2012年中国互联网安全报告

时间:2013-02-08 12:54

2012年

中国网站安全报告


摘    要

2012年,钓鱼欺诈已经超过木马病毒和网页挂马,成为网民上网的首要安全威胁。虚假购物、虚假中奖和模仿登录是钓鱼网站的主要类型,而搜索引擎仍然是钓鱼网站传播的主要途径。由于近90%的钓鱼网站设在境外或香港地区,使得通过法律手段打击钓鱼网站非常困难。通过网址云安全鉴定等技术方式识别和拦截钓鱼网站,目前仍然是保护网民免受钓鱼侵害的最有效途径。

网站频繁被黑是2012年互联网安全的另一个重要特点。系统被拖库,数据被篡改的事件时有发生。而造成这种情况的主要原因就是大量网站存在高危安全漏洞。此外,流量攻击也已经成为敲诈勒索和不正当竞争的流行工具,严重威胁中小网站的生存安全。

  

免责声明

本报告为360安全中心发布的研究数据和分析资料。主要数据来源于360云安全系统、360客服中心、360网站安全检测平台、360网站卫士以及网络公开资料。报告针对2012年中国互联网安全状况进行统计总结,并发布安全趋势研究结论。

本报告可供任何个人、政府相关部门及行业机构、企事业单位参考,但对于本报告所阐述之内容、数据及分析结果,360安全中心不承担与此相关的一切法律责任。


网民上网的主要安全威胁

在安全软件和安全浏览器的双重夹击之下,网页挂马行为的实际危害已经微乎其微,甚至已经基本灭绝。但又一种新形式的作恶行为又涌现了出来,钓鱼网站。由于单纯的钓鱼网站本身不一定包含恶意代码,因此很难被传统的安全技术方法所识别;加之绝大多数的钓鱼网站设在境外,因此也很难通过法律手段进行有效的打击。

钓鱼网站的这些特点,使钓鱼网站在最近两年中呈现出快速增长的势头,并且已经超过网页挂马和木马病毒,成为危害网民上网安全的首要安全威胁。

(一)  网页挂马已经呈现消亡的趋势

随着互联网安全形式的不断变化,恶意程序的传播途径也在不断改变。下面两图分别给出了最近3年新增挂马网页数量和挂马网页云查询拦截量的统计。


从图中可以看出,2011年的新增挂马网页数量仅为2010年的7.3%,而2012年在2011年的基础长又减少了近2%。如果从挂马网页的活跃程度上来看,2011年的云查询拦截量仅为2010年的12.9%,2012年又仅为2011年的14.0%。从这组统计数字来看,网页挂马的实际危害已经被基本消除。

(二)  钓鱼网站成为上网主要威胁

2012年,360云安全中心确认新增钓鱼网站87.3万个,较2011年增长73.9%;钓鱼网站的云查询拦截量为81.0亿次,较2011年增长了273.3%,是同期挂马网页拦截量的近200倍。钓鱼网站已经呈现出明显的快速增长和加速传播的势头。

下面两图分别给出2010年-2012年,各季度钓鱼网站的新增数量和云查询拦截量。从图中可以看出:2010年,钓鱼网站的数量就已经开始快速增长,2011年的第1季度虽然明显有所回落,但随后便一直呈现出稳定和快速增长的态势,并一直保持到了2012年年末;而从钓鱼网站的活跃程度来看,2012年的钓鱼网站云查询拦截量也表现为持续的快速增长,每个季度都创出历史新高,第4季度的爆发更是比前三个季度的总和还要高出37.2%。


综上所述,无论是从新增数量还是云查询拦截量上看,钓鱼网站都已经进入了前所未有的历史活跃期。从实际危害的角度看,钓鱼欺诈已经远远超过网页挂马和木马病毒,成为中国网民上网的主要安全威胁。

从地域分布的角度看,钓鱼网站主要分布在境外地区(76.3%)和香港地区(13.2%),二者之和达到89.5%。这也就为有关部门通过法律手段监管和打击钓鱼欺诈行为制造了很大的困难。现阶段,安全厂商通过技术手段来识别和拦截钓鱼网站,仍然是打击钓鱼网站最为切实可行的方式。


从钓鱼网站的类型分布上看,虚假购物仍然以33.3%的比例蝉联钓鱼网站排名的榜首,紧随其后的是虚假中奖和模仿登录类钓鱼网站。排名前三的钓鱼网站占到钓鱼网站总量的66.4%。值得一提的是,去年排名靠前的各种博彩类钓鱼网站的排名明显下降,而模仿登录的比例却大幅上升,排名也大幅提前。


在虚假购物类网站中,最为常见的是“假冒淘宝”。此类网站利用伪造商品页面诱骗买家支付,实际付款对象是不法分子的账户。有时此类钓鱼网站也会套取受骗者的帐号密码。


此外,网游交易欺诈,手机充值欺诈、仿冒品牌官网等也都是典型的虚假购物网站。从更广义的角度看,仿冒网银、销售假药、虚假票务网站也都属于虚假购物一类,不过由于这几类网站相对特殊,危害性也尤其突出,因此通常有必要进行专门统计。下面两图分别给出了仿冒网银和销售假药的网站案例。


虚假中奖类网站的数量虽然也超过了20%,不过其中绝大多数并不很难识别,网民只要提高警惕,增强自我保护意识,就不容易上当受骗。但是,排名第三的模仿登录类网站则往往会通过精良的页面制作,使其网站看上去十分逼真,普通网民仅凭肉眼一般难以分辨。下图给出了一个模仿QQ安全中心登录界面的高仿网站截图。



截至2012年12月底,接受该平台检测的网页数量累计已达12.5亿,共发现各种网页漏洞4400多万个。黑客可以利用网站的漏洞入侵网站系统,夺取最高权限,篡改网页内容,窃取数据库信息。

2012年,网站安全问题进一步突显,网站被拖库、网页被篡改、用户信息被泄漏的事件频频曝光。网站频遭黑客入侵的一个主要原因就网站自身存在高危安全漏洞。此外,雇佣黑客对竞争对手的网站进行流量攻击,也成为2012年网站安全的突出问题。大量中小网站面对此类攻击束手无策,甚至因此陷入生存困境。

 

根据360网站安全检测平台的抽样统计显示,75.6%的国内网站存在高危安全漏洞,而39.6%的网站存在大量高危安全漏洞。黑客可以利用这些漏洞入侵网站系统,夺取最高权限,篡改网页内容,窃取数据库信息。实际上,在存在高危安全漏洞的网站中,相当一部分网站已经被黑掉了。

目前已知的各类高危网站漏洞大约有1000多种。不过,从360网站卫士拦截漏洞攻击的数量统计来看,遭黑客攻击量排名前两位的安全漏洞分别是:跨站脚本漏洞和SQL注入漏洞。2011年, SQL注入攻击最为常见,而2012年,跨站脚本攻击量快速上升,并超过了SQL注入攻击。而针对这两个漏洞的攻击量之和,占到了网站卫士拦截的漏洞攻击总量的96.6%。另据360网站安全检测平台的统计结果显示,在所有被检测出存在高危安全漏洞的网页中,存在上述两种漏洞的网页占到了总量的93%以上。


另据360网站安全检测平台的安全性评分系统显示,在首次接受安全检测的十个主要类别的网站中,政府网站的成绩排名垫底,平均得分仅为35分(百分制)。紧随其后的是高校网站,平均得分为37分。这样的成绩意味着,政府和高校网站非常容易被黑客入侵、篡改数据和窃取资料。


特别值得一提的是,在首次接受检测的网站中,购物类网站65分的平均成绩虽然勉强及格,但由于此类网站直接关系到用户的个人财产,因此其安全性实际上还不足以保障安全网购。而团购类网站43分的平均成绩则更是让消费者担忧。另外,游戏网站上也往往存有用户的大量虚拟财富, 67分的平均成绩也亟待提高。


如前所述,大由于量网站存在高危安全漏洞,就为黑客入侵网站提供了可乘之机。2012年,网站遭遇黑客攻击的事件频频发生,拖库与篡改的案例时有发生。

1)大量知名网站遭遇拖库

1月,亚马逊旗下的电子商务网站Zappos被黑客入侵,2400万用户的账户信息被窃取,被窃信息包括用户姓名、电话号码、住址、信用卡号的最后四位

3月, 1500万eHarmony(相亲网站)密码和3万LinkedIn(社交网站)密码被破解,遭破解的帐号和密码被公布在网络密码破解论坛上。

6月,2345网址导航被曝因SQL注入漏洞致使大量用户详细资料泄露

8月,雅虎旗下网站Yahoo Voice遭黑客攻击,45.3万用户信息被曝光在网上

12月,电商网站聚美优品曝出验证码设计缺陷,用户认证缺陷,可被暴力破解,导致大量账号信息泄露

(三)  网站安全漏洞分布

75.6%的国内网站存在高危安全漏洞,而39.6%的网站存在大量高危安全漏洞。


对于拖库风险和数据篡改,最有效的防范措施就是尽快修补系统漏洞,提高网站自身的安全性。特别是对于普遍存在的,黑客攻击也比较集中的跨站脚本漏洞、SQL注入漏洞和WEB后门漏洞,网站开发者应当及时检测并予以修补。

不过,对于绝大多数中小网站来说,要招聘专业的安全团队来维护网站安全实际上是非常困难的,这不仅会带来巨大的成本压力,而且相关人才本身也非常稀缺,业务水平也难以衡量。因此,很多中小网站非常期望能够获得安全公司的专业服务。

另外,如前所述,流量攻击实际上是一种没有什么好的技术方法可以进行防御的攻击(起码目前是这样),唯一有效的防御方法就是租用带宽更大的服务器,不过由此产生的成本压力是一般的中小网站无法承受的。对于中小网站来说,面对流量攻击,除了向专业的安全公司求助之外,几乎别无他法。

随着网站安全问题的日渐突显,网站安全服务已经和个人电脑安全服务一样,成为了一种普遍的公共安全需求。为网站提供页面安全检测、漏洞攻击拦截和流量攻击拦截等服务已经成为非常现实,且增长迅速市场需求。同时,如果网站能够像个人用户一样,得到安全公司专业且免费的安全服务,将有利于整个互联网安全行业的健康发展和网民利益全面的、有效的保护。