从 2019 年 9 月开始至今,一场持续了 100 多天的大火一直在澳大利亚的土地上肆虐,2 万多只考拉在大火中丧生,1000 万公顷森林化作焦土,2000 多处房屋毁于一旦,上千居民被迫迁移,死亡人数已接近 30 人......
面对天灾,世界各地的人都通过网上募捐平台向澳大利亚捐款,以求大火早点熄灭。然而,一个为澳大利亚丛林大火的受害者收集捐款的募捐平台正在遭受黑客的攻击,并注入了恶意脚本,窃取了捐助者的付款信息。
黑客组织入侵捐款平台
据 BleepingComputer 报道,Malwarebytes 反黑客平台的安全专家发现,一个为澳大利亚丛林大火的受害者收集捐款的募捐平台正在遭受黑客的攻击。
据悉,这类攻击称为 Magecart,涉及黑客破坏网站并将恶意 JavaScript 脚本注入电子商务或结帐页面的行为。然后,这些脚本将窃取所提交的所有信用卡或付款信息,并在攻击者的控制下将其发送到远程站点。
也就是说,黑客可以利用该脚本窃取捐款者的信用卡以及付款信息。
公开信息表示,攻击者很可能就是此前曾经攻击过 80 多个公司(其中包括 Ticketmaster、福布斯和英国航空公司)的 Magecart 组织。2018 年 9 月,英国航空公司称,超过 380000 名客户的个人和付款信息被盗窃。
据 Malwarebytes 工作人员透露,在发现该网站上的恶意剧本后已经实时将该网站所处的域封闭。截至目前,还没有收到有接见者受到重大影响的新闻。此外,Malwarebytes 称,该脚本也活跃在另外三个募捐平台上,当前无法估计有多少损失。
目前恶意脚本仍然活跃在网站上,Malwarebytes 已经对运营方发出了警告,但是后者还没有对此做出反应。
网络安全现状
中国信通院发布的 2019 年《中国网络安全产业白皮书》,我国网络安全产业规模仍然保持高速增长的态势,2018 年产业规模已经达到 510.92 亿元,2019 年预计将达到 631.29 亿元。
但与发达国家相比,我国在网络安全领域还是有较为明显的差距。比如相关的法律法规及管控办法还不够完善,但这是一个循序渐进的过程,需要在实践中不断去总结探索。
毕竟网络安全所涵盖的范围,也是根据互联网的发展在不断发生变化的。
最开始大众层面的网络安全可能就是电脑中毒、死机这些情况,而也是到近几年,数据隐私泄漏等等才进入到大众的视野。
下面这张图片是由数世咨询制作的「网络安全能力总分类」,大家可以通过这个汇总了解一下,现在的网络安全行业有多么复杂。
网络安全能力总分类(图片来源:数世咨询)
2020 年网络安全趋势
2019 年网络安全形势已然更加复杂,网络攻击手段相比之前更为多样,数据泄露、勒索软件、APT 攻击等安全事件频发。在 2020 年,网络威胁随着云技术、大数据、物联网、人工智能等技术的发展,也将进化,变得更加复杂、棘手、难以应对。
福布斯、趋势科技、helpnetsecurity 、FreeBuf、安全牛等等国内外的安全行业媒体纷纷给出了对于 2020 年网络安全的趋势预测,我们大致汇总了一下,发现大概就是下面的这 8 条:
1.勒索软件变得越来越复杂
对于攻击者而言,利用勒索软件犯罪难度低、风险小,但回报率却很高。在 2020 年,黑客显然不会放弃这种网络犯罪形式,但手法会变得越来越「娴熟」、骗人的方式也会越来越复杂,诱惑性也将越来越高。
2.数据隐私问题仍是头等大事
2019 年数据泄露事件是大众关注网络安全的核心点。平台违规收集用户信息、泄漏用户信息、黑客售卖平台信息等等一系列事件屡见不鲜。虽然我们的隐私安全意识在不断提高,但数据安全仍将是 2020 年安全行业的头等大事。
3.人工智能技术是把“双刃剑”
2019 年,网络安全行业开始利用 AI 技术开展安全防御工作,探索安全解决方案。但网络攻击者随即跟上了步伐,利用 AI 技术和机器学习研发攻击工具、恶意程序,以此来绕开和躲避渗透目标系统。因此,2020 年基于 AI 的恶意软件防护将变得愈加重要。我们是在享受成果的同时,也要防范其中带来的安全风险。
4.Deepfakes 技术产生实质性危害?
所谓 Deepfakes,是指使用人工智能技术来制作视频内容,它可以实现以假乱真的效果,使得人们无法通过肉眼分辨真伪。虽然闹的沸沸扬扬,但 2019 年似乎并没有因为这个事情闹出什么实质性的范围性危害,但预计在 2020 年,与此相关的欺诈损失将超过 205 亿美元。
5.物联网安全问题意识加强
据媒体预测,到 2020 年,全球活跃的物联网设备数量将达到 100 亿台。然而,物联网安全问题也随着物联网的发展慢慢浮出水面,比如:黑客入侵家用路由器、智能门铃、汽车或者其他智能设备,从而监视我们的生活、窃取信息,将用户的信息数据隐私出售换取实质利益,或者成为进一步犯罪的手段。
6.开源软件恶意感染继续增加
2020 年开源大潮肯定会越来越热,在享受到开源的福利时,也迎来了潜在的风险 —— 很多开发者使用开源软件时,不会过多思考,因此在过去的几年,很多黑客越来越多的利用这种信任,通过源代码来传播恶意软件。
这种攻击手法不易发现,且潜藏时间长久。因为面向的大多是企业级客户,攻击者可以以较低的投入,获得非常高的回报。
7.云安全事件愈发频繁
《福布斯》称,到 2020 年,企业会将 83% 的工作量转移到云上。云计算的进步将引发新的网络信息安全问题,驱动云安全市场的高速增长。网络技术协同融合意味着安全风险的交织与演变。
8.移动端将遭遇更大的攻击风险
2019 年是所谓的 5G 元年,而 2020 将是 5G 大范围应用落地的一年。据预测,2020 年中国将建设超过 60 到 80 万个 5G 基站。
而随着 5G 的普及也意味着攻击者将加大了移动恶意软件攻击的力度。今年 9 月份,零日漏洞交易服务商 Zerodium 发布的数据显示,Android 零日漏洞的价格首次超过了 iOS。
后话:安全问题,迫在眉睫但来日方长
在 2020 年,网络威胁将仍然是安全行业发展的主要驱动力,而国家政策要求是安全市场增长的重要推动力。
而就像我们前面所说,网络安全所涵盖的范围也是按照互联网的发展在不断发生变化的,所以,网络安全的问题迫在眉睫,但真的想做到「网络安全」,那可能真的来日方长了...
-END -
参考资料:1.手机中国:黑客组织入侵捐款平台 澳洲森林火灾善款遭窃取
2.福布斯:141条2020年网络安全预测
3.福布斯:42条2020年网络安全预测
4.趋势科技:2020年安全预测
5.FreeBuf:2020年网络安全行业趋势预测
6.安全牛:2020年十大网络安全趋势预测
7.2020年顶级企业分析趋势