警防虛假殺毒軟件彈出詐騙 建立一個安全意識培訓(xùn)計劃
谷歌公司最近的一份報告顯示,一種安裝虛假殺毒軟件的惡意軟件的數(shù)量在顯著增加。同時,試圖給不知情的訪問者強行植入惡意軟件的惡意網(wǎng)頁數(shù)量也在增加。微軟公司的數(shù)據(jù)也證明了這些發(fā)現(xiàn),在2009年下半年,他們的安全產(chǎn)品清除了780萬個與虛假殺毒軟件相關(guān)的惡意軟件,而在今年上半年,這種惡意軟件數(shù)量上升了46.5%。
虛假殺毒軟件的散布人員依靠網(wǎng)上的廣告來誤導(dǎo)用戶,讓用戶以為自己的計算機感染了病毒而感到害怕,同時還為用戶提供一個可以進(jìn)行惡意軟件掃描的免費軟件下載。這種惡意軟件(通常叫做恐嚇軟件)有著非常高的感染率,因為它使用了一種社交工程技術(shù)來誘騙用戶進(jìn)行安裝,或者更糟的是,誘騙用戶使用他們的信用卡詳細(xì)信息去支付一個毫無價值的費用。諷刺的是,攻擊人員一直是在利用因特網(wǎng)用戶日益增強的保護(hù)意識(保護(hù)自己計算機的安全)來傳播虛假殺毒軟件以及其他的惡意軟件程序,比如說Storm Trojan。
社交工程攻擊利用各種心理觸發(fā)(比如說貪婪、害怕或者好奇)來促使或者誘使人們忽略常識,違反安全規(guī)則。盡管這些攻擊中使用的這些社交工程方法都相當(dāng)簡單,但是攻擊者卻使用更先進(jìn)的方法來傳送他們的廣告,防御他們的惡意軟件傳播網(wǎng)絡(luò)。舉個例子,《紐約時報》的讀者去年就成為了攻擊者的目標(biāo),攻擊者最初的身份是因特網(wǎng)電話供應(yīng)商Vonage Holdings公司。攻擊人員最初在網(wǎng)站上付費播出的廣告并沒有病毒,但是后來卻轉(zhuǎn)變成一個警告《紐約時報》讀者他們的計算機可能感染病毒的廣告。點擊那個鏈接就把訪問者引至一個銷售殺毒軟件的網(wǎng)站。在如此高知名度的網(wǎng)站上付費做廣告,黑客們?nèi)〉昧舜蠹业淖鹁春托湃巍?/P>
真正的殺毒軟件正在努力想辦法查殺這些虛假殺毒軟件。創(chuàng)建虛假殺毒軟件程序的詐騙人員通常資源豐富、精通IT,他們在每個安裝過程中使用各種各樣的打包機以及多種形態(tài),以逃避以簽字為基礎(chǔ)的監(jiān)測過程。他們還大大增加那些試圖下載他們的惡意軟件的網(wǎng)頁數(shù)量,超越了正規(guī)殺毒軟件程序更新黑名單以及惡意軟件監(jiān)測簽名的能力,減少了他們被監(jiān)測到的機會。
把這些惡意網(wǎng)站列入黑名單越來越難的一個原因是因為攻擊者使用的是domain rotation技術(shù)。攻擊者對被感染的專用網(wǎng)站或者合法網(wǎng)站進(jìn)行設(shè)置,讓它們把網(wǎng)絡(luò)流量轉(zhuǎn)送到另外一個中間網(wǎng)站,然后這個中間網(wǎng)站再把網(wǎng)絡(luò)流量轉(zhuǎn)送到攻擊者的服務(wù)器上。
除了成功下載惡意軟件以外,這些惡意程序的另外一個惡作劇是:不管你點擊“是”、“否”、還是“取消”來關(guān)閉彈出的警告對話框,對話框都不會消失。(在這種情況下,請指導(dǎo)用戶按Ctrl+Alt+Delete鍵,啟動Windows任務(wù)管理器。然后,終止瀏覽器進(jìn)程——iexplore.exe,firefox.exe——而且,當(dāng)重新啟動時,如果瀏覽器有提示也不要恢復(fù)原來的瀏覽器會話)。如果你認(rèn)為你的計算機可能感染了病毒,那么請斷開網(wǎng)絡(luò),用你電腦上原來的殺毒軟件進(jìn)行一次系統(tǒng)掃描。如果你發(fā)現(xiàn)殺毒軟件無法更新,那么惡意軟件可能阻斷了殺毒軟件對更新文件的訪問。像Symantec.com和Microsoft.com這樣的網(wǎng)站通常會發(fā)布免費的建議,告訴大家怎樣根據(jù)電腦出現(xiàn)的具體癥狀來清除某種惡意軟件。
防御虛假殺毒軟件的最好方法是為員工制定一個安全意識培訓(xùn)計劃:讓員工有所準(zhǔn)備,更好地處理社交工程攻擊很重要。如果你以現(xiàn)場為基礎(chǔ),用員工可能碰到的實際例子進(jìn)行培訓(xùn),那么你可以讓他們有能力抵抗社交工程攻擊中常用的心理觸發(fā),讓他們不容易被欺騙,更好的應(yīng)對攻擊、不去違反安全政策。用簡單的安全標(biāo)語警告大家不要點擊那些彈出的對話框和廣告非常有效,并能夠讓用戶意識到危險所在。如果用戶試圖訪問一個網(wǎng)站,大多數(shù)殺毒軟件程序都會對它認(rèn)為含有惡意代碼的網(wǎng)站顯示一個警告,用戶應(yīng)該知道他們不能忽視或者不顧這些警告;不幸的是,殺毒軟件系統(tǒng)本身無法設(shè)定這種不允許忽視警告選項。
應(yīng)該明確的是,在培訓(xùn)過程中企業(yè)所有的計算機都已經(jīng)安裝好了殺毒軟件以及反惡意軟件工具,IT部門要專門負(fù)責(zé)這個保護(hù)過程:用戶不需要自己動手。另外,請確保用戶登錄時不會擁有管理權(quán)限,這樣做可以防止他們安裝不必要的程序。此外,盡管告訴用戶關(guān)閉彈出的對話框——就像告訴他們開啟或者關(guān)閉任何安全設(shè)置一樣——似乎是一個好主意,但是這樣做往往困難重重。我會盡量避免這樣做。
你還需要一個明確定義的安全事件處理過程,員工一旦懷疑事情不對頭就能盡快地進(jìn)行處理。如果有人擔(dān)心他的計算機行為的任何一個方面有問題,或許是多次提示或者運行緩慢,那么他就應(yīng)該向IT部門報告。這個過程還應(yīng)該規(guī)定,當(dāng)一個新的詐騙軟件被發(fā)現(xiàn)后,員工應(yīng)該主動告知其他的用戶,從而加強你一直在推行的最佳實踐。
【編輯推薦】
