构建安全+新生态圈

weimom

面对安全新生态格局，业界建议，要构建一个全新安全+新生态圈，联合政府、行业机构、科研院所、互联网产业、安全产品提供商、上下游服务企业各方力量，形成合力。
                        春节临近，聚会、发红包、买年货、购机票……手机移动支付行为越来越多，但也正是这个时候，这些貌不惊人的举动，分分钟都可能把银行卡中的钱送到坏人口袋中。
腾讯安全发布《2015年度互联网安全报告》指出，病毒黑客迈入大数据时代，可使用受害人银行卡进行网上消费，从海量用户短信数据中，获取到更多用户账号和身份信息，甚至完全控制用户手机。
面对安全新生态格局，业界建议，要构建一个全新安全+新生态圈，联合政府、行业机构、科研院所、互联网产业、安全产品提供商、上下游服务企业各方力量，形成合力。
陷阱丛生令人担心
节日临近，同事、朋友聚会增多，更有很多人趁着节日办喜事。“如果收到聚会相册、结婚请帖或红包福利等"带链接的短信"，请务必要警惕，这很有可能是一条手机木马链接。”腾讯专项打击网络诈骗雷霆行动负责人朱劲松如此提醒。
一旦点击链接，网络用户信息库就有被盗可能。黑产团伙会利用这些信息实施精准的欺诈与敲诈，对用户信息和资金安全造成很大威胁。前不久在“果粉圈”引起较大反响的“苹果锁机”事件就是一个典型案例。江苏省淮安公安网安支付副支队长郑杨介绍，用户手机被锁就是因为他们Apple ID绑定的邮箱和密码在钓鱼网站上被窃取。Apple ID被盗后会引起一连串蝴蝶效应，黑产团伙不仅可以窃取云端通讯录、照片等个人资料，还可以更换ID，远程控制手机。
据腾讯电脑管家反病毒实验室相关数据显示，2015年电脑端感染最多的前十位病毒类型为：广告推广类木马、带注入行为的恶意程序、恶意下载器、感染型病毒、盗号木马、锁主页木马、间谍程序、内核级木马、加密敲诈类木马、后门木马。其中，广告推广类木马被报告频次最高。浏览网页是电脑用户最主要的需求，而网络小广告具有很大迷惑性，常常利用用户已习以为常的心态，故意诱导用户去手动关闭该弹窗，实现通过广告木马强迫用户访问其恶意推广网站和传播病毒的目的。
如果工作群中，领导、同事向你索要红包，也要提高警惕。目前，越来越多网络黑产分子开始借助社交关系链来进行假冒欺诈。他们在黑市上购买到用户个人隐私信息和通讯录后，会盗用用户头像和名字，假冒成本人在其社交圈内行骗。例如，伪装成某公司老总，并在社交平台加其员工为好友，命令员工给特定账户转钱。
据网络黑产研究专家毛晟斌介绍，过去一年中已有不少公司财务人员遭受到此类网络欺诈。
黑客迈入大数据时代
值得注意的是，如今的诈骗已慢慢向技术化诈骗转移，黑客也开始利用大数据。
据悉，犯罪分子无需花费时间去诱骗受害人转钱，而直接通过伪基站发送各种冒充10086、银行或亲朋好友的木马短信。在用户点击短信中木马链接后，手机木马随即植入用户手机，盗取用户个人信息，拦截转发短信验证码。不法分子用这些信息登录电商平台购物，并实现盗刷。而在整个过程中，用户几乎毫无感知。
据透露，上述盗刷的主要方式是当验证码短信发送到受害人中病毒手机时，手机木马拦截验证码短信，转发到黑客手机或服务器，导致受害人手机上无法显示验证码短信，黑客进而使用转发过来的验证码进行消费，造成受害人银行卡被盗刷。
另外，黑客在造成技术故障后，会导致网站被拖库，导致大量用户数据泄露。例如，此前报道出现的CSDN网站被拖库，酒店客户数据泄露，客户端数据泄露等。另有黑客利用病毒收集大量中毒用户个人信息数据，通过获取到更多用户账号和身份信息，无需依赖用户填写的个人信息，可以直接盗刷用户银行卡。
通过技术，黑客可以完全控制用户手机，并根据用户短信历史记录，获取手机中毒用户与联系人关系，并通过手机对用户朋友、亲人、客户进行欺诈。欺诈过程中，甚至可以设置用户手机无法接听电话，保证欺诈过程无干扰。
　构建安全+新生态圈
但多数用户安全意识不强。调查显示，我国81.64%的网民不注意定期更换密码，其中遇到问题才更换密码的占64.59%，从不更换密码的占17.05%；75.93%的网民存在多账户使用同一密码问题。其中，青少年网民最为严重，达82.39%；44.42%的网民使用生日、电话号码或姓名全拼设置密码，青少年网民占比更高，达49.58%。
为此，业内呼吁对于安全新生态格局，要构建一个全新安全+新生态圈，就要以开放、共享、融合理念搭建平台，联合政府、行业机构、科研院所、互联网产业、安全产品提供商、上下游服务企业各方力量，形成合力。
政策面上，2015年6月底，十二届全国人大常委会第十五次会议审议《网络安全法（草案）》，并于7月初向社会公开征求意见。《草案》重要内容主要包括，确定网络安全工作基本原则、将个人信息保护纳入正轨和网络产品和服务的安全保障，还规定重大突发事件时政府可采取临时措施限制网络。当《草案》成为正式法规发布后，其他相关安全规定、条例也会相继出台。
而针对安全意识的缺乏，网络对抗能力较弱，法律、经费和人才等网络安全方面基础不牢，关键信息基础设施安全防护能力较差等问题，仍需构建“打防管控”一体化网络安全综合防控体系。
另外，在互联网催化之下，诸多传统产业都将融入信息网络，各企业相连会形成空前庞大的互联网生态。互联网与社会各领域都建立连接，这意味着网络安全风险将不仅仅出现在智能终端，而是任何连接网络生态之上。为此，安全行业除在业务环节实现相互连接外，底层基础安全技术能力、数据和接口也必须相互开放和连接，共同打造公共基础安全平台和能力。
<p>业界预计，未来安全技术不再孤立，需更多和产业融合，奠定互联网产业经济发展根基；安全厂商不再孤立，需更多开放合作，共建统一的标准和服务；安全数据不再孤立，需开放共享，建立可视化立体网络，驱动信息安全。