360发布《2014年中国网站安全报告》显示,电子商务类网站安全漏洞比例最高
OpenSSL心脏出血漏洞、12306用户数据泄露……过去一年各大网站漏洞大规模爆发、大量隐私泄露等重大安全事件高发,让个人电脑的安全重新回到互联网用户的视野中。
近日,360发布《2014年中国网站安全报告》(下称《报告》)显示,2014年全年(截至11月30日,下同),164.2万个被360网站安全监测平台扫描的网站中,有61.7万个网站存在安全漏洞,其中电子商务类网站存在高危漏洞的比例最高,达到26%;银行类网站相对安全性较高,存在高危漏洞比例最低。
账户密码被逐个试,总有一个中招
去年圣诞节,12306网站13万多条用户数据遭泄事件成为大众关注焦点。最后经过警方调查,嫌疑人所得的信息是由“撞库”而来。撞库是指黑客收集各网站已经泄露的用户账号及密码,生成庞大的密码库,尝试批量登录其他网站后,得到一系列可以登录的用户账号和密码信息的攻击过程。
从360补天平台和乌云漏洞报告平台等披露的信息来看,2014年,包括无秘(原秘密)、大众点评网、搜狐、安智网、汽车之家、搜狗、印象笔记等多家国内知名网站都遭到了撞库攻击,导致大量用户个人信息泄漏。
《报告》提醒称,不仅任何网站都有可能遭到撞库攻击,而且任何企业的内网系统也都有可能遭到撞库攻击。
手机登录APP要小心
《报告》还称,从2014年曝出的多起安全事件分析来看,利用网站服务器与手机APP之间的接口存在的漏洞对网站服务器发起攻击,已经成为一种流行趋势。
据360补天平台的漏洞报告信息显示,2014年12月发生12306网站被撞库并泄漏了13万多条用户信息的事件,也很可能与APP接口漏洞有关。因为,12306手机APP登录接口可被黑客恶意利用,无限次尝试撞库破解。
360安全专家表示,很多网站在APP的接口的访问管理和访问控制机制要弱很多。这些APP背后的服务器,通常处于一个盲区(一般没访问入口),很少有人会去关注这些服务器安全情况。但对于攻击者来说,只需简单利用,便能得到这一系列的APP背后的服务器地址以及API接口信息,然后通过挖掘这一系列的API接口的漏洞,就能直接获取到云端所有信息。
一天当中14时-19时漏洞攻击最集中
据360方面根据漏洞攻击在一周之内的分布统计。星期一是一周中漏洞攻击最为集中的一天,占总攻击量中的18.0%,而周五的攻击量则相对最少,仅占总攻击量的10.6%。就平均性而言,周五最安全,而周一最危险。
而从一天来看,漏洞攻击多集中于14时-19时之间,在此期间的漏洞攻击次数占全天漏洞攻击总次数的55.5%,在16时达到最高峰。而凌晨3时-6时是漏洞攻击比较稀少的时段,清晨6时最为安全。总体而言,漏洞攻击次数白天要多于夜晚,下午要多于上午。
小贴士
四招保护你的电脑安全
1.安装使用安全软件,开启相应的防护功能并及时更新安全补丁,在安全软件提示病毒和安全风险后,应选择拦截并及时响应;
2.不要在公共电脑上登录自己的QQ和阿里旺旺账号,不要轻易打开其他人通过QQ和阿里旺旺发过来的可执行程序;
3.不要主动搜索访问色情网站,不点击任何色情链接,包括QQ、微信等其他人发来的链接;
4.不要被色情内容诱惑、欺骗,也不要轻易访问自己不熟悉的视频网站、聊天网站。
四大个人电脑
侵害方式曝光
360统计发现,QQ/旺旺传输恶意程序占比分别超过14%和10%。此外,2014年使用最多的QQ盗号方式为伪造QQ登录窗口、伪造QQ掉线,诱使用户重新输入密码。当出现异常的QQ登录框或者掉线提示框时,一定要注意分辨真伪。
这两种并无本质区别,流氓推广是用户在无感知且无选择机会下,强行安装其他软件;诱导推广则使用多种掩饰或诱导手段迷惑用户下载安装。目前最多见的流氓推广类型为播放器推广,占比超过50%。
360从互联网上多个热门外挂网站提取了9612个外挂,其中1601个外挂包含了恶意程序或病毒木马,带毒率接近17%。通过分析,这些带毒外挂中的38%为木马程序。换言之,接近四成的带毒外挂根本不具备外挂功能,是单纯的木马程序。
色情网站以诱导用户点击博彩广告分成、裸聊视频室分成、情趣用品分成等方式形成了庞大的灰色利益链,通过色诱、诈骗等方式直接侵害用户钱财和信息安全,更为恶劣的是通过诱导用户下载播放器,用木马方式控制用户电脑。