cc 1. 电子邮件附件里的好东西都是送你的,要不要?
可能躺在用户收件箱里诱惑最大邮件是伪装成赠送电子礼品卡、优惠券的一些了。
点击其中附件将下载包含恶意Office宏代码的Word,然后用户打开该文档是就会将Geodo/Emotet网银木马释放到本地,或者让受害者接受退款、进行支付等。危害最大的还是针对品牌商的网络攻击,通过接管管理员账户来进行针对旗下用户的大面积的鱼叉式网网络钓鱼攻击。
2. 恶意广告:点我你就上当了
随着各大品牌在年底消耗最后一波预算,恶意广告在网络购物季期间也变得更加活跃。
投放恶意广告的人都是机会主义者,他们也会根据当前的环境增加投入、调整投放的频次和位置来获取更多的黑色利益。只要投资回报率还可以,他们的商业模式或者说是黑产的雪球就会越滚越大,将数据、受感染的设备大量变现,甚至将业务出租给别人。在2018年美国感恩节假期期间,光某一家安全厂商就检测到和阻止了2000万次攻击。攻击者在大量的网络平台之间不断切换,平台管理员往往疲于应对且效果不佳。
3.水坑攻击
水坑攻击是一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。
目前多数国内外电商使用的广告网络平台是实施水坑攻击的有效途径。水坑攻击可以通过攻击目标网站使用的广告网络来执行。这涉及将恶意网站广告或者恶意广告 (文字或图片)插入到将被传送到不同网站的跳转广告。由于大部分网站都使用同一广告网络,因此布设攻击网络时可以达到事半功倍的效果。
在网络购物季期间,越来越多的水坑攻击案例浮出水面。这种攻击方式付出的精力要比交叉式网络钓鱼多,以前多用于商业间谍、国家间的网络暗战等领域。现在,攻击者正在使用这种技术来瞄准大品牌和忠于它们的客户。水坑攻击应当成为是电子商务网站的主要关注点,在面对这些攻击时,不仅仅是IT部门要出钱出力,网站、Web管理员、市场部门也不能袖手旁观, 随着水坑攻击面的扩大,现在网络安全技术问题已经演变品牌声誉问题了。
最典型的例子是JSONP,它可以通过发起JavaScript的跨域请求来绕过同源策略。然而,绕过同源策略会导致不同源或域之间的数据泄漏。而且,尤其是当JSONP涉及到了用户的数据信息时,这样是极其危险的。既然JSONP请求/回应能够绕过同源策略,那么恶意网站便能够通过这种机制,让目标主机发起跨域JSONP请求,并使用”脚本”标签来读取用户的隐私数据。
