２００８年安全領域十大預言

1 奧運會——新型網絡攻擊、網絡釣魚和網絡欺詐

目前，基于大型事件的攻擊和詐騙手段非常流行，在全世界的關注下，2008年奧運會可能會激發新一輪網絡攻擊熱潮。伴隨奧運圣火的點燃，websense研究人員預測：針對北京奧運相關網站可能會有大規模的拒絕服務(DOS)攻擊，通過電子郵件和惡意軟件來實現政治言論的散播和網絡欺詐行為。此外，Websense預言黑客很有可能利用熱門的奧運新聞或其他體育網站攻擊廣大用戶、竊取個人或企業的機密信息。

2 博客、搜索引擎、論壇和網站——惡意垃圾郵件入侵

Websense預測，黑客將越來越多地利用互聯網的垃圾郵件來發送含有惡意程序的網站地址，或將其發布在論壇、博客和互動性評論中，這些行為不僅將網絡流量引至被感染的網站，而且還有助于提高該惡意網站的搜索引擎排名，進而增加受感染面積。

3 在線廣告、互動平臺——黑客利用網站的‘薄弱環節’植入惡意程序

Web是鏈接和網頁內容的集合體，Web 2.0的到來使得如Google Adsense、自動嵌入、桌面應用程序、社交性網站和數量龐大的網絡廣告聯合在一起，極大地增加了網站的脆弱性和易受攻擊性。Websense預測，攻擊者將利用網絡內部基礎設施的薄弱環節，來攻擊目標數量最大的互聯網用戶，而最易受到這些攻擊的互聯網用戶是搜索引擎和用戶數量龐大的網站如Mvspace、Facebook和其他的門戶網站。

4 利用現有互聯網站發動攻擊的數量將超過惡意網站數量

過去五年來，受感染的互聯網網站數量在不斷地穩步上升。如今，黑客利用大量用戶數量較高的網站作為其惡意程序發射平臺。這些中間載體，尤其是最終用戶數量巨大、最受歡迎的網站，為黑客們提供了極佳的攻擊平臺。他們為黑客提供了內置式網站流量并大大減少了引誘用戶所需要花費的時間和精力。

5 Mac、iPhone的大面積流行——交互式平臺的Web攻擊

隨著品牌識的增強和iPhone、Mac用戶的增多，Websense研究人員預測，黑客將更加關注操作系統層面的攻擊，而不僅僅是網頁瀏覽器。他們將推出越來越多的跨平臺式網絡攻擊檢測操作系統，使用專門針對操作系統的攻擊形式，目標將是Mac OS X、iPhone和Windows系統。

6 目標性更強——針對Web2.0時代特定群體的攻擊

Web 2.0為互聯網用戶大大擴展了發揮空間，他們可以光顧聊天室、社交性網站，和特定興趣網站如旅行網、汽車網等。這些網站為攻擊者提供了明確的分類，不同的網站用戶有著固定的特征，黑客將利用這些不同類別的網站針對特定年齡段、特定收入和特定購物癖好群體發起Web 2.0攻擊。預計在2008年中，有針對性的攻擊將導致對特定的社會網絡或特定興趣愛好群體所光顧的網站遭受損失。

7 Java Script變種將逃脫防病毒掃描軟件的監測

黑客如今正在利用poly-morphic JavaScript來提升防監測能力，這意味著每個受攻擊用戶訪問的惡意網站的編碼是不同的。通過改變每次訪問的代碼，基于數字簽名的電子安全掃描技術就難以迅速監測到惡意網站了。黑客們利用這種技術來延長被監測的時間，從而逃避防病毒掃描軟件的監測。

8 數據隱藏方式的精密性增加

Websense預測病毒密碼技術和數據隱藏精密性增加的方式包括：速記、數據嵌入的標準協議和多媒體文件的利用。網絡上廣泛流傳的工具包將會被大面積用來嵌入惡意信息并竊取數據。

9 全球執法——嚴厲打擊主要黑客團體和個人

2007年，大規模的網上攻擊已引起世界各地執法人員的密切注意。Websense預計，通過全球性的執法機關合作，2008年將出現最大的鎮壓和逮捕黑客集團和個人的機構。

10 電話詐騙和語音郵件將結合起來并開始增加

巨大的手機用戶群體如今已發展成為一個有利可圖的市場，電話詐騙和語音垃圾郵件將被結合起來幫助不法分子獲取收益。截至目前，研究人員已經看到越來越多的Vishing襲擊，但沒有太多的垃圾郵件或自動呼叫。Websense預測，在2008年，利用社會工程和IP語音電話(VoIP)來非法獲取私人資料和財務資料的行為將和語音垃圾郵件結合起來并大大增加，不法分子會要求用戶撥打VoIP網絡電話賬號下附的電話號碼，然后通過Skype等網絡電話服務或者通過Vonage控股公司等轉售VoIP產品的零售商輕輕松松地獲得用戶的身份資料。

作為一個特殊的年份，2008年的中國不僅將成為世界億萬眼球的焦點，也將成為全球黑客、病毒、木馬的攻擊目標。以上10大安全預言，匯總了來自Websense安全專家們最近一段時間對網絡安全問題發展的最新技術趨勢預測，值得各位關注。要想了解最新的安全信息，歡迎訪問我們的在線博客(find.pcworld.com.cn／22382)!

數字證書確保網上安全

日前，針對近期盜取網上銀行和網上證券賬戶信息的安全事件頻繁發生的現象，國采金融行業權威的第三方安全認證機構一中國金融認證中心(CFCA)，向廣大用戶發出安全提示：

近一段時間，利用木馬、病毒等惡意軟件盜取網上銀行和網上證券賬戶信息的案件時有發生。從以往的案件特點來看，不法分子主要是通過木馬、病毒等惡意代碼盜取賬號和密碼等信息，對網上銀行或證券賬戶進行惡意操作。

因此強烈建議用戶注意以下幾點：

1、盡量不要采用安全級別很低的“賬號+密碼”方式進行網上交易，否則，一旦用戶的個人電腦被植入木馬、病毒等愚意代碼，賬號和密碼等信息就很容易被竊取。進而造成資金損失。

2、辦理網上銀行或證券業務時，一定要注意相應的安全說明或風險提示，注意網上銀行大眾版和專業版(或簽約版／證書版)的功能和區別。部分證券公司提供應用敲字證書的網上證券交易軟件，這是目前安全級別較高的網上證券交易軟件。

3、如果需要比較頻繁地進行網上交易操作，建議一定要采用由合法、權威的第三方安全認證機構頒發的數字證書，即使用網上銀行的專業版和證券交易軟件的證書版。數字證書就是一個包含個人身份信息的電子文件，是用戶的“網絡身份證”，通過第三方安全認證機構能夠實現交易雙方身份真實性的確認。同時還能保證用戶的交易信息不被非法竊取和篡改并保證交易的不可否認性。

此外，為電腦安裝正版防病毒軟件并定期升級等都是保障網上交易安全的必要措施。