新聞源 財富源

2024年12月25日 星期三

財經 > 證券 > 正文

字號:  

構建安全+新生態圈

  • 發佈時間:2016-01-30 00:30:59  來源:中國證券報  作者:佚名  責任編輯:羅伯特

  □ 本報記者 王榮

  春節臨近,聚會、發紅包、買年貨、購機票……手機移動支付行為越來越多,但也正是這個時候,這些貌不驚人的舉動,分分鐘都可能把銀行卡中的錢送到壞人口袋中。

  騰訊安全發佈《2015年度網際網路安全報告》指出,病毒駭客邁入大數據時代,可使用受害人銀行卡進行網上消費,從海量用戶短信數據中,獲取到更多用戶賬號和身份資訊,甚至完全控制用戶手機。

  面對安全新生態格局,業界建議,要構建一個全新安全+新生態圈,聯合政府、行業機構、科研院所、網際網路産業、安全産品提供商、上下游服務企業各方力量,形成合力。

  陷阱叢生令人擔心

  節日臨近,同事、朋友聚會增多,更有很多人趁著節日辦喜事。“如果收到聚會相冊、結婚請帖或紅包福利等‘帶連結的短信’,請務必要警惕,這很有可能是一條手機木馬連結。”騰訊專項打擊網路詐騙雷霆行動負責人朱勁松如此提醒。

  一旦點擊連結,網路用戶資訊庫就有被盜可能。黑産團夥會利用這些資訊實施精準的欺詐與敲詐,對用戶資訊和資金安全造成很大威脅。前不久在“果粉圈”引起較大反響的“蘋果鎖機”事件就是一個典型案例。江蘇省淮安公安網安支付副支隊長鄭楊介紹,用戶手機被鎖就是因為他們Apple ID綁定的郵箱和密碼在釣魚網站上被竊取。Apple ID被盜後會引起一連串蝴蝶效應,黑産團夥不僅可以竊取雲端通訊錄、照片等個人資料,還可以更換ID,遠端控制手機。

  據騰訊電腦管家反病毒實驗室相關數據顯示,2015年電腦端感染最多的前十位病毒類型為:廣告推廣類木馬、帶注入行為的惡意程式、惡意下載器、感染型病毒、盜號木馬、鎖主頁木馬、間諜程式、內核級木馬、加密敲詐類木馬、後門木馬。其中,廣告推廣類木馬被報告頻次最高。瀏覽網頁是電腦用戶最主要的需求,而網路小廣告具有很大迷惑性,常常利用用戶已習以為常的心態,故意誘導用戶去手動關閉該彈窗,實現通過廣告木馬強迫用戶訪問其惡意推廣網站和傳播病毒的目的。

  如果工作群中,領導、同事向你索要紅包,也要提高警惕。目前,越來越多網路黑産分子開始借助社交關係鏈來進行假冒欺詐。他們在黑市上購買到用戶個人隱私資訊和通訊錄後,會盜用用戶頭像和名字,假冒成本人在其社交圈內行騙。例如,偽裝成某公司老總,並在社交平臺加其員工為好友,命令員工給特定賬戶轉錢。

  據網路黑産研究專家毛晟斌介紹,過去一年中已有不少公司財務人員遭受到此類網路欺詐。

  駭客邁入大數據時代

  值得注意的是,如今的詐騙已慢慢向技術化詐騙轉移,駭客也開始利用大數據。

  據悉,犯罪分子無需花費時間去誘騙受害人轉錢,而直接通過偽基站發送各種冒充10086、銀行或親朋好友的木馬短信。在用戶點擊短信中木馬連結後,手機木馬隨即植入用戶手機,盜取用戶個人資訊,攔截轉發短信驗證碼。不法分子用這些資訊登錄電商平臺購物,並實現盜刷。而在整個過程中,用戶幾乎毫無感知。

  據透露,上述盜刷的主要方式是當驗證碼短信發送到受害人中病毒手機時,手機木馬攔截驗證碼短信,轉發到駭客手機或伺服器,導致受害人手機上無法顯示驗證碼短信,駭客進而使用轉發過來的驗證碼進行消費,造成受害人銀行卡被盜刷。

  另外,駭客在造成技術故障後,會導致網站被拖庫,導致大量用戶數據洩露。例如,此前報道出現的CSDN網站被拖庫,酒店客戶數據洩露,客戶端數據洩露等。另有駭客利用病毒收集大量中毒用戶個人資訊數據,通過獲取到更多用戶賬號和身份資訊,無需依賴用戶填寫的個人資訊,可以直接盜刷用戶銀行卡。

  通過技術,駭客可以完全控制用戶手機,並根據用戶短信歷史記錄,獲取手機中毒用戶與聯繫人關係,並通過手機對用戶朋友、親人、客戶進行欺詐。欺詐過程中,甚至可以設置用戶手機無法接聽電話,保證欺詐過程無干擾。

  構建安全+新生態圈

  但多數用戶安全意識不強。調查顯示,我國81.64%的網民不注意定期更換密碼,其中遇到問題才更換密碼的佔64.59%,從不更換密碼的佔17.05%;75.93%的網民存在多賬戶使用同一密碼問題。其中,青少年網民最為嚴重,達82.39%;44.42%的網民使用生日、電話號碼或姓名全拼設置密碼,青少年網民佔比更高,達49.58%。

  為此,業內呼籲對於安全新生態格局,要構建一個全新安全+新生態圈,就要以開放、共用、融合理念搭建平臺,聯合政府、行業機構、科研院所、網際網路産業、安全産品提供商、上下游服務企業各方力量,形成合力。

  政策面上,2015年6月底,十二屆全國人大常委會第十五次會議審議《網路安全法(草案)》,並於7月初向社會公開徵求意見。《草案》重要內容主要包括,確定網路安全工作基本原則、將個人資訊保護納入正軌和網路産品和服務的安全保障,還規定重大突發事件時政府可採取臨時措施限制網路。當《草案》成為正式法規發佈後,其他相關安全規定、條例也會相繼出臺。

  而針對安全意識的缺乏,網路對抗能力較弱,法律、經費和人才等網路安全方面基礎不牢,關鍵資訊基礎設施安全防護能力較差等問題,仍需構建“打防管控”一體化網路安全綜合防控體系。

  另外,在網際網路催化之下,諸多傳統産業都將融入資訊網路,各企業相連會形成空前龐大的網際網路生態。網際網路與社會各領域都建立連接,這意味著網路安全風險將不僅僅出現在智慧終端,而是任何連接網路生態之上。為此,安全行業除在業務環節實現相互連接外,底層基礎安全技術能力、數據和介面也必須相互開放和連接,共同打造公共基礎安全平臺和能力。

  業界預計,未來安全技術不再孤立,需更多和産業融合,奠定網際網路産業經濟發展根基;安全廠商不再孤立,需更多開放合作,共建統一的標準和服務;安全數據不再孤立,需開放共用,建立可視化立體網路,驅動資訊安全

熱圖一覽

  • 股票名稱 最新價 漲跌幅