賽門鐵克發表2010網路安全半年報
賽門鐵克(Nasdaq:SYMC)今日發表2010年網路安全半年報。針對2010年網路安全提出4大網路威脅現象,包括社交網路盛行的第三方應用程式已淪為詐騙目標、短網址服務成為釣魚客的新寵兒、廉價垃圾郵件帳戶農夫(account-farmers)建立垃圾郵件等現象:
(一) 社交網路的第三方應用程式淪為詐騙目標
網路詐騙威脅隨著不斷成長社交網路用戶數攀升,尤其社交網路持續開放程式開發者等第三方開發的應用程式中的漏洞,更成為駭客最新攻擊的目標。賽門鐵克代管服務的Web Security Service在2010年攔阻經由社交網站而來的惡意內容,從平均每451筆即有1筆,攀升至每301筆即有1筆。尤其有愈來愈多的開放應用程式被開發使用,更讓駭客有機可趁。
(二) 字詞驗證碼(CAPTCHA)技術將再進化以預防垃圾郵件
字詞驗證碼技術(CAPTCHA)可攔阻垃圾郵件發送者以用自動化方式製造發送垃圾郵件的新帳戶。為突破此技術的阻擾,垃圾郵件作者在新興國家以不到10%的低廉成本雇用帳戶農夫(account-farmers),以每一千個帳戶30到40美元的報酬,建立新帳戶以閃避檢查機制。紐約時報曾於今年4月報導垃圾郵件作者在開發中國家雇用廉價人力一事,以「行情價」每一千筆8毛至1.2美元的報酬,手動輸入字詞驗證碼申請新帳戶以散播垃圾郵件。因此,賽門鐵克預估字詞驗證碼技術將可能再進化,進以有效防止垃圾郵件帳戶的產生。
(三) 短網址服務(URL Shortening Services)成為釣魚客新寵兒
一般人對短網址的警戒心較低,因為單從網址難以分辨該連結的目的地;此外,也因夾帶短網址的垃圾郵件較能躲過防垃圾郵件過濾機制的檢查,因此短網址已成為垃圾郵件作者、釣魚客和惡意程式作者的最愛。此類夾帶短網址的垃圾郵件曾在2009年7月達到9.3%的歷史高峰,換句話說,每天就有100億封此類型的垃圾郵件漫步全球,而今年4月,此數目更近兩倍的新高刷新紀錄。
(四) 防毒軟體不足以抵禦變化多端的網路威脅
千變萬化的惡意程式盛行,僅能提供檔案特徵、啟發(heuristic)或行為式(behavioral)學習能力的防毒軟體已不足以防禦外來威脅。賽門鐵克在2009年發現超過2億4千萬個新型惡意程式,較2008年成長100%,截至今年年中也已發現1億2千4百萬個新型惡意程式。這些數字證明單純的防毒軟體,不足以應付繁衍迅速且變化多端的新型惡意程式,未來需運用如賽門鐵克的信譽評等安全技術(Reputation-Based Security)或其他如啟發式、行為式及入侵預防等技術方能抵擋攻擊。
除以上4大網路安全現況外,同時提出值得注意的3項發展:
<猖獗的流氓防毒軟體業者>:偽冒防毒軟體業者將網路上可輕易找到的免費防毒軟體重新包裝,再販售給不知情的用戶。然其中尚有更惡質的業者,例如賽門鐵克近期調查名為「Online PC Doctors」的公司,該公司程式聲稱偵測用戶電腦中毒,說服網路使用者授權以遠端遙控方式檢測,並提供如信用卡帳號等個人資料後即可免費「維修」,進而騙取個人重要資訊;
<針對Mac及行動裝置的惡意軟體逐漸增加>:市佔愈高的作業系統愈容易成為駭客的目標,惡意程式作者更能因此賺得更多不義之財。近年Mac及智慧型手機持續上升的人氣,讓惡意程式作者紛紛以諸如Sexy Space的殭屍網站(botnet) 、OSX.Iservice Trojan分別鎖定Symbian的行動裝置作業系統及Mac用戶攻擊。要提醒用戶的是因Mac及智慧型手機的日漸普及,駭客們也將投注更多時間研究攻擊的方式。
關於賽門鐵克
賽門鐵克公司是全球領先的安全、儲存與系統管理解決方案供應商,協助消費者與企業組織保護與管理他們由資訊所駕馭的世界。賽門鐵克的軟體及服務對於愈趨多樣化的風險提供了更多元、更全面及更有效率的防護,讓用戶對不論是在使用中或是被儲存的資訊皆能具有信心。若需瞭解更多相關資訊,歡迎瀏覽賽門鐵克公司網頁: http://www.symantec.com