3、Clickjacking蠕虫攻击爆发几率增大
SNS网络是蠕虫爆发的沃土,先前的新浪微博XSS蠕虫已经给了我们警示。Clickjacking攻击也是Web攻击的一种,但国内大多数SNS网络社区并没有对这种攻击进行防御。在SNS这种特有的网络环境下,Clickjacking也会爆发蠕虫攻击。2011年经我们研究发现,Google存在Clickjacking漏洞,并且可以通过蠕虫传播,蠕虫一旦被恶意利用,攻击危害将不亚于传统的XSS和CSRF蠕虫,将会对社区网站造成严重后果。
我们有理由相信,在2012年这种新的蠕虫攻击行为爆发的几率将增大。
4、无线网络攻击增加
随着无线的普及应用,各种各样的无线接入越来越多,再加上平板电脑和智能终端的大众化,无线安全应该是安全领域的新天地。随着联通和移动为用户提供了免费的Wi-Fi上网服务,将会推进更多的用户使用无线网络。但是,由于没有任何的安全隔离,使用户都属于一个VLAN ,恶意攻击者可以抓包获取到用户的cookie 、session 等信息,从而登录用户的账户,有可能是某人的社交网站账户、有可能是他在某个论坛的账户,亦或是他的电子邮件。如果用户登录了一些敏感地址(比如说OA),账户被截取后带来的损失是不可弥补的。
目前经过我们的研究发现,国内很多机场、酒店等免费提供的Wi-Fi热点都存在严重安全隐患,大都是采用了WEP和WPA等易破解的加密方式,在进入内部网络后,通过嗅探可以轻易获得敏感数据。在我们的安全测试中,国内8大机场都存在无线安全设计方面的缺陷及漏洞,80%是可以破解的。
在针对某大型运营商客户的一次安全项目中,我们做过一个授权测试,通过连接运营商提供的无线网络进行数据分析,可以成功获得大量用户的cookie和session,也有少许邮件信息,通过这些信息可以非常方便的伪造cookie,来进行未授权的操作。由于无线是一个相对开放的环境,将导致恶意攻击者可以在一定物理范围内攻击无线网络系统。
大量的弱加密无线源的出现以及无线攻击的不断傻瓜化、工具化,将导致无线网络更容易遭受恶意攻击。我们相信,2012年,这种攻击会进一步不断持续增长,攻击的技术要求难度也在不断下降,无线将是信息安全领域下一个关注的重点。
5、钩鱼及社会工程学攻击进一步泛滥
网络上,随着网络购物和交易的越来越频繁,以及网络实名制的不断扩大,将会在网络中出现更多的钓鱼网页,欺骗普通大众,直接造成个人信息泄漏,包括银行帐号、密码、身份证信息等。电子商务、团购网站的盛行,网络上超低的礼品价格,优惠的假日折扣,网上银行和信用卡有尝消费返券、送礼等信息都充满了诱惑。
近一段时间,团购网站成为黑客进行“网络钓鱼”的新宠,因为很多网民已经习惯了在团购网站购买价廉物美的商品,同时这些资金都是直接打入“团购网站”账户,缺乏第三方监管,很容易成为窥测的对象。据中国反钓鱼网站联盟的统计分析表明,当前钓鱼网站的发展呈现出“对象分散”、“手段多样”、“黑色利益链”三大特点。
