新興安全威脅現狀是怎樣的、在云計算日益普及的今天將會呈現怎樣的發展、在移動互聯網時代如何更好做好防御？在9月23日由360公司主辦的“中國互聯網安全大會上”，新興安全威脅成為安全專家們普遍關注的重點。

新一代“駭客”怎么精確攻擊目標？

美國SANS學院互聯網風暴中心主管馬克·薩切斯（Marc Sachs）在較早的時候說過：“現在的惡意軟件的作者試圖竊取用戶的身份及信用卡數據，他們利用擁有的技術進行違法犯罪活動，發不義之財。他們不再選用通常的更多可歸類為惡作劇式的攻擊手法，而是實施有組織的破壞性的計劃。他們不是想在互聯網上制造混亂，而是想利用互聯網謀取不義之財。”

以往的蠕蟲傳播往往是面向隨機IP或隨機賬戶，而有社交網絡之后，犯罪份子們往往可以更精確的鎖定目標。在我們發布個人狀態和新聞消息時，犯罪份子可能正在微博、人人網、微信、淘寶、京東上面確認著你的行蹤。沒錯，你的一舉一動都可能被人關注著。更讓人無法忍受的，是那些昧著良心把你注冊信息賣給第三方的服務商。如果你是垃圾短信、垃圾郵件的受害者，你一定能體會到這種痛苦。犯罪份子和垃圾廣告發送者經常用這種廉價而又高效的方式來獲取用戶的信息，從而為下一步行動做準備。

技術實力雄厚的攻擊者可以通過竊取用戶云端服務商的數據庫來獲得用戶的個人信息和密碼，普通的攻擊者則更多的使用釣魚的方式來引誘用戶去點擊他們精心構筑的鏈接……然后，他們可以冒充用戶來對不知情的用戶好友進行詐騙。比如在QQ上說我這幾天手頭緊，能否給我的帳號打幾百塊錢；或者直接去登錄用戶的游戲帳號、網店賬戶，將里面的虛擬貨幣和貨款提走。甚至借用你的帳號來做跳板，去攻擊另外的人。

筆者曾經遇到過一起真實案例，一個同事接到某個好友發來的微博私信，說是讓她幫忙買幾張游戲點卡。同事看到消息后猶豫了一下，便給那個好友打了個電話，不料好友電話關機。于是同事就給對方買下了點卡。兩個小時后，該好友重新上線，發現自己的微博已被人盜用。在這起攻擊事件中，犯罪份子是在確認了該微博用戶電話關機的狀態下，才向受害者實施詐騙的，其攻擊過程的精確程度讓人乍舌。

我們該如何應對威脅？

SSL、HTTPS、VPN……以往被認為是無懈可擊的加密系統已被證明其并不可靠，無論是在機場還是在咖啡館，無數的惡意AP可以讓準備用Wifi上網的用戶毫無察覺的交出自己的密碼，還有一些高級APT形式的攻擊方式則更加令人難以防范。比如，之前網上出現過一篇名叫《小心閨蜜寄來的手機》的文章，講到了一個技術公司的女員工收到閨蜜寄來內置間諜軟件的新手機，能夠在用戶毫無防備使用過程中，不幸將公司機密泄露。這些攻擊都不再單純是技術上的博弈，而是社會工程學和駭客行為的邪惡融合，在企業間的競爭中屢見不鮮。如果說傳統威脅是犯罪份子PK電腦的話，新興的威脅已經是犯罪份子直接來PK受害者。毫不夸張的說，從社交身份竊取到網購欺詐，目前流行的互聯網威脅已進入“貼身肉搏”時代。

而面對危機四伏安全威脅，單純的給系統打補丁、安裝殺毒軟件已經遠遠不夠。國內的360等安全公司不但推出了安全防護工具，還推出了“網購先賠”等相應的安全保障服務，為產品漏報給用戶造成的損失買單，這些都是緩解攻擊的好辦法。同時，用戶也需要提高自己的安全意識：網購不貪圖小便宜，不要用手機進入機密或機要的網絡，不要登錄使用陌生的無線網絡，在使用社交網絡、即時通訊、電商服務的時候主要保護個人隱私…..沒有絕對的安全，但我們可以做到更好的保護，這就是首屆中國互聯網安全大會帶來的啟示。