黑客越来越专业

　　随着2012年渐行渐远，依照惯例，不少信息安全厂商发布了自己关于2012年的信息安全报告。虽然单看某个安全厂商的报告不见得非常全面，但综合这些安全报告，我们还是不难理出2012年的整体安全形势，同时也不难发现今年信息安全的一些新趋势，即黑客们盗用用户财产及用户隐私的技术越来越成熟，并逐步形成产业化，同时移动安全正在成为信息安全的又一个主战场。

　　1.个人隐私保护问题凸显

　　2012年12月年28日，全国人大常委会通过了《关于加强网络信息保护的决定》。这一决定是对近年来日益猖獗的隐私信息泄露事件的有力回击。实际上，近年来，隐私信息逐渐成为不法分子的生财之道，并在网上大量买卖。

　　根据瑞星发布的《2012年中国信息安全综合报告》中称，隐私贩卖正在走向产业化和专业化，而且由于“一套隐私信息可以反复售卖，一本万利，诱惑性极大”，使得不少从事其他黑客行为的人转入这个领域。根据该报告披露的国内个人隐私信息产业链：黑客利用社会工程学原理及许多现代化手段，大量套取用户信息，然后将这些信息卖给“下家”，而“下家”则利用自己手上的资料，群发短信或者邮件推销这些隐私信息。同时，他们还会在网上公开发布广告，使用搜索引擎或者聊天工具也可以搜索到他们。

　　“收到垃圾短信和骚扰电话还不是个人隐私信息泄露带来的最严重后果，定向诈骗、冒名申请电话卡或信用卡、甚至利用合法车主的信息伪造‘套牌车’等后果更严重，都可能给网民带来巨大损失。”瑞星安全专家唐威表示。

　　2.网络钓鱼引入恐吓等欺诈手段

　　网络钓鱼是已经存在了很久的网络欺诈方式了，2012年这一传统网络欺诈方式仍然表现出巨大的活力。根据趋势科技与中国反钓鱼网站联盟共同发布的《2012年中国金融行业网络威胁报告》，在2012年2月至9月期间，趋势科技共发现了4636个针对金融行业的钓鱼网站，在个别月份，钓鱼网站的数量增幅甚至达到了80%。在这些攻击中，98.72%由海外发起，大大增加了安全监管的难度。

　　同时，网络钓鱼还出现了一些新的变化，就是它和勒索、恐吓相结合。赛门铁克在其2012年安全信息分析报告中称，一种威力更强大的新模式——“勒索软件”正在涌现。赛门铁克预计，2013年，攻击者们会使用更加专业的勒索手段来刺激受害者，并使用一些方法让受攻击对象在被入侵后很难恢复。

　　事实上，不久前出现的假冒“中国好声音”的网络钓鱼就是“网络勒索”的一个例子。在瑞星《2012年中国信息安全综合报告》中剖析了这个钓鱼网站的行骗加威胁过程：一旦网民受骗进入到其设置的领奖申请程序之后，它就会威胁受骗网民必须完成这一领奖申请，交纳指定的费用，否则会面临起诉。

　　3．移动安全成为新的安全主战场

　　近几年，包括智能手机、平板电脑为代表的智能移动设备普及非常快，同时，依附在这些移动设备的个人应用越来越多，如移动支付、LBS等，然而安全防范措施却并没到位，从而使得这些智能移动设备成为信息安全的一个薄弱点。同时，病毒等安全威胁也开始跟随移动设备走向“云”端。

　　瑞星《2012年中国信息安全综合报告》显示，二维码、微信、LBS以及NFC等移动支付都已经成为黑客们的首选攻击目标。以二维码应用为例，黑客可将木马、恶意网站链接植入其中，只要用户扫描、解码就会中毒，不仅如此，有些二维码还会包含用户身份信息（如火车票），这些也可能成为个人信息泄露的一个源头。另外，近年来，移动广告软件也值得关注。它会在用户下载某个应用程序时潜入用户的设备中，然后向通知栏发送弹出警告或增加图标、修改浏览器设置，甚至收集个人信息等。

　　本报记者 邹大斌