2.3 網絡威脅的典型形式

2.3.1 病毒和木馬

病毒和木馬一般可以統稱為惡意程序或惡意軟件。前者往往具有一定的顯性破壞性，而后者則更傾向于默默竊?。磺罢吒翊蛟覔専膹姳I，而后者則更像暗中出手的小偷。但在實踐中，我們往往很難將二者嚴格區分。有些病毒帶有木馬特征，有些木馬也會帶有病毒特征。

早期的安全專家往往會把“自我復制性”或“自我傳播性”作為病毒和木馬的一個必備屬性。但進入21世紀的第二個10年，病毒或木馬的大范圍、無差別攻擊越來越少見，而精準攻擊或點對點攻擊成為主流。因此，我們也就不能再把自我傳播性作為病毒和木馬的基本屬性。

（1）病毒

病毒對計算機系統造成的破壞包括破壞或刪除文件、將硬盤格式化等。病毒的代表有沖擊波、震蕩波、CIH等。

不過，這種單純以破壞為目的的病毒大多是早期攻擊者的作品。攻擊者制作并傳播這類病毒的主要目的是炫技和引發社會關注，一般并不包含任何經濟企圖。而如今，目的如此“純粹”的攻擊者已經越來越少。

（2）木馬

木馬是指可以非法控制計算機，或在他人計算機中從事秘密惡意活動的惡意程序。木馬通常有兩個可執行程序：一個是控制端，另一個是被控制端。木馬這個名字來源于古希臘傳說（荷馬史詩中木馬計的故事）。

木馬是目前比較流行的惡意程序。與傳統的病毒不同，它們一般不會自我繁殖，也并不“刻意”地去感染其他文件或破壞系統。它通過自身偽裝來吸引用戶下載執行，一旦木馬感染成功，木馬的控制者就可以在被攻擊者的計算機上進行如秘密操控、文件竊取、強彈廣告等惡意操作，甚至可以完全遠程操控被感染的計算機。而那些被木馬操控的計算機，一般稱為“肉雞”或“僵尸”。

下面簡單介紹幾種常見的木馬。

盜號木馬：最早流行的一類民用木馬，主要用于盜取網銀賬號、網游賬號和社交媒體賬號等網絡賬號和密碼。盜號木馬的常見盜號方式包括監控用戶鍵盤輸入、監控軟件交互接口、透明窗隱藏覆蓋、仿冒釣魚盜號等。

遠控木馬：遠程控制類木馬。一旦被攻擊者的計算機中招，攻擊者就可以通過遠程登錄的方式，部分或全部控制用戶計算機。此時，受控計算機也就變成了我們常說的“肉雞”或“僵尸”。

“流氓”推廣木馬：木馬會強制在用戶計算機或手機上下載和安裝用戶并不需要的軟件、廣告等。

竊私木馬：多見于手機，它們是專門用來竊取用戶隱私信息的，包括通訊錄、短信、通話記錄、銀行信息、社交軟件聊天記錄、錄音和照片等，嚴重危害用戶手機的安全。

挖礦木馬：利用被入侵計算機的算力挖掘加密數字貨幣，從而牟利的木馬，在手機、物聯網設備和網絡服務器中普遍存在。挖礦木馬既可以是一段自動化掃描、攻擊的腳本，也可以集成在單個可執行文件中。為能夠長期在服務器中駐留，挖礦木馬會采用多種安全對抗技術，如修改計劃任務、防火墻配置、系統動態鏈接庫等。使用這些技術，嚴重時可能造成服務器業務中斷。

2.3.2 勒索病毒

勒索病毒（也稱敲詐者病毒）是近年來增長迅速且危害巨大的網絡威脅之一，是一類比較特殊的惡意程序。與上述的各類傳統病毒和木馬不同，勒索病毒既不以單純破壞為目的，也不以控制或竊私為目的，而通過加密用戶文件、鎖屏等方式劫持用戶文件等資產或資源，并以此敲詐用戶錢財。被攻擊者一般只有支付贖金，加密的文件才能解密。

勒索病毒攻擊成功后，攻擊者為了提醒被攻擊者支付贖金，一般會篡改用戶的計算機桌面。圖2-1為計算機感染勒索病毒后的一些現象。

勒索病毒經常攻擊Office辦公文檔、圖片及視頻等類型的文件，因為這些文件往往是被攻擊者計算機中的重要資料，被攻擊者相對來說更愿意為這些文件支付贖金。文件被加密后，其后綴名也會被篡改，被篡改的后綴名也常常被用來為勒索病毒命名。圖2-2為locky、wallet、cerber、btc等幾個家族的勒索病毒篡改文件后綴名的示例。

勒索病毒主要有以下幾種常見的傳播方式：郵件附件傳播、服務器入侵傳播、利用漏洞自動傳播、通過軟件供應鏈傳播和利用掛馬網頁傳播。

在所有的勒索病毒中，最有名的當屬WannaCry。WannaCry于2017年5月在全球范圍內大規模爆發，它利用了方程式組織泄露的漏洞利用工具“永恒之藍”實現了全球范圍內的快速傳播，波及全球100多個國家，在短時間內造成了巨大損失。

如今，勒索病毒的攻擊范圍已經涵蓋Windows、Mac OS、Android、iOS和虛擬桌面等系統，除加密數據文件外，在手機上還有很多其他的勒索方式，如強制鎖屏、修改屏幕解鎖密碼、修改PIN密碼、勒索圖片強制置頂等。這些勒索方式在技術上都可以破解，但對于絕大多數普通網民而言，仍有一定的難度。圖2-3是手機被勒索病毒鎖屏的界面。

2.3.3 掛馬

掛馬是指在網頁中寫入一段惡意程序，當用戶使用有漏洞的瀏覽器瀏覽掛馬網頁時，計算機就會感染病毒，而用戶對感染病毒的過程往往沒有感覺。掛馬攻擊的過程可大致分為三個環節：惡意程序開發維護、獲取修改網站頁面權限并植入惡意程序、持續控制“肉雞”并挖掘價值。

掛馬技術是從2005年開始逐漸流行的一種網絡攻擊技術，在2008—2010年，活躍程度達到頂峰，這個時期網上每天可能出現成千上萬個掛馬網頁，很多網民深受其害。由于掛馬攻擊是利用瀏覽器或系統漏洞進行的，因此單純使用殺毒軟件往往難以有效防御。

2.3.4 釣魚網站

釣魚網站常用于網絡欺詐行為，指不法分子利用各種手段，仿冒真實網站的URL地址及頁面內容，或者利用真實網站服務器程序上的漏洞，在站點的某些網頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等信息。常見的釣魚網站包括虛假購物網站、仿冒銀行網站、虛假中獎網站、虛假QQ空間等。

2.3.5 域名劫持

域名系統（Domain Name System，DNS）是互聯網中十分關鍵的基礎設施，它是一個分布式數據庫，能與IP地址相互映射，從而使用戶不用死記硬背那些被機器直接讀取的IP地址就能方便地訪問互聯網。域名一旦被劫持，將會引導用戶進入攻擊者偽造的網站或導致網站無法訪問，造成無法估量的后果。

域名劫持一般有多種形式。一種是利用各種惡意程序修改瀏覽器、鎖定主頁或不停彈出新窗口，強制用戶訪問某些網站，或者在用戶訪問A網站時將其替換成B網站。這種威脅目前由于安全軟件和安全瀏覽器的存在，基本已經被消除。

更高級的一種是通過冒充原域名擁有者，修改網絡解決方案公司的注冊域名記錄，將域名轉讓給另一團體，讓域名指向另一個服務器，使正常的域名訪問被指向攻擊者引導的內容。

2018年4月，流行的某以太網錢包遭遇域名劫持攻擊，攻擊者將用戶定向到惡意版本的網站并盜用他們的私鑰。據媒體報道，攻擊持續了幾個小時，攻擊者從中獲得了大約價值15萬美元的加密貨幣。

2.3.6 暴力破解

暴力破解指的是攻擊者使用自己的用戶名和密碼字典，在相關網站上一個一個去枚舉，嘗試是否能夠登錄。理論上來說，只要字典足夠龐大，枚舉總是能夠成功的。攻擊者每次發送的數據都必須封裝成完整的HTTP數據包才能被服務器接收，因為不可能一個一個手動構造數據包，所以在實施暴力破解之前，需要先獲取構造HTTP數據包所需要的參數，然后交給暴力破解軟件構造工具數據包實施攻擊。

暴力破解不是很復雜的攻擊，大量的暴力破解請求會導致服務器日志中出現大量異常記錄，只要服務器能夠進行有效的監控和分析，就可以避免這類攻擊。

2.3.7 撞庫攻擊

撞庫是指攻擊者通過收集互聯網上已泄露的用戶名和密碼信息，生成對應的密碼字典表，在嘗試批量登錄其他網站后，碰撞出一系列可以登錄的賬戶。用戶在登錄不同網站時使用相同的用戶名和密碼，相當于給黑客配了一把“萬能鑰匙”，一旦丟失，后果無法想象。

撞庫攻擊需要一定的攻擊成本，其中最重要的是撞庫的源數據。這些源數據主要通過三種方式獲?。阂皇呛谑匈徺I；二是同行交換；三是自行入侵網站并進行“拖庫”。

2.3.8 網絡詐騙

近年來，網絡詐騙的運作模式日趨“專業化”、公司化，犯罪手段也越來越智能化，逐漸形成了惡意注冊、引流、詐騙等上下游環節勾連配合的完整鏈條。如不法分子從處于產業鏈中游的盜竊團隊那里購買最“鮮活”的靜態和動態個人隱私信息，把騙術生活場景化和個性化，實施“精準詐騙”；通過模仿流行的營銷方法誘導用戶轉發、分享，實現“隨機詐騙”。

下面介紹幾種常見的網絡詐騙方式及相應的防騙提示。

（1）虛假兼職

騙子利用QQ、郵箱和搜索引擎等渠道發布虛假兼職廣告，誘騙用戶上當。虛假兼職詐騙的形式有很多，最常見的是保證金詐騙和刷信譽詐騙。

防騙提示：所謂高薪、輕松的招聘信息多為詐騙信息，找工作應在正規機構或網站上找，并且要查看用人機構的真實性。

（2）虛假購物

騙子通過搜索引擎、QQ等方式誘騙用戶進入虛假購物網站進行購物消費。用戶在這些虛假購物網站上消費后，不會收到任何商品。絕大多數虛假購物網站都是模仿知名購物網站進行精心設計和改造的。

防騙提示：不要購買價格明顯低于市場正常價格的商品，網購要在正規電商平臺完成。

（3）退款詐騙

消費者在網店購物后不久，便會接到自稱是網店店主或交易平臺客服打來的電話。電話中，對方往往能夠準確地說出消費者剛剛購買的商品名稱和價格，并以交易失敗，要給消費者辦理退款手續為由，誘騙消費者在釣魚網站上輸入自己的銀行賬號、密碼、購物網站登錄的用戶名、密碼等信息，進而盜刷用戶的銀行卡。消費者消費信息的泄露，是騙子能夠完成此類詐騙的重要原因。

防騙提示：退款應通過電商渠道正規流程辦理，索要銀行賬號和密碼的都是騙子。

（4）網游交易

騙子通過游戲大廳、QQ群喊話等方式，兜售明顯低于市價的游戲裝備或游戲道具，誘騙用戶到虛假的游戲登錄界面或游戲交易網站進行登錄或交易，進而騙取用戶的游戲賬號、游戲裝備和虛擬財富。此類詐騙往往還會結合交易卡單、解凍資金等其他騙術實施。

防騙提示：游戲交易要查看交易網站的合法性，明顯低于市場正常價格的交易大部分為詐騙。

（5）賭博

騙子誘騙用戶在虛假的博彩網站上進行賭博活動。而用戶無論在這些博彩網站上是賠是賺，都無法將賭資從自己的賬戶中提走。還有一些虛假的博彩網站會操縱賭博過程，誘使用戶的賭資快速輸光。

防騙提示：賭博不僅危害社會秩序，影響生產、工作和生活，而且往往是誘發其他犯罪的溫床，對社會危害很大，應予嚴厲打擊。

（6）視頻交友

騙子通過虛假的視頻交友網站誘騙用戶不斷交費，以獲取更高級別的服務特權。但實際上，無論用戶向自己的賬戶中充多少錢，都看不到網站承諾的任何服務。更有甚者，通過讓用戶安裝木馬軟件，獲取其通訊錄、攝像頭等隱私權限，再誘導用戶做出不雅動作并暗中錄制視頻，以不交錢就將視頻發給通訊錄親友為由進行勒索詐騙。

防騙提示：提供色情視頻服務的網站不可信任。同時在網絡交友時，不要輕易給對方轉賬。

（7）金融理財

騙子開設虛假的金融網站、投資理財網站，通過超高收益誘騙投資者進行投資。而投資者一旦投資，往往無法取回本金。常見的金融理財詐騙形式包括天天分紅、網上傳銷和P2P欺詐等。

防騙提示：金融理財商品要在大型機構購買，不要相信所謂的無風險、高回報、內幕消息等宣傳。

（8）虛假團購

騙子開設虛假團購網站誘騙用戶進行消費。虛假團購網站大多通過搜索引擎的推廣服務進行傳播。虛假團購網站銷售的商品以游樂園門票、電影票、餐飲券等居多，誤入虛假團購網站會導致財產損失。

防騙提示：對于不知名的團購網站，需要查看網站備案等是否合法，謹慎團購商品。

（9）虛假票務

騙子開設虛假票務（如飛機票、火車票、輪船票等）網站實施詐騙。

防騙提示：辦理退、改簽業務要找航空、鐵路公司或正規商家辦理，不可輕信陌生短信、電話等辦理方式。

（10）虛假批發

騙子開設虛假批發網站，誘騙消費者進行購買。

防騙提示：對于低價、批發的產品，需要查看賣家的營業資質等是否合法，謹慎批發商品。

（11）“殺豬盤”感情詐騙

騙子會通過有意或無意的方式與用戶建立聯系，通過預先準備好的話術、圖片、視頻等素材創建積極向上、單純善良、情感受挫等人設，慢慢與用戶培養感情，建立戀愛、摯友、合作伙伴等關系，誘導用戶投資、賭博、購買商品或直接轉賬。

防騙提示：在網絡上不要輕易相信他人。

（12）網購木馬

網購木馬是專門用于劫持用戶交易資金的木馬，此類木馬大多通過QQ傳播。

防騙提示：不要輕易安裝未知來源的軟件，軟件要在官方渠道下載。

（13）虛假中獎

騙子通過虛假中獎短信等方式，以巨額獎金為誘餌，誘騙用戶進入虛假中獎網站，再以“先交費/稅，后提貨”為由，誘騙用戶向騙子賬戶轉賬。

防騙提示：如果參與抽獎活動，要通過官方渠道核實中獎信息，不輕信短信、郵件等告知的中獎信息。

（14）話費充值

騙子建立虛假話費充值網站，通過搜索引擎等渠道誘騙消費者充值。

防騙提示：話費充值要在官方網站或大型第三方網站進行，不可輕信低價、特價信息。

（15）虛假藥品

騙子開設虛假藥品網站，銷售假藥或只收錢、不賣藥。

防騙提示：購買藥品要認準生產商，要在正規渠道購買，杜絕來路不明的藥品。

（16）賬號被盜

騙子盜取用戶的銀行賬號、社交軟件等的用戶名和密碼，從而盜取用戶錢財。

防騙提示：網銀、網上支付、常用郵箱、社交軟件應單獨設置密碼，切忌一套密碼到處用，重要賬號還應定期更換密碼。

（17）冒充熟人

騙子冒充用戶的父母、兄弟、姐妹、朋友、同事、領導等熟人，通過短信、QQ、電話等方式來騙取錢財。

防騙提示：接到陌生電話，不要透露過多個人信息，如果遇到轉賬等要求，需要核實對方身份，不可輕易轉賬。

（18）冒充公檢法辦公人員

騙子冒充公安機關、法院、檢察院等國家機構的辦公人員，謊稱用戶涉嫌某類案件需要配合調查，并以恐嚇、威脅等方式要求用戶通過ATM、網銀等方式將資金轉入所謂的保障賬戶、公正賬戶等。

防騙提示：公檢法辦公人員不會要求公民將資金轉入某些賬戶配合調查。

（19）代辦信用卡

騙子謊稱是銀行機構或銀行業務代辦機構的工作人員，可以幫助用戶辦理大額信用卡，騙取用戶傭金。

防騙提示：信用卡要在銀行或通過其指定的正規渠道辦理，通過個人辦理高額信用卡不可信。

（20）信用卡提升額度

騙子謊稱是銀行機構或銀行業務代辦機構的工作人員，可以幫助用戶提升信用卡額度。

防騙提示：不要相信此類信息，提升信用卡額度需通過正規渠道辦理。

（21）虛假客服

騙子冒充銀行、運營商、淘寶、騰訊等一些正規機構的客服人員，給用戶打電話，謊稱幫助辦理某項業務，從而盜取用戶的銀行賬號、密碼等，造成用戶的財產損失。

防騙提示：可通過運營商官方網站、客服電話等渠道查詢真偽，不輕信主動打來的電話和發來的短信。

（22）代付欺詐

代付是第三方支付平臺提供的一項付款服務，消費者在購買商品時，可以找他人幫忙代付。騙子偽裝成賣家，在與消費者談好交易后，將一個偽裝好的代付鏈接發給消費者，而消費者付款的商品并不是先前談好的商品，導致被騙。

防騙提示：網絡購物需按照電商平臺正規流程付款，其他付款方式風險高，如需代付，需看清付款鏈接的商品后再支付。

（23）微信紅包

騙子主要通過微信，以返還紅包、借錢、話費充值、進群必須發紅包等為借口騙取用戶財產。

防騙提示：不要隨意給陌生人發紅包，需交錢才能進入的群多從事詐騙、賭博、色情等違法活動。

（24）補貼詐騙

騙子冒充民政部門工作人員，給用戶打電話、發短信，謊稱可以領取生育補貼，要其提供銀行賬號，然后以資金到賬查詢為由，讓其在ATM上進入英文界面操作，將錢轉走。

防騙提示：不輕信此類電話、短信，補助款項接收需按正規流程辦理，需在ATM辦理的均為詐騙。

2.3.9 郵件攻擊

郵件攻擊是網絡中常見的一種攻擊方式，很多人收到過垃圾郵件，而垃圾郵件中可能就潛藏著病毒。郵件攻擊也是攻擊者針對企業發起攻擊的主要形式，攻擊者會竊取登錄密碼，冒充管理員欺騙網內其他用戶，利用企業升級防火墻的機會趁機植入非法軟件；更常見的是冒充企業高管或財務，發送要求轉賬的郵件。

2.3.10 網頁篡改

網頁篡改，即攻擊者故意篡改網絡上傳送的報文，通常以入侵系統，然后篡改數據、劫持網絡連接并篡改或插入數據等形式進行。

對于網頁篡改攻擊，想要做到預先檢查和實時防范有一定的難度。網頁篡改攻擊工具正在向簡單且智能化發展，同時由于網絡環境復雜，因此責任難以追查。雖然目前已經有防火墻、入侵檢測等安全防范手段，但各類Web應用系統的復雜性和多樣性導致其系統漏洞層出不窮、防不勝防，使攻擊者入侵和篡改網頁的事件時有發生。

2.3.11 DDoS攻擊

拒絕服務（Denial of Service，DoS）攻擊能使計算機或網絡無法提供正常的服務。DoS攻擊是指故意攻擊網絡協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊者的資源，目的是讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統服務系統停止響應，甚至崩潰，而此攻擊無須侵入目標服務器或目標網絡設備。這些服務包括網絡帶寬、文件系統空間容量、開放的進程或者允許的連接。這種攻擊會導致資源匱乏，無論計算機的處理速度有多快、內存容量有多大、網絡帶寬有多寬，都無法避免這種攻擊帶來的后果。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。

分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊的原理是攻擊者通過在網絡上控制的很多機器一起對目標系統發動DoS攻擊。DDoS攻擊是分布式的，改變了傳統的點對點攻擊模式，使攻擊沒有規律可循。在進行攻擊時，DDoS通常使用的也是常見的協議和服務，這樣只從協議和服務的類型上是很難對攻擊進行區分的。在進行攻擊時，數據包都會經過偽裝，源IP地址也是偽造的，因此很難對DDoS攻擊進行地址確定，查找起來極其困難。

2.3.12 APT攻擊

高級持續性威脅（Advanced Persistent Threat，APT）是指有組織、有計劃的，針對特定目標的一系列攻擊行為，針對特定目標實施的長久、持續且隱匿的網絡攻擊活動。APT攻擊的攻擊者通常具有強大的資金支持，具備高超的技術能力，而非普通網絡黑客或網絡犯罪團伙。

近年來，APT攻擊的主要攻擊目的是長久性的情報刺探、收集和監控。