新興安全威脅現(xiàn)狀是怎樣的、在云計(jì)算日益普及的今天將會(huì)呈現(xiàn)怎樣的發(fā)展、在移動(dòng)互聯(lián)網(wǎng)時(shí)代如何更好做好防御？在9月23日由360公司主辦的“中國(guó)互聯(lián)網(wǎng)安全大會(huì)上”，新興安全威脅成為安全專家們普遍關(guān)注的重點(diǎn)。

新一代“駭客”怎么精確攻擊目標(biāo)？

美國(guó)SANS學(xué)院互聯(lián)網(wǎng)風(fēng)暴中心主管馬克·薩切斯（Marc Sachs）在較早的時(shí)候說過：“現(xiàn)在的惡意軟件的作者試圖竊取用戶的身份及信用卡數(shù)據(jù)，他們利用擁有的技術(shù)進(jìn)行違法犯罪活動(dòng)，發(fā)不義之財(cái)。他們不再選用通常的更多可歸類為惡作劇式的攻擊手法，而是實(shí)施有組織的破壞性的計(jì)劃。他們不是想在互聯(lián)網(wǎng)上制造混亂，而是想利用互聯(lián)網(wǎng)謀取不義之財(cái)。”

以往的蠕蟲傳播往往是面向隨機(jī)IP或隨機(jī)賬戶，而有社交網(wǎng)絡(luò)之后，犯罪份子們往往可以更精確的鎖定目標(biāo)。在我們發(fā)布個(gè)人狀態(tài)和新聞消息時(shí)，犯罪份子可能正在微博、人人網(wǎng)、微信、淘寶、京東上面確認(rèn)著你的行蹤。沒錯(cuò)，你的一舉一動(dòng)都可能被人關(guān)注著。更讓人無法忍受的，是那些昧著良心把你注冊(cè)信息賣給第三方的服務(wù)商。如果你是垃圾短信、垃圾郵件的受害者，你一定能體會(huì)到這種痛苦。犯罪份子和垃圾廣告發(fā)送者經(jīng)常用這種廉價(jià)而又高效的方式來獲取用戶的信息，從而為下一步行動(dòng)做準(zhǔn)備。

技術(shù)實(shí)力雄厚的攻擊者可以通過竊取用戶云端服務(wù)商的數(shù)據(jù)庫(kù)來獲得用戶的個(gè)人信息和密碼，普通的攻擊者則更多的使用釣魚的方式來引誘用戶去點(diǎn)擊他們精心構(gòu)筑的鏈接……然后，他們可以冒充用戶來對(duì)不知情的用戶好友進(jìn)行詐騙。比如在QQ上說我這幾天手頭緊，能否給我的帳號(hào)打幾百塊錢；或者直接去登錄用戶的游戲帳號(hào)、網(wǎng)店賬戶，將里面的虛擬貨幣和貨款提走。甚至借用你的帳號(hào)來做跳板，去攻擊另外的人。

筆者曾經(jīng)遇到過一起真實(shí)案例，一個(gè)同事接到某個(gè)好友發(fā)來的微博私信，說是讓她幫忙買幾張游戲點(diǎn)卡。同事看到消息后猶豫了一下，便給那個(gè)好友打了個(gè)電話，不料好友電話關(guān)機(jī)。于是同事就給對(duì)方買下了點(diǎn)卡。兩個(gè)小時(shí)后，該好友重新上線，發(fā)現(xiàn)自己的微博已被人盜用。在這起攻擊事件中，犯罪份子是在確認(rèn)了該微博用戶電話關(guān)機(jī)的狀態(tài)下，才向受害者實(shí)施詐騙的，其攻擊過程的精確程度讓人乍舌。

我們?cè)撊绾螒?yīng)對(duì)威脅？

SSL、HTTPS、VPN……以往被認(rèn)為是無懈可擊的加密系統(tǒng)已被證明其并不可靠，無論是在機(jī)場(chǎng)還是在咖啡館，無數(shù)的惡意AP可以讓準(zhǔn)備用Wifi上網(wǎng)的用戶毫無察覺的交出自己的密碼，還有一些高級(jí)APT形式的攻擊方式則更加令人難以防范。比如，之前網(wǎng)上出現(xiàn)過一篇名叫《小心閨蜜寄來的手機(jī)》的文章，講到了一個(gè)技術(shù)公司的女員工收到閨蜜寄來內(nèi)置間諜軟件的新手機(jī)，能夠在用戶毫無防備使用過程中，不幸將公司機(jī)密泄露。這些攻擊都不再單純是技術(shù)上的博弈，而是社會(huì)工程學(xué)和駭客行為的邪惡融合，在企業(yè)間的競(jìng)爭(zhēng)中屢見不鮮。如果說傳統(tǒng)威脅是犯罪份子PK電腦的話，新興的威脅已經(jīng)是犯罪份子直接來PK受害者。毫不夸張的說，從社交身份竊取到網(wǎng)購(gòu)欺詐，目前流行的互聯(lián)網(wǎng)威脅已進(jìn)入“貼身肉搏”時(shí)代。

而面對(duì)危機(jī)四伏安全威脅，單純的給系統(tǒng)打補(bǔ)丁、安裝殺毒軟件已經(jīng)遠(yuǎn)遠(yuǎn)不夠。國(guó)內(nèi)的360等安全公司不但推出了安全防護(hù)工具，還推出了“網(wǎng)購(gòu)先賠”等相應(yīng)的安全保障服務(wù)，為產(chǎn)品漏報(bào)給用戶造成的損失買單，這些都是緩解攻擊的好辦法。同時(shí)，用戶也需要提高自己的安全意識(shí)：網(wǎng)購(gòu)不貪圖小便宜，不要用手機(jī)進(jìn)入機(jī)密或機(jī)要的網(wǎng)絡(luò)，不要登錄使用陌生的無線網(wǎng)絡(luò)，在使用社交網(wǎng)絡(luò)、即時(shí)通訊、電商服務(wù)的時(shí)候主要保護(hù)個(gè)人隱私…..沒有絕對(duì)的安全，但我們可以做到更好的保護(hù)，這就是首屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)帶來的啟示。