新闻源 财富源

2024年12月17日 星期二

财经 > 证券 > 正文

字号:  

构建安全+新生态圈

  • 发布时间:2016-01-30 00:30:59  来源:中国证券报  作者:佚名  责任编辑:罗伯特

  □ 本报记者 王荣

  春节临近,聚会、发红包、买年货、购机票……手机移动支付行为越来越多,但也正是这个时候,这些貌不惊人的举动,分分钟都可能把银行卡中的钱送到坏人口袋中。

  腾讯安全发布《2015年度互联网安全报告》指出,病毒黑客迈入大数据时代,可使用受害人银行卡进行网上消费,从海量用户短信数据中,获取到更多用户账号和身份信息,甚至完全控制用户手机。

  面对安全新生态格局,业界建议,要构建一个全新安全+新生态圈,联合政府、行业机构、科研院所、互联网产业、安全产品提供商、上下游服务企业各方力量,形成合力。

  陷阱丛生令人担心

  节日临近,同事、朋友聚会增多,更有很多人趁着节日办喜事。“如果收到聚会相册、结婚请帖或红包福利等‘带链接的短信’,请务必要警惕,这很有可能是一条手机木马链接。”腾讯专项打击网络诈骗雷霆行动负责人朱劲松如此提醒。

  一旦点击链接,网络用户信息库就有被盗可能。黑产团伙会利用这些信息实施精准的欺诈与敲诈,对用户信息和资金安全造成很大威胁。前不久在“果粉圈”引起较大反响的“苹果锁机”事件就是一个典型案例。江苏省淮安公安网安支付副支队长郑杨介绍,用户手机被锁就是因为他们Apple ID绑定的邮箱和密码在钓鱼网站上被窃取。Apple ID被盗后会引起一连串蝴蝶效应,黑产团伙不仅可以窃取云端通讯录、照片等个人资料,还可以更换ID,远程控制手机。

  据腾讯电脑管家反病毒实验室相关数据显示,2015年电脑端感染最多的前十位病毒类型为:广告推广类木马、带注入行为的恶意程序、恶意下载器、感染型病毒、盗号木马、锁主页木马、间谍程序、内核级木马、加密敲诈类木马、后门木马。其中,广告推广类木马被报告频次最高。浏览网页是电脑用户最主要的需求,而网络小广告具有很大迷惑性,常常利用用户已习以为常的心态,故意诱导用户去手动关闭该弹窗,实现通过广告木马强迫用户访问其恶意推广网站和传播病毒的目的。

  如果工作群中,领导、同事向你索要红包,也要提高警惕。目前,越来越多网络黑产分子开始借助社交关系链来进行假冒欺诈。他们在黑市上购买到用户个人隐私信息和通讯录后,会盗用用户头像和名字,假冒成本人在其社交圈内行骗。例如,伪装成某公司老总,并在社交平台加其员工为好友,命令员工给特定账户转钱。

  据网络黑产研究专家毛晟斌介绍,过去一年中已有不少公司财务人员遭受到此类网络欺诈。

  黑客迈入大数据时代

  值得注意的是,如今的诈骗已慢慢向技术化诈骗转移,黑客也开始利用大数据。

  据悉,犯罪分子无需花费时间去诱骗受害人转钱,而直接通过伪基站发送各种冒充10086、银行或亲朋好友的木马短信。在用户点击短信中木马链接后,手机木马随即植入用户手机,盗取用户个人信息,拦截转发短信验证码。不法分子用这些信息登录电商平台购物,并实现盗刷。而在整个过程中,用户几乎毫无感知。

  据透露,上述盗刷的主要方式是当验证码短信发送到受害人中病毒手机时,手机木马拦截验证码短信,转发到黑客手机或服务器,导致受害人手机上无法显示验证码短信,黑客进而使用转发过来的验证码进行消费,造成受害人银行卡被盗刷。

  另外,黑客在造成技术故障后,会导致网站被拖库,导致大量用户数据泄露。例如,此前报道出现的CSDN网站被拖库,酒店客户数据泄露,客户端数据泄露等。另有黑客利用病毒收集大量中毒用户个人信息数据,通过获取到更多用户账号和身份信息,无需依赖用户填写的个人信息,可以直接盗刷用户银行卡。

  通过技术,黑客可以完全控制用户手机,并根据用户短信历史记录,获取手机中毒用户与联系人关系,并通过手机对用户朋友、亲人、客户进行欺诈。欺诈过程中,甚至可以设置用户手机无法接听电话,保证欺诈过程无干扰。

  构建安全+新生态圈

  但多数用户安全意识不强。调查显示,我国81.64%的网民不注意定期更换密码,其中遇到问题才更换密码的占64.59%,从不更换密码的占17.05%;75.93%的网民存在多账户使用同一密码问题。其中,青少年网民最为严重,达82.39%;44.42%的网民使用生日、电话号码或姓名全拼设置密码,青少年网民占比更高,达49.58%。

  为此,业内呼吁对于安全新生态格局,要构建一个全新安全+新生态圈,就要以开放、共享、融合理念搭建平台,联合政府、行业机构、科研院所、互联网产业、安全产品提供商、上下游服务企业各方力量,形成合力。

  政策面上,2015年6月底,十二届全国人大常委会第十五次会议审议《网络安全法(草案)》,并于7月初向社会公开征求意见。《草案》重要内容主要包括,确定网络安全工作基本原则、将个人信息保护纳入正轨和网络产品和服务的安全保障,还规定重大突发事件时政府可采取临时措施限制网络。当《草案》成为正式法规发布后,其他相关安全规定、条例也会相继出台。

  而针对安全意识的缺乏,网络对抗能力较弱,法律、经费和人才等网络安全方面基础不牢,关键信息基础设施安全防护能力较差等问题,仍需构建“打防管控”一体化网络安全综合防控体系。

  另外,在互联网催化之下,诸多传统产业都将融入信息网络,各企业相连会形成空前庞大的互联网生态。互联网与社会各领域都建立连接,这意味着网络安全风险将不仅仅出现在智能终端,而是任何连接网络生态之上。为此,安全行业除在业务环节实现相互连接外,底层基础安全技术能力、数据和接口也必须相互开放和连接,共同打造公共基础安全平台和能力。

  业界预计,未来安全技术不再孤立,需更多和产业融合,奠定互联网产业经济发展根基;安全厂商不再孤立,需更多开放合作,共建统一的标准和服务;安全数据不再孤立,需开放共享,建立可视化立体网络,驱动信息安全

热图一览

  • 股票名称 最新价 涨跌幅