360發佈《2014年中國網站安全報告》顯示,電子商務類網站安全漏洞比例最高
OpenSSL心臟出血漏洞、12306用戶數據泄露……過去一年各大網站漏洞大規模爆發、大量隱私泄露等重大安全事件高發,讓個人電腦的安全重新回到互聯網用戶的視野中。
近日,360發佈《2014年中國網站安全報告》(下稱《報告》)顯示,2014年全年(截至11月30日,下同),164.2萬個被360網站安全監測平臺掃描的網站中,有61.7萬個網站存在安全漏洞,其中電子商務類網站存在高危漏洞的比例最高,達到26%;銀行類網站相對安全性較高,存在高危漏洞比例最低。
賬戶密碼被逐個試,總有一箇中招
去年聖誕節,12306網站13萬多條用戶數據遭泄事件成爲大衆關注焦點。最後經過警方調查,嫌疑人所得的信息是由“撞庫”而來。撞庫是指黑客收集各網站已經泄露的用戶賬號及密碼,生成龐大的密碼庫,嘗試批量登錄其他網站後,得到一系列可以登錄的用戶賬號和密碼信息的攻擊過程。
從360補天平臺和烏雲漏洞報告平臺等披露的信息來看,2014年,包括無祕(原祕密)、大衆點評網、搜狐、安智網、汽車之家、搜狗、印象筆記等多家國內知名網站都遭到了撞庫攻擊,導致大量用戶個人信息泄漏。
《報告》提醒稱,不僅任何網站都有可能遭到撞庫攻擊,而且任何企業的內網系統也都有可能遭到撞庫攻擊。
手機登錄APP要小心
《報告》還稱,從2014年曝出的多起安全事件分析來看,利用網站服務器與手機APP之間的接口存在的漏洞對網站服務器發起攻擊,已經成爲一種流行趨勢。
據360補天平臺的漏洞報告信息顯示,2014年12月發生12306網站被撞庫並泄漏了13萬多條用戶信息的事件,也很可能與APP接口漏洞有關。因爲,12306手機APP登錄接口可被黑客惡意利用,無限次嘗試撞庫破解。
360安全專家表示,很多網站在APP的接口的訪問管理和訪問控制機制要弱很多。這些APP背後的服務器,通常處於一個盲區(一般沒訪問入口),很少有人會去關注這些服務器安全情況。但對於攻擊者來說,只需簡單利用,便能得到這一系列的APP背後的服務器地址以及API接口信息,然後通過挖掘這一系列的API接口的漏洞,就能直接獲取到雲端所有信息。
一天當中14時-19時漏洞攻擊最集中
據360方面根據漏洞攻擊在一週之內的分佈統計。星期一是一週中漏洞攻擊最爲集中的一天,佔總攻擊量中的18.0%,而週五的攻擊量則相對最少,僅佔總攻擊量的10.6%。就平均性而言,週五最安全,而週一最危險。
而從一天來看,漏洞攻擊多集中於14時-19時之間,在此期間的漏洞攻擊次數佔全天漏洞攻擊總次數的55.5%,在16時達到最高峯。而凌晨3時-6時是漏洞攻擊比較稀少的時段,清晨6時最爲安全。總體而言,漏洞攻擊次數白天要多於夜晚,下午要多於上午。
小貼士
四招保護你的電腦安全
1.安裝使用安全軟件,開啓相應的防護功能並及時更新安全補丁,在安全軟件提示病毒和安全風險後,應選擇攔截並及時響應;
2.不要在公共電腦上登錄自己的QQ和阿裏旺旺賬號,不要輕易打開其他人通過QQ和阿裏旺旺發過來的可執行程序;
3.不要主動搜索訪問色情網站,不點擊任何色情鏈接,包括QQ、微信等其他人發來的鏈接;
4.不要被色情內容誘惑、欺騙,也不要輕易訪問自己不熟悉的視頻網站、聊天網站。
四大個人電腦
侵害方式曝光
360統計發現,QQ/旺旺傳輸惡意程序佔比分別超過14%和10%。此外,2014年使用最多的QQ盜號方式爲僞造QQ登錄窗口、僞造QQ掉線,誘使用戶重新輸入密碼。當出現異常的QQ登錄框或者掉線提示框時,一定要注意分辨真僞。
這兩種並無本質區別,流氓推廣是用戶在無感知且無選擇機會下,強行安裝其他軟件;誘導推廣則使用多種掩飾或誘導手段迷惑用戶下載安裝。目前最多見的流氓推廣類型爲播放器推廣,佔比超過50%。
360從互聯網上多個熱門外掛網站提取了9612個外掛,其中1601個外掛包含了惡意程序或病毒木馬,帶毒率接近17%。通過分析,這些帶毒外掛中的38%爲木馬程序。換言之,接近四成的帶毒外掛根本不具備外掛功能,是單純的木馬程序。
色情網站以誘導用戶點擊博彩廣告分成、裸聊視頻室分成、情趣用品分成等方式形成了龐大的灰色利益鏈,通過色誘、詐騙等方式直接侵害用戶錢財和信息安全,更爲惡劣的是通過誘導用戶下載播放器,用木馬方式控制用戶電腦。