警防虛假殺毒軟件彈出詐騙 建立一個安全意識培訓計劃
谷歌公司最近的一份報告顯示,一種安裝虛假殺毒軟件的惡意軟件的數量在顯著增加。同時,試圖給不知情的訪問者強行植入惡意軟件的惡意網頁數量也在增加。微軟公司的數據也證明了這些發現,在2009年下半年,他們的安全產品清除了780萬個與虛假殺毒軟件相關的惡意軟件,而在今年上半年,這種惡意軟件數量上升了46.5%。
虛假殺毒軟件的散布人員依靠網上的廣告來誤導用戶,讓用戶以為自己的計算機感染了病毒而感到害怕,同時還為用戶提供一個可以進行惡意軟件掃描的免費軟件下載。這種惡意軟件(通常叫做恐嚇軟件)有著非常高的感染率,因為它使用了一種社交工程技術來誘騙用戶進行安裝,或者更糟的是,誘騙用戶使用他們的信用卡詳細信息去支付一個毫無價值的費用。諷刺的是,攻擊人員一直是在利用因特網用戶日益增強的保護意識(保護自己計算機的安全)來傳播虛假殺毒軟件以及其他的惡意軟件程序,比如說Storm Trojan。
社交工程攻擊利用各種心理觸發(比如說貪婪、害怕或者好奇)來促使或者誘使人們忽略常識,違反安全規則。盡管這些攻擊中使用的這些社交工程方法都相當簡單,但是攻擊者卻使用更先進的方法來傳送他們的廣告,防御他們的惡意軟件傳播網絡。舉個例子,《紐約時報》的讀者去年就成為了攻擊者的目標,攻擊者最初的身份是因特網電話供應商Vonage Holdings公司。攻擊人員最初在網站上付費播出的廣告并沒有病毒,但是后來卻轉變成一個警告《紐約時報》讀者他們的計算機可能感染病毒的廣告。點擊那個鏈接就把訪問者引至一個銷售殺毒軟件的網站。在如此高知名度的網站上付費做廣告,黑客們取得了大家的尊敬和信任。
真正的殺毒軟件正在努力想辦法查殺這些虛假殺毒軟件。創建虛假殺毒軟件程序的詐騙人員通常資源豐富、精通IT,他們在每個安裝過程中使用各種各樣的打包機以及多種形態,以逃避以簽字為基礎的監測過程。他們還大大增加那些試圖下載他們的惡意軟件的網頁數量,超越了正規殺毒軟件程序更新黑名單以及惡意軟件監測簽名的能力,減少了他們被監測到的機會。
把這些惡意網站列入黑名單越來越難的一個原因是因為攻擊者使用的是domain rotation技術。攻擊者對被感染的專用網站或者合法網站進行設置,讓它們把網絡流量轉送到另外一個中間網站,然后這個中間網站再把網絡流量轉送到攻擊者的服務器上。
除了成功下載惡意軟件以外,這些惡意程序的另外一個惡作劇是:不管你點擊“是”、“否”、還是“取消”來關閉彈出的警告對話框,對話框都不會消失。(在這種情況下,請指導用戶按Ctrl+Alt+Delete鍵,啟動Windows任務管理器。然后,終止瀏覽器進程——iexplore.exe,firefox.exe——而且,當重新啟動時,如果瀏覽器有提示也不要恢復原來的瀏覽器會話)。如果你認為你的計算機可能感染了病毒,那么請斷開網絡,用你電腦上原來的殺毒軟件進行一次系統掃描。如果你發現殺毒軟件無法更新,那么惡意軟件可能阻斷了殺毒軟件對更新文件的訪問。像Symantec.com和Microsoft.com這樣的網站通常會發布免費的建議,告訴大家怎樣根據電腦出現的具體癥狀來清除某種惡意軟件。
防御虛假殺毒軟件的最好方法是為員工制定一個安全意識培訓計劃:讓員工有所準備,更好地處理社交工程攻擊很重要。如果你以現場為基礎,用員工可能碰到的實際例子進行培訓,那么你可以讓他們有能力抵抗社交工程攻擊中常用的心理觸發,讓他們不容易被欺騙,更好的應對攻擊、不去違反安全政策。用簡單的安全標語警告大家不要點擊那些彈出的對話框和廣告非常有效,并能夠讓用戶意識到危險所在。如果用戶試圖訪問一個網站,大多數殺毒軟件程序都會對它認為含有惡意代碼的網站顯示一個警告,用戶應該知道他們不能忽視或者不顧這些警告;不幸的是,殺毒軟件系統本身無法設定這種不允許忽視警告選項。
應該明確的是,在培訓過程中企業所有的計算機都已經安裝好了殺毒軟件以及反惡意軟件工具,IT部門要專門負責這個保護過程:用戶不需要自己動手。另外,請確保用戶登錄時不會擁有管理權限,這樣做可以防止他們安裝不必要的程序。此外,盡管告訴用戶關閉彈出的對話框——就像告訴他們開啟或者關閉任何安全設置一樣——似乎是一個好主意,但是這樣做往往困難重重。我會盡量避免這樣做。
你還需要一個明確定義的安全事件處理過程,員工一旦懷疑事情不對頭就能盡快地進行處理。如果有人擔心他的計算機行為的任何一個方面有問題,或許是多次提示或者運行緩慢,那么他就應該向IT部門報告。這個過程還應該規定,當一個新的詐騙軟件被發現后,員工應該主動告知其他的用戶,從而加強你一直在推行的最佳實踐。
【編輯推薦】
