【IT专家网独家】近日,安全咨询网站StopBadware.org发布了2007年版的关于不良软件的趋势报告,报告称不良分子找到了新的方法在我们的电脑上安装恶意软件,一般来说是通过利用我们所信任的网站来劫持用户。
在Google的帮助下,StopBadware发现超过200,000个网站恶意软件的下载相关。根据StopBadware 项目经理Max Weinstein的研究,超过半数的网站被劫持,但是他们却浑然不知。“实际上,利用合法的网站来传播恶意软件的方法在近几年已经开始困恼我们了。过去的建议就是让终端用户升级他们的软件,然后就是不去登录那些染毒的网站,虽然你不想登录这些网站,但即使我们现在浏览合法的网站也存在类似的风险。”
网上冲浪者基本上都知道浏览赌博网站和黄色网站会威胁到电脑,但是现在的情况就是浏览任何网站你都存在来自恶意代码的威胁。
以一月为例,举办超级碗大赛的Dolphin 体育场和Miami Dolphins的网站就被发现遭黑客劫持,并且提供恶意软件的下载,这一事件就发生在大赛的前夕。犯罪分子比你想象的更卑鄙。在6月和7月的时候,与流行的Boing Boing博客相链接的网站基本上都被劫持了,这一策略叫做链接劫持。
Weinstein说,黑客不一定要劫持网站来为下载恶意软件开辟道路。Web 2.0的网络世界里的一个重要的问题,就是网站的组成部分是由来自于不同的站点的网络驱动的。这样使得恶意软件很容易就可以侵入合法的网站。
很多研究发现这一现象的发生是与日益发达的广告网络相关的,广告网络很容易就可以被黑客利用来隐藏包藏祸心的恶意软件。我们现在看到的很多案例就是合法的网站都有一个广告网络,就是这些网络本身,有时甚至是这一广告网络的分包商,它们所发布的广告中就包含有恶意软件。”
与此同时,eBay也开始寻找这一问题的解决之道。eBay允许客户上传自己的照片和HTML语言代码,但是有时候有人上传的就是恶意代码,Dave Cullinane说,这是他在圣克拉拉大学的关于在线安全的的讨论会上说的。公司正尝试建立一个用户安全分级系统,从而来防范新手在网站上发布恶意代码。“我们现在所做的就是安全等级制度,只要用户的安全级别越高,他享有的权利也就越大。”
Cullinane说,在这一新系统中,拥有良好安全等级评分的卖主将会在上传文件上享有更大的自由。
另外一个令人日益忧心的问题是社交网站。用户必须清醒的认识到在合法的社交网站上也会存在虚假的帐号,它们的目的就是引诱用户访问恶意站点。很幸运的是,如今用户越来越理性,这使得网站、安全公司都相信,可以通过共同努力来建立一个稳定安全的网络环境。
IT专家网原创文章,未经许可,严禁转载!
