人乍舌。

我們該如何應(yīng)對威脅？

SSL、HTTPS、VPN……以往被認為是無懈可擊的加密系統(tǒng)已被證明其并不可靠，無論是在機場還是在咖啡館，無數(shù)的惡意AP可以讓準備用Wifi上網(wǎng)的用戶毫無察覺的交出自己的密碼，還有一些高級APT形式的攻擊方式則更加令人難以防范。比如，之前網(wǎng)上出現(xiàn)過一篇名叫《小心閨蜜寄來的手機》的文章，講到了一個技術(shù)公司的女員工收到閨蜜寄來內(nèi)置間諜軟件的新手機，能夠在用戶毫無防備使用過程中，不幸將公司機密泄露。這些攻擊都不再單純是技術(shù)上的博弈，而是社會工程學(xué)和駭客行為的邪惡融合，在企業(yè)間的競爭中屢見不鮮。如果說傳統(tǒng)威脅是犯罪份子PK電腦的話，新興的威脅已經(jīng)是犯罪份子直接來PK受害者。毫不夸張的說，從社交身份竊取到網(wǎng)購欺詐，目前流行的互聯(lián)網(wǎng)威脅已進入“貼身肉搏”時代。

而面對危機四伏安全威脅，單純的給系統(tǒng)打補丁、安裝殺毒軟件已經(jīng)遠遠不夠。國內(nèi)的360等安全公司不但推出了安全防護工具，還推出了“網(wǎng)購先賠”等相應(yīng)的安全保障服務(wù)，為產(chǎn)品漏報給用戶造成的損失買單，這些都是緩解攻擊的好辦法。同時，用戶也需要提高自己的安全意識：網(wǎng)購不貪圖小便宜，不要用手機進入機密或機要的網(wǎng)絡(luò)，不要登錄使用陌生的無線網(wǎng)絡(luò)，在使用社交網(wǎng)絡(luò)、即時通訊、電商服務(wù)的時候主要保護個人隱私…..沒有絕對的安全，但我們可以做到更好的保護，這就是首屆中國互聯(lián)網(wǎng)安全大會帶來的啟示。