2017上半年互联网安全报告

2017-08-04 来源:原创 作者:腾讯电脑管家
【文章摘要】从国内的“暗云Ⅲ”病毒,到席卷全球的“WannaCry”敲诈勒索病毒,再到“Petya”恶性破坏性病毒,无一不说明目前的网络安全形势严峻,企业安全防护脆弱,大力发展网络安全防护势在必行。

前言

1 互联网安全形势严峻,大力发展网络安全防护势在必行

在互联网高速发展,已经成为社会发展动力的同时,互联网安全也变得越来越重要。2014年,中央网络安全与信息化领导小组正式成立,习近平亲自担任组长,国家和政府对网络安全的重视程度可见一斑。在中央网络安全和信息化领导小组第一次会议上,习近平首次提出“网络强国”战略,“没有网络安全就没有国家安全”,网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快而变到越来越显著。“家门就是国门”,安全问题刻不容缓。

在中国,网络已走入千家万户,网民数量世界第一,我国已成为网络大国。互联网已经深度介入民众生活的方方面面。根据一份关于民众信息的调查报告显示,大学生和白领群体的互联网使用率已经接近100%,九成以上大学生和白领群体最主要的信息获取渠道为互联网。网民在互联网上进行的行为主要有获取新闻资讯、学习工作、即时沟通、网络社交及各类休闲娱乐。在全民联网的时代,网民的网络安全如何保证?企业网络在面对网络攻击时如何进行有效的防御?这些都已经成为国家、政府和安全行业正在面临和需要尽快解决的重要问题。

从国内的“暗云Ⅲ”病毒,到席卷全球的“WannaCry”敲诈勒索病毒,再到“Petya”恶性破坏性病毒,无一不说明目前的网络安全形势严峻,企业安全防护脆弱,大力发展网络安全防护势在必行。

2大力加强网络安全建设,人才匮乏现状急需改善

我国虽然已成网络大国,但离网络强国还有距离。木马和僵尸网络、移动互联网恶意程序、拒绝服务攻击、安全漏洞、网页钓鱼、网页篡改等网络安全事件多有发生,基础网络设备、域名系统、工业互联网等我国基础网络和关键基础设施依然面临着较大的安全风险,加强网络安全建设迫在眉睫。

同时,我国网络安全人才匮乏的现状急需改善。作为一个网络大国,中国除研究开发计算机设备,提升网络传输速度以外,还应加紧计算机信息安全人才的培育工作,让中国从网络大国变为网络强国,这是提升我国信息安全保障的重要基础。

网络安全已经上升至国家战略,国家也在大力投入、推动网络安全建设。但做好网络安全工作不是某个机构、某个部门的事,而是需要全社会的参与。从武汉市地方出台《关于支持国家网络安全人才与创新基地发展的政策措施》投入45亿建设资金,到2017年6月1日正式施行的《中华人民共和国网络安全法》,都是为了网络安全健康、稳健的发展而做出的努力。我们也呼吁作为有社会责任的安全企业、机构、个人积极投入到网络安全建设中来,为国家、国民的网络安全防护贡献一份力量。

3腾讯推动建立中国首个最强互联网安全矩阵

腾讯安全拥有17年能力积累及8亿用户海量大数据运营经验,是中国最为领先的互联网安全产品、安全服务提供者。本着“开放、联合、共享”的理念,将多年积累的能力和数据共享给合作伙伴,致力于互联网安全开放平台建设,提升互联网安全产业链安全能力,提升用户安全意识,共同推进中国互联网安全环境的建设。

目前,腾讯已推动建立中国首个互联网安全矩阵,涵盖基础安全的实验室矩阵、安全产品矩阵、安全大数据平台矩阵,以及互联网安全开放平台矩阵,致力于中国互联网安全新生态建设,开放核心能力和数据,为中国互联网安全生态建设不懈努力。

一、网络安全整体现状扫描

1.1 影响全球的六大网络安全事件,累计影响遍及全球

1.1.1维基解密CIA绝密文件泄露事件

2017年3月7日,维基解密(WiKiLeaks)公布了数千份文档并揭秘了美国中央情报局关于黑客入侵技术的最高机密,根据泄密文档中记录的内容,该组织不仅能够入侵iPhone手机、Android手机和智能电视,而且还可以入侵攻击Windows、Mac和Linux操作系统,甚至可以控制智能汽车发起暗杀活动。外界将此次泄漏事件取名为Vault 7,Vault 7公布的机密文件记录的是美国中央情报局(CIA)所进行的全球性黑客攻击活动。

Vault7包含8761份机密文档及文件,这些文件记录了CIA针对Android以及苹果智能手机所研发的入侵破解技术细节,其中有些技术还可以拿到目标设备的完整控制权。维基解密创始人阿桑奇表示,文件显示出“CIA网络攻击的整体能力”,而维基解密在发布这些文件时声称“CIA的网络军械库已失控”。

1.1.2影子经纪人公开NSA(美国国家安全局)黑客武器库

2017年4月14日,影子经纪人(Shadow Brokers)在steemit.com上公开了一大批NSA(美国国家安全局)“方程式组织” (Equation Group)使用的极具破坏力的黑客工具,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。任何人都可以使用NSA的黑客武器攻击别人电脑。其中,有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。黑客无需任何操作,只要联网就可以入侵电脑,就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。

1.1.3 “WannaCry”敲诈勒索病毒5月12日在全球爆发

2017年5月12日,“WannaCry”(想哭)比特币勒索病毒在全球范围内爆发,本次事件波及150多个国家和地区、10多万的组织和机构以及30多万网民,损失总计高达500多亿人民币。包括医院、教育机构以及政府部门,都无一例外的遭受到了攻击。勒索病毒结合蠕虫的方式进行传播,是此次攻击事件大规模爆发的重要原因。

用户中毒后最明显的症状就是电脑桌面背景被修改,许多文件被加密锁死,病毒弹出提示,要求用户向相关比特币地址转账300美元以便解锁文件。目前安全公司已经找到恢复加密文件的相关办法。

1.1.4 FireBall火球病毒感染超过2.5亿电脑

2017年6月1日,国外安全机构Check Point发报告称在国外爆发了“FireBall”病毒,并声称全球有超过2.5亿台电脑受到感染,其中受影响最大的国家分别是印度(10.1%)和巴西(9.6%)。美国有550万台电脑中招,占2.2%。受感染的企业网络中,印度和巴西分别占到43%和38%,美国则为10.7%。

此恶意软件强行将浏览器主页改为自家网站和搜索引擎,并将搜索结果重定向到谷歌或雅虎。这些伪造的搜索引擎跟踪用户数据,暗中搜集用户信息。而制作此病毒的作者为中国的Rafotech公司,目前该公司网站已无法访问。

1.1.5“暗云”系列病毒升级为“暗云III”再度来袭

2017年6月9日,腾讯电脑管家检测到,早在2015年就被首次发现并拦截查杀的“暗云”病毒死灰复燃,升级为“暗云Ⅲ”,通过下载站大规模传播,同时通过感染磁盘MBR实现开机启动,感染用户数量已达数百万。

升级过后的“暗云Ⅲ”将主要代码存储在云端,可实时动态更新,其功能目前主要有下载推广恶意木马、锁定浏览器主页、篡改推广导航页id等。用户一旦中招,电脑便会沦为“肉鸡”形成“僵尸网络”,并利用DDoS攻击影响搭建在某云服务商平台上的棋牌类网站,导致该网站访问变得异常卡慢。

1.1.6新一轮勒索病毒“Petya”来袭,更具破坏性

2017年6月27日,新一轮勒索病毒“Petya”袭击了欧洲多个国家,包括乌克兰、俄罗斯、印度、西班牙、法国、英国、丹麦等国在内都遭受了攻击,这些国家的政府、银行、企业、电力系统、通讯系统及机场等都受到了不同程序的影响。

此病毒相比“WannaCry”更具破坏性,病毒对电脑的硬盘MFT进行了加密,并修改了MBR,让操作系统无法进入。而根据相关的分析表示,开机界面上留下来的信息即使提供给黑客也是没有办法进行解密的,因此,不得不怀疑此次“Petya”病毒的真正目的。“Petya”更像是在做有目的性的攻击,对目标进行无法修复的破坏性攻击,而并非以敲诈勒索为目的。

1.2《中华人民共和国网络安全法》正式施行

6月1日,我国第一部全面规范网络空间安全管理的基础性法律——《中华人民共和国网络安全法》正式施行,共有七章七十九条,内容十分丰富,具有六大突出亮点。一是明确了网络空间主权的原则;二是明确了网络产品和服务提供者的安全义务;三是明确了网络运营者的安全义务;四是进一步完善了个人信息保护规则;五是建立了关键信息基础设施安全保护制度;六是确立了关键信息基础设施重要数据跨境传输的规则。 

同时新法还指出应采取多种方式培养网络安全人才,促进网络安全人才交流。新法的施行标志着我国网络安全从此有法可依,网络空间治理、网络信息传播秩序规范、网络犯罪惩治等即将翻开崭新的一页,对保障我国网络安全、维护国家总体安全具有深远而重大的意义。

1.3中国网民规模相当于欧洲人口总量,安全人才缺口高达95%

1.3.1中国网民规模达7.31亿,相当于欧洲人口总量

截至2016年12月,我国网民规模达7.31亿,普及率达到53.2%,超过全球平均水平3.1个百分点,超过亚洲平均水平7.6个百分点。全年共计新增网民4299万人,增长率为6.2%。中国网民规模已经相当于欧洲人口总量。

1.3.2移动端网民规模持续增长,手机网民占比达95.1%

截至2016年12月,我国手机网民规模达6.95亿,增长率连续三年超过10%。台式电脑、笔记本电脑的使用率均出现下降,手机不断挤占其他个人上网设备的使用。

1.3.3安全人才缺口巨大,高达95%

虽然我国网民数量已居全球首位,但我国从事信息安全行业的人非常少,安全人才及其匮乏。据相关资料显示,近年我国高校教育培养的信息安全专业人才仅3万余人,而网络安全人才总需求量则超过70万人,缺口高达95%。7.1亿中国网民的网络安全问题,已成为行业乃至国家亟待解决的问题。

北京电子科技学院副院长、教育部高等学校信息安全专业教学指导委员会秘书长封化民指出,当前中国重要行业信息系统和信息基础设施需要各类网络信息安全人才还将以每年1.5万人的速度递增,到2020年相关人才需求将增长到140万。但是目前,我国只有126所高校设立了143个网络安全相关专业,仅占1200所理工院校的10%。

二、2017上半年网络病毒威胁形势分析

2.1腾讯安全反病毒实验室PC端病毒拦截超10亿,环比增30%

2.1.1 木马病毒拦截量平均每月近1.7亿次

2017年上半年腾讯安全反病毒实验室统计数据显示,PC端总计已拦截病毒10亿次,病毒总体数量相比2016年下半年腾讯安全反病毒实验室拦截的病毒数增长30%;平均每月拦截木马病毒近1.7亿次。4月、6月为拦截病毒的高峰,拦截量均为1.8亿次。

2017年Q2季度相较于2016年Q2季度,腾讯安全反病毒实验室病毒拦截量同比增长了23.7%。从2014年到2017年Q2季度病毒拦截量来看,恶意程序数量逐年攀升。

2.1.2 PC端广东用户中毒最多,中毒高峰期为上午9-11点

2.1.2.1 上半年共发现2.3亿次用户机器中木马病毒 

2017年上半年腾讯安全反病毒实验室共发现2.3亿次用户机器中木马病毒,相比2016年下半年下降0.5%,平均每月为3,880万中毒机器进行病毒查杀。2017年Q2季度相比Q1季度中毒机器数略有增长。

2017年Q2季度相较于2016年Q2季度报毒用户量同比增长3%。从2015年到2017年Q2季度中毒机器数增长趋势明显,呈逐年递增状态。 

2.1.2.2 PC端用户中毒高峰期为上午9点到11点

根据统计,每天中毒高峰时间为上午10点-上午11点,符合企业及普通用户上午9点-上午11点开启电脑处理工作的规律。这段时间用户中毒的病毒类型较多为利用邮件、共享等方式传播的Office文档类宏病毒,说明企业办公安全防护形势依旧严峻。

2.1.2.3 PC端中毒用户省份最多为广东,其中深圳市居首

根据腾讯安全反病毒实验室监测到的中毒PC数量统计,从城市分布来看,互联网较为发达的城市用户中毒情况较重,全国拦截病毒排名第一城市为深圳市,占全部拦截量的3.76%,第二名为成都市,占全部拦截量的3.57%,第三名为广州市,占全部拦截量的3.39%。

从省级地域分布来看,全国PC中毒数量最多的是广东省,占全部拦截量的13.29%,第二名为江苏省,占全部拦截量的7.75%,第三名为山东省,占全部拦截量的7.12%。

2.1.3第一大病毒种类为占比53.8%的木马病毒,勒索病毒新增13.39%

2.1.3.1 PC端第一大种类病毒依然是木马,PE感染型病毒种类少但传播性大

根据腾讯安全反病毒实验室2017年Q2季度获取到的病毒样本分析,从病毒种类上,木马类占总体数量的53.80%,依然是第一大种类病毒。Adware类(广告软件、强制安装、收集用户隐私、弹垃圾信息等)为第二大病毒类,占总体数量的39.02%。后门类为第三大病毒类,占总体数量的5.13%。相比2017年Q1季度,病毒种类并没有太大变化。

从病毒样本的数量上来划分,排在第一位和第二位的仍然是木马类和Adware类,但排在第三位的变成了PE感染型,占总体数量的25.07%。

感染型样本的种类并不多,这与感染型病毒制作难度大、黑客等编程人员需要掌握的技术多、成本高、开发时间久等因素有关。同时,感染型病毒的传播性很大,存活时间相对也比较久,因此,种类少的PE感染型种类在样本传播量级上占了一定的比例,这也是由于感染型病毒具有大范围感染、快速传播的特性。

2.1.3.2敲诈勒索病毒样本数量Q2新增13.39%,第一并不是WannaCry

敲诈勒索病毒是以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意加密,造成用户数据丢失。目前,由国外传进国内的敲诈勒索病毒大多需要支付比特币赎金才能进行解密。由于比特币完全匿名流通,目前技术手段无法追踪敲诈勒索病毒背后的幕后操纵者,这也使得敲诈勒索病毒从2013年后呈现爆发式增长。

敲诈勒索病毒查杀量

根据腾讯安全反病毒实验室检测到的敲诈勒索病毒显示,2017上半年总计已发现敲诈勒索病毒样本数量在300万左右,平均每月检测到敲诈勒索病毒数量近50万个,Q2季度勒索病毒样本数量较Q1季度新增13.39%。5月、6月为拦截病毒的高峰,分别为57万个、53万个。

敲诈勒索病毒种类

根据相关数据分析显示,5月12日爆发的WannaCry敲诈勒索病毒是本季度最活跃、影响最大的病毒。该病毒与其他病毒在传播方式上有显著差异,由于使用了windows系统漏洞,使得该病毒能够在全球范围内传播,成为本季度的热点安全事件。在6月27号一种名为Petya的新型勒索病毒开始在世界各地传播,其敲诈手段与WannaCry相似,但更具有破坏性,直接加密了用户硬盘的MFT并修改了MBR,导致用户无法进入到windows系统。

以上病毒影响虽大,但从样本量上来看,最大的还是带有感染传播方式的PolyRansom病毒。此病毒会感染、加密用户的文件进行敲诈,但由于并没有使用像WannaCry病毒之类的密钥加密方式,而是使用了简单的加密算法,并且算法可逆,杀毒软件可以帮助用户正常恢复文件,因此虽然在样本量上排名第一,但影响并不是很大。此类敲诈病毒占了所有敲诈类病毒的78.84%,由此可见感染型病毒的传播能力之强。

从样本量上来看,除感染型敲诈病毒外,排在第一的是Blocker,占全部敲诈类病毒的36.82%,第二大类是Zerber,占全部敲诈类病毒的23.63%,第三大类才是本季度影响最大的WannaCry敲诈病毒,占全部敲诈类病毒的12.06%。WannaCry病毒量之所以快速上升到了第三的位置,是因为传播手段使用了漏洞传播。

目前的敲诈勒索病毒主要采用以下几种传播方式:

文件感染传播

文件感染传播是利用感染型病毒的特点进行传播,如PolyRansom病毒就是利用感染型病毒的特点,加密用户所有文档后再弹出勒索信息。由于PE类文件被感染后具有了感染其他文件的能力,因此如果此文件被用户携带(U盘、网络上传等)到其他电脑上后运行,就会使得该电脑的文件也被全部感染加密。

网站挂马传播

网站挂马通过是在获取网站或者网站服务器的部分或全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要包括IE等浏览器漏洞利用代码。用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码。

该类病毒也可以利用已知的软件漏洞进行攻击,例如利用Flash、PDF软件漏洞,向网站中加入带有恶意代码的文件,用户使用带有漏洞的软件打开文件后便会执行恶意代码,下载病毒。

利用系统漏洞传播

5月爆发的WannaCry就是利用Windows系统漏洞进行传播,利用系统漏洞传播的特点是被动式中毒,即用户没有去访问恶意站点,没有打开未知文件也会中毒。此种病毒会扫描同网络中存在漏洞的其他PC主机,只要主机没有打上补丁,就会被攻击。

腾讯反病毒实验室提醒大家,及时更新第三方软件补丁,及时更新操作系统补丁,以防被已知漏洞攻击。

邮件附件传播

通过邮件附件进行传播的敲诈勒索病毒通常会伪装成用户需要查看的文档,如信用卡消费清单、产品订单等。附件中会隐藏恶意代码,当用户打开后恶意代码便会开始执行,释放病毒。这类伪装病毒通常会批量发送给企业、高校、医院机构等单位,这些单位中的电脑中通常保存较重要的文件,一旦被恶意加密,支付赎金的可能性远远超过普通个人用户。

网络共享文件传播

一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,病毒作者会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等地方,以分享的方式发送给特定人群诱骗下载安装。

腾讯反病毒实验室提醒用户,下载软件请到官方正规渠道下载安装,切勿下载未知程序,如需要使用未知来源的程序,可提前安装腾讯电脑管家进行安全扫描。

2.2 移动端共查杀Android病毒6.93亿次,手机染毒用户数超1亿

2.2.1移动端病毒包增长趋势减缓,但总数仍有899万

2017年上半年腾讯手机管家截获Android新增病毒包总数达899万,相较2016年上半年有小幅度下降,但总数仍十分巨大。

2.2.2 移动端广东用户中毒最多,染毒手机用户数同比减少45.67%

2.2.2.1上半年腾讯手机管家共查杀Android病毒6.93亿次

在病毒感染用户数大幅下降的情况下,2017年上半年腾讯手机管家查杀病毒次数却达到6.93亿次,同比增长124.24%,总数是2016年上半年的一倍有余。恶意程序和木马病毒的制作成本降低、病毒传播渠道多样化是造成这一现象的重要因素。

除6月以外,2017年上半年每月查杀病毒次数均超过1亿次,其中1月份查杀次数更高达1.36亿次,几乎与2014年上半年1.4亿的查杀次数持平。

2.2.2.2 2017年上半年染毒手机用户数超1亿 

2017年上半年病毒感染用户数为1.09亿,同比减少45.67%,与2015年、2016年上半年相比皆有所下降。

2017年1月单月感染用户数达到2166万,为上半年最高纪录,此后感染用户数开始缓慢下降。

2.2.2.3 移动端中毒用户数量广东居首

在感染手机病毒的用户地域分布方面,广东排名第一,占比高达11.41%。

2.2.3流氓行为和资源占比超80%,二维码最易中毒

2.2.3.1移动端病毒中流氓行为和资费消耗占比超80%

2017年上半年手机病毒类型比例中,流氓行为和资费消耗占比最高,以44.59%和44.44%的比例分列一、二位。排名第三的隐私获取同样占据了5.85%,诱骗欺诈、恶意扣费、远程控制、系统破坏和恶意传播占比分别为1.94%、1.55%、0.80%、0.74%和0.08%。

流氓行为是指病毒私自执行具有流氓属性的恶意行为。如近期因WannaCry病毒而再次引起关注的手机锁屏勒索病毒就带有流氓行为。这类病毒主要通过论坛贴吧等途径进行扩散,制毒者通常会利用外挂、免费、刷钻、红包等字眼对木马病毒进行包装,诱导用户下载安装。病毒完成安装后就会强制锁定手机屏幕,迫使受害者不得不联系制毒者付款,才能使设备恢复正常。

不管是电脑还是手机,带有流氓行为的勒索病毒给用户带来的损失都是难以估量的,如果不慎中毒,不仅会造成财产损失,还将导致重要资料丢失,因此用户应谨慎防范。

资费消耗也是常见的手机病毒类型,此类病毒通常在用户不知情或未授权的情况下,通过发送短信、频繁连接网络等方式,导致用户资费损失。部分恶意推广病毒以帮助第三方广告商提高点击量为目的,通过诱导用户下载安装病毒,获取手机Root权限,执行下载恶意广告软件。这些软件会不断推送各种弹窗广告,影响用户手机体验,更甚者还会泄露用户隐私信息、盗走网银账户等,造成严重的人身及财产安全。

感染了全球超3600万安卓设备的恶意广告点击软件“Judy”就属于资费消耗类手机病毒。该恶意软件暗藏于一款韩国手游中,在完成下载安装后,会将感染设备的信息发送到目标页面,并在后台自动下载恶意代码并访问广告链接,盗刷用户流量,给用户造成资费消耗。

2.2.3.2 二维码、软件捆绑是移动病毒主要渠道来源

手机病毒渠道来源主要有七大类,分别是二维码、软件捆绑、电子市场、网盘传播、手机资源站、ROM内置和手机论坛。病毒渠道入口的分散化与多元化,也进一步增加了用户染毒的几率与风险。

2017年上半年,二维码成为了主流病毒渠道来源,占比高达20.80%。二维码在各大领域的普及让越来越多的用户养成了随手扫码的习惯,制毒者也因此加大针对二维码渠道的病毒包投放比例。部分被嵌入病毒的二维码,只要一扫就会自动下载恶意病毒,轻则造成手机中毒,重则导致个人隐私信息泄露,造成财产损失等。

三、反骚扰诈骗效果显著,但用户损失形势严峻

3.1上半年垃圾短信数超5.86亿条,非法贷款类超50%

3.1.1 2017年上半年垃圾短信持续增长 总数接近6亿

较低的传播成本及其背后存在的巨大利益链,导致垃圾短信一直难以得到有效整治,用户举报数也是有增无减。2017年上半年,腾讯手机管家共收到用户举报垃圾短信数5.86亿条,同比增长40.69%,是2014年上半年的2倍有余。

3.1.2用户举报垃圾短信最多的省份为广东,最多的城市为深圳

在垃圾短信的地域省份分布方面,用户举报垃圾短信最多的前三省份分别为广东、江苏和山东,占比分别为12.91%、6.98%和5.70%。此外河南、浙江、四川、河北、北京、湖南和上海同样位列前十。这些省份或直辖市普遍分布在东部沿海和中部地区,人口密集和经济发达是它们最大的共同点,这也为诈骗分子批量发送垃圾短信并牟取利益创造了有利条件。

城市方面,2017年上半年深圳用户共举报垃圾短信2334万条(占比3.98%),成都、广州和苏州分列二至四位,垃圾短信举报数均为千万级别。

3.1.3 2017年上半年常见的诈骗短信类型

虽然诈骗短信举报量整体呈现下降趋势,但其手段的多样化和隐秘性却让诈骗短信的危害性始终高居不下。据腾讯手机管家监测到的2857万条诈骗短信显示,非法贷款、网购、病毒网址、恶意网址和伪基站是占比最高的几大诈骗短信类型。

其中非法贷款类诈骗短信一家独大,占比超过50%。在现代人“有房万事足”和依靠买房寻求安全感的社会大背景下,贷款买房成为了一大社会需求。骗子也紧跟这一社会痛点,大量发送非法贷款短信,借此牟利。

3.2骚扰电话用户标记量达2.35亿次,同比下降27.12%

3.2.1 2017年上半年用户共标记骚扰电话2.35亿次 同比下降27.12%

在经历了2015年上半年的爆发式增长后,2016年上半年开始,骚扰电话标记数呈现逐年下降趋势,2017年上半年骚扰电话标记总数为2.35亿次,相较2016年上半年同比下降27.12%。

3.2.2 2017年上半年骚扰电话超过50%为响一声

用户标记的骚扰电话类型主要分为5大类。其中,响一声排名第一,占比超过50%。这类骚扰电话虽然不会对用户造成实质性危害,但仍会影响手机使用,干扰用户。诈骗电话占比15.14%,排名第二,此外广告推销、房产中介和保险理财等也占据了一定比例。

3.2.3 骚扰电话中索要验证码占比最高

据腾讯手机管家用户主动上报的骚扰电话恶意线索情况显示,索要验证码、假冒领导、转账、网购和犯法是最常见的关键词。其中索要验证码占比最高,将近24.74%的骚扰电话中,骗子会通过各种手段索要验证码,而验证码作为重要的隐私信息,一旦泄露,很容易会造成财产损失。

3.2.4 诈骗电话标记数同比下降59.68%,北京最多

在用户已标记的2.35亿次骚扰电话中,诈骗类电话占比虽远不及响一声多,但其造成的实质性危害却最大。基于腾讯手机管家用户诈骗电话标记相关数据显示,2017年上半年诈骗电话标记数同比下降59.68%,总数为3559万。

这些诈骗电话针对的目标地域较为明确,以东部沿海经济发达地区与内陆中心省份为主。城市方面,北京是诈骗电话标记数最多的城市,总数达182.6万。深圳和广州分别以141.8万和125.7万的标记数紧随其后。上海、西安、长沙、成都、杭州、重庆和武汉则分列第四至十位。

3.3 恶意网址拦截次数高达478亿,色情欺诈网站居首

3.3.1 2017年上半年检出恶意网址数量超1.83亿

2017年上半年,腾讯安全在PC和移动端共计检测出恶意网址数量超过1.83亿,整体呈现波动上升趋势。其中6月份检测出3575万个恶意网址,为上半年最高纪录,4月份则最低,检测数量为2553万。

3.3.2色情欺诈网站仍是恶意网址主要作案手段

在有效检测恶意网址的同时,2017年上半年腾讯安全在PC和移动端共拦截恶意网址高达478亿次,相当于每天拦截2.65亿次。这一庞大数据也进一步说明了互联网安全的严峻形势。

在腾讯安全拦截的恶意网址中,色情欺诈网站、博彩网站、信息诈骗、恶意文件、虚假广告和钓鱼欺诈网站是传播最广泛的六大类恶意网址。其中色情欺诈网站占据半壁江山,占比为51.98%,色情欺诈网站会内嵌欺诈广告或诱骗用户进行在线支付。恶意网址也会内嵌在诈骗短信中进行传播,以增加迷惑性,因此用户在看到短信中的网址时,应自觉提高警惕性,切记不要随便点击。

3.4 iOS骚扰及诈骗电话降幅约35%,日历广告成新的骚扰

3.4.1 iOS骚扰电话和诈骗电话出现较大幅度下降

2016年9月,腾讯手机管家携手苹果公司推出iOS10全新版本,首次增加拦截骚扰和诈骗电话功能,有效缓解了iOS用户倍受困扰的骚扰电话难题。数据显示,2017年上半年iOS用户共标记骚扰电话1449.2万次,诈骗电话219.6万次。

从整体趋势上看,上半年iOS骚扰电话标记数呈现波动下降趋势,1月标记数最高,为319.5万次,4月则只有202万次,为上半年最低峰。相较而言,诈骗电话整体趋势则更加稳定。从以上各项数据可以看出,2017年上半年骚扰电话和诈骗电话都出现了较大幅度的下降,这离不开相关部门、手机运营商和手机用户的共同努力。

3.4.2日历广告成苹果手机的第三大骚扰

垃圾信息、骚扰电话、日历广告逐渐成为iPhone用户的主要骚扰源头。其中,日历广告骚扰问题日益严重。61.1%的用户遭遇过日历广告,其中博彩广告、房地产广告、打车软件广告居前三。

3.5 腾讯麒麟系统打击伪基站保护1.5亿人次

3.5.1腾讯麒麟系统共拦截2.3亿条诈骗短信,保护1.5亿人次

2017年上半年度,腾讯麒麟伪基站实时定位系统为全国用户拦截2.3亿条伪基站诈骗短信,总计影响人数达1.5亿人次。

3.5.2伪基站地域特征:川陕京鄂湘五省最多

从地域上看,腾讯麒麟为四川、陕西、北京、湖北、湖南用户拦截的诈骗短信数量最多,这5个省级行政区拦截的诈骗短信数量超过全国总量50%以上。

从城市来看,拦截诈骗短信数量Top 10的城市如北京、成都、西安等几乎均为省会城市或经济较发达城市,由于人口密集、城市居民收入较高,被伪基站诈骗团伙列入重点攻击对象。

3.5.3 伪基站作案时间特征:工作时间最频繁

从作案时间来看,伪基站诈骗短信发送之间集中在上午9时至下午19时,其中又以上午10时至12时、下午15时至18时为两个高峰。不难看出,诈骗短信高峰期与每日工作时段相合。

3.5.4内容特征:工商银行、中国移动最“躺枪”

伪基站短信类型中,积分兑换、账户异常和银行信用卡提额类则占比接近90%。这三类常与运营商、银行有关,常以积分到期清零、信用卡提额、账户实名、异常等理由进行诈骗。

腾讯麒麟拦截的伪基站仿冒端口中,仿冒工商银行的诈骗短信最多(高达52%),Top 5仿冒端口除中农工建四大银行,还有运营商中国移动。不难看出,这些“躺枪”的企业是因为用户群体巨大,业务模式中短信息又尤为重要,所以成为伪基站诈骗团伙主要模拟的发送对象。

伪基站短信触达用户的运营商分布中,中国移动占比74%,位居其后是中国电信(16%)、中国联通(10%)。

四、2017年上半年安全人才建设进展及成果

4.1《网络安全法》促进对人才的综合性培养

2017年6月1日起施行的《网络安全法》首次以法律条款的形式对网络空间安全领域的人才问题进行规定,不仅体现出国家对网络人才的重视,更是为国务院以及各地方出台网络安全人才培养的细则提供了最高位阶的法律依据。

《网络安全法》规定:国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。网络安全人才不仅包括技术人才,也包括管理人才。当前网络安全不仅是技术的较量,更是理念、规则的较量,熟悉国际规则、大国关系的网络安全人才在未来的网络空间竞争中能够发挥更大的作用。因此,网络安全人才的培养不仅要培养传统型人才,更要立足国内,放眼全球,培养懂得网络外交的综合性人才。

同时,条款中规定的“网络安全人才的交流”,体现了我国对于人才培养机制的开放创新理念。人才的培养离不开与先进国家的学术研讨和技术交流,各企业机构应当吸引国外的高端技术人才,同时加快我国顶尖人才的培养。

4.2 安全人才培养“腾讯模式”:打造人才闭环

作为互联网安全开放平台的倡导者,腾讯一直将“网络安全”当作企业顶层设计的重要组成部分和战略性工程。在持续关注和支持安全人才选拔和培养的过程中,腾讯目前已经逐渐在校园招聘、社会招聘、内部人才的培训晋升、薪酬福利等方面摸索出一套安全人才选拔制度;同时,通过持续打造顶级安全赛事和推动人才培养计划,腾讯已经逐渐形成一套成熟、完善,并可供社会借鉴的安全人才培养体系。

腾讯在2017年联合各方发起了腾讯信息安全争霸赛(TCTF),通过国际化的赛制发掘人才、通过优质辅导机制和专业的导师队伍培养人才以及通过搭建企业与高校的桥梁输送人才。同时,腾讯通过打造“百人计划”,构建互联网安全人才培养的闭环,通过TCTF大赛的层层比赛考试,选拔出最具潜力的百名安全人才,并通过后续持续培养,打造互联网安全领域复合型、领军型人才。

腾讯希望以TCTF作为专业安全人才培养平台在企业与高校间搭建起桥梁,形成集选拔、培养、输送于一体的人才闭环,为中国安全新生力量提供多维的成长环境,进一步推动我国网络安全事业发展。

4.3腾讯安全联合实验室成立一周年:护航六大互联网关键领域

2016年7月,腾讯安全整合旗下实验室资源,成立国内首个互联网实验室矩阵——腾讯安全联合实验室,旗下涵盖包括科恩实验室、玄武实验室、湛泸实验室、云鼎实验室、反病毒实验室、反诈骗实验室、移动安全实验室在内的七大实验室。实验室专注安全技术研究及安全攻防体系搭建,安全防范和保障范围覆盖了连接、系统、应用、信息、设备及云,触达六大互联网关键领域。

2016年,腾讯安全联合实验室为谷歌、微软、苹果、adobe等国际厂商共计挖掘269个漏洞,位居国内第一。另外,凭借“全球首次远程无物理接触方式入侵特斯拉汽车”研究成果,腾讯安全联合实验室科恩实验室入选“特斯拉安全研究员名人堂”,并获特斯拉CEO马斯克的亲笔致谢。

在举国关注的反诈骗领域,腾讯安全联合实验室中的反诈骗实验室基于多年来在反诈骗领域的深耕研究,已经形成一整套基于AI创新+能力开放的反欺诈评价新标准,形成有效的止损模式。在AI创新和能力开放的双轮驱动下,实验室目前已推出鹰眼反电话诈骗系统、麒麟伪基站实时定位系统、神荼反钓鱼系统、神侦资金流查控系统、神羊情报分析平台五大系统,并通过腾讯云的SaaS服务开放给有需要的政府单位、企业等,帮助用户防范互联网诈骗。

五、安全热点事件盘点

5.1 勒索病毒集中爆发及病毒详解

5.1.1 WannaCry敲诈勒索病毒5月12日在全球爆发

事件背景:

5月12日,WannaCry(想哭)比特币勒索病毒让在全球范围内爆发。据腾讯安全反病毒实验室安全研究人员分析发现,此次勒索事件与以往相比最大的区别在于,勒索病毒结合了蠕虫的方式进行传播。由于在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”。

病毒详解:

勒索病毒近两年的爆发,很大程度上与加密算法的日益完善有关。密码学及算法的不断更新保证了我们日常网络中数据传输和保存的安全性。遗憾的是,勒索病毒的作者也利用了这个特性,使得我们虽然知道了木马的算法,但由于不知道作者使用的密钥,也就没有办法恢复被恶意加密的文件。

加密算法通常分为对称加密算法和非对称加密算法两大类。这两类算法在勒索病毒中都被使用过。 

对称加密算法的加密和解密使用的是完全相同的密钥,特点是运算速度较快,但是单独使用此类算法时,密钥必须使用某种方法与服务器进行交换,在这个过程中存在被记录和泄漏的风险。勒索病毒常用的对称加密算法包括AES算法和RC4算法。 

非对称加密算法也被称为公钥加密算法,它可以使用公开的密钥对信息进行加密,而只有私钥的所有者才可以解密,因此只要分发公钥并保存好私钥,就可以保证加密后的数据不被破解。与对称加密相比,非对称加密算法的运算速度通常较慢。勒索病毒常用的非对称加密算法包括RSA算法和ECC算法。 

通常,勒索病毒会将这两大类加密算法结合起来使用,既可以迅速完成对整个电脑大量文件的加密,又能保证作者手中的私钥不被泄漏。

5.1.2 新一轮勒索病毒“Petya”来袭,更具破坏性

事件背景: 

6月27日新一轮勒索病毒Petya袭击了欧洲多个国家。此病毒相比WannaCry更具破坏性。病毒对电脑的硬盘MFT进行了加密,并修改了MBR,让操作系统无法进入。相比此前,Petya更像是有目的性的攻击,而并非简单的敲诈勒索。腾讯哈勃分析系统已经能够识别此病毒并判定为高度风险,利用腾讯电脑管家可查杀该病毒。

病毒详解:

Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播,达到快速传播的目的。有国外安全研究人员认为,Petya勒索病毒变种会通过邮箱附件传播,利用携带漏洞的DOC文档进行攻击。中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。

5.1.3勒索病毒腾讯安全应对方案

针对勒索病毒集中爆发,腾讯安全紧急发布应对方案,针对事前防范、事中病毒清理和事后文件恢复三种情形,向广大用户提出处理建议:

事前预防

1.利用电脑管家的勒索病毒免疫工具,自动化安装系统补丁和端口屏蔽,或手动下载、安装。

2.备份数据,安装安全软件,开启防护。

a)对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份;

b)利用部分电脑带有的系统还原功能,在未遭受攻击之前设置系统还原点,遭受攻击之后可以还原系统,防御文件加密;

c)安装腾讯电脑管家,开启实时防护,避免遭受攻击;

d)采用电脑管家的文档守护者进行文件的备份、防护。

3.建立灭活域名实现免疫。

根据对已有样本分析,勒索软件存在触发机制,如果可以成功访问指定链接,电脑便会在中了勒索病毒后直接退出,便不会进行文件加密。

a)普通用户在可以联网状态下,保证对该网址的可访问,则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒);

b)企业用户可以通过在内网搭建Web Server,然后通过内网DNS的方式将域名解析到Web Server IP的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况。

事中病毒清理

1.拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器。

2.利用电脑管家的杀毒功能直接查杀勒索软件,直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装)。

3.备份相关数据后直接进行系统重装。

事后文件恢复

1.勒索软件带有恢复部分加密文件的功能,可以直接通过勒索软件恢复部分文件;或直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,恢复列表中文件。

2.可以使用第三方数据恢复工具尝试数据恢复,云上用户可直接联系腾讯安全云鼎实验室协助处理。

5.2 DDOS攻击不断,暗云变种频繁来袭

事件背景:

6月9日,一场2017年以来最大规模的DDoS网络攻击活动席卷全国,腾讯安全云鼎实验室发布溯源分析报告,通过对攻击源机器进行分析,工程师在机器中发现暗云Ⅲ的变种。通过对流量、内存DUMP数据等内容进行分析,腾讯云鼎实验室确定本次超大规模DDoS攻击由“暗云”黑客团伙发起。升级过后的“暗云III”将主要代码存储在云端,可实时动态更新。

病毒详解:

“暗云”系列木马自2015年初被腾讯反病毒实验室首次捕获并查杀,至今已有两年多。在这两年多时间里,该木马不断更新迭代,持续对抗升级。

从今年4月开始,该木马卷土重来,再次爆发,本次爆发的暗云木马相比之前的版本有比较明显的晋级特征,因此我们将其命名为暗云Ⅲ。暗云Ⅲ与之前版本相比有以下特点和区别:

第一、更加隐蔽,暗云Ⅲ依旧是无文件无注册表,与暗云Ⅱ相比,取消了多个内核钩子,取消了对象劫持,变得更加隐蔽,即使专业人员,也难以发现其踪迹。

第二、兼容性,由于该木马主要通过挂钩磁盘驱动器的StartIO来实现隐藏和保护病毒MBR,此类钩子位于内核很底层,不同类型、品牌的硬盘所需要的 hook点不一样,此版本木马增加了更多判断代码,能够感染市面上的绝大多数系统和硬盘。

第三、针对性对抗安全软件,对安全厂商的“急救箱”类工具做专门对抗,通过设备名占坑的方式试图阻止某些工具的加载运行。

5.3上半年重点诈骗类案件盘点

5.3.1 8.19徐玉玉电信诈骗案宣判

2016年8月,刚刚被南京邮电大学的徐玉玉,接到了一通诈骗电话,对方以奖学金的名义,骗走徐玉玉上大学的费用9900元。报案后的徐玉玉情绪异常,导致心源性猝死,不幸离世,引发社会对电信诈骗的空前关注。此案于2017年7月19日公开宣判,主犯陈文辉被判处无期徒刑,没收个人全部财产。其他六名被告人被判15年到3年不等的有期徒刑并处罚金。这一判决,向社会传递了法院依法从严惩处电信网络诈骗犯罪的鲜明态度。

防范建议:徐玉玉的惨剧足够引起公众的警惕。互联网时代,每个人的信息流转都在线上通过不同的渠道流转,给了不法分子可乘之机。面对如此环境,我们更应该对陌生电话和短信保持警觉。哪怕对方能说出个人精确的信息,都不能亲信,任何事件都需要经由可靠渠道多方验证,以保护自身安全。

5.3.2河南特大电信诈骗案:谎称卖高考答案骗近百考生300万元

2017年6月,河南鹤壁市警方破获了这起特大电信诈骗案,抓获犯罪嫌疑人两人,缴获作案用银行卡70余张。这些犯罪嫌疑人假借售卖高考试题答案的方式,通过网络对高考考生实施诈骗。据警方初步调查,诈骗受害人累计超过3500余人,涉案金额超过300万元。

防范建议:每年高考录取期间,都是高考诈骗案件高发的时间段。考生和家长需要谨防一切所谓“内部指标”、虚假查分网址、虚假查询录取结果等以高考招生为名的各种诈骗手段,切勿抱有侥幸心理,上当受骗。

5.3.3武汉女教师遭遇连环电信诈骗 7个月被骗253万

武汉某中学教师陈女士,名校硕士学历,2017年5月向警方报警遭遇诈骗。据了解,2016年11月,陈老师接到一陌生来电,称其社保卡被盗刷,并直接将电话转至“湖南省公安厅”。接电话的“民警“称陈女士牵涉到一桩诈骗洗钱案,为“洗刷罪名”,陈女士半年时间累计向对方转账253万,为此欠下债务达300多万。目前案件仍在侦办中。

防范建议:民众需要警惕陌生电话和短信。当接到疑似诈骗电话或短信时,要注意核实对方身份,尤其是对方要求向指定账户汇款时,不要轻易汇款,应第一时间告知家属商量解决或咨询公安机关;。公安部门不可能提供安全账户,更不会指导您转账、设密码。

六、安全防范专家建议

在电脑使用中,设置安全系数高的密码。使用不会被暴力攻击轻易猜到的密码,是提高安全性的有效办法。暴力攻击是攻击者使用自动化系统来猜测密码。避免使用从字典中能找到的单词,不要使用纯数字密码;使用包含特殊字符和空格,同时使用大小写字母,这种密码破解起来比使用母亲的名字或生日作为密码要困难的多。另外,密码长度每增加一位,密码字符构成的组合就会成倍数增加,因此长密码会更加安全。

定期升级软件,更新安全补丁。很多情况下,在安装部署生产性应用软件之前,对系统进行补丁测试工作是至关重要的,最终安全补丁必须安装到个人电脑的系统中。如果很长时间没有进行安全升级,可能会导致计算机非常容易成为不道德黑客的攻击目标。因此,不要把软件安装在长期没有进行安全补丁更新的计算机上。 

通过备份重要文档,保护你的数据安全。备份你的数据,这是你可以保护自己在面对灾难的时候把损失降到最低的重要方法之一。如果数据量巨大,日常可以将数据保存至硬盘上。但更便捷的方式,可以利用腾讯电脑管家一类的安全防护软件,随时将数据自动化备份至本地,也可以存储至云端,最大化保证了数据安全。

不要轻易信任外部网络,开放性网络风险巨大。在一个开放的无线网络中,例如在具有无线网络的咖啡店中,网络风险会成倍增长,这个理念是非常重要的。这并非意味着在一些非信任的外部网络中不能使用无线网络,而是要时刻保持对用网安全的谨慎和警惕。关键是,用户必须通过自己的系统来确保安全,不要相信外部网络和自己的私有网络一样安全。

提高对陌生电话、短信的警惕性,勿轻信其中内容。诈骗短信形式多样化,各种新型短信木马泛滥使得通过诱惑性的短信自带病毒链接的支付类、隐私窃取类病毒迅速增长。对于“高考查分”、“开学通知”、“考试成绩单”、“户籍管理”、“手机实名制”、“录像视频”和“交通违章”等短信中内嵌的网址链接,应时刻提高警惕,切勿随意点击。对于陌生电话、短信应该提高警惕性和戒心,不要轻信对方所说的任何内容,必要时要对其身份信息进行核实。

保护个人隐私信息,不轻易向他人透露个人信息。个人账号、密码、身份证信息等属于关键个人隐私信息,因此绝对不能随意在任何陌生短信、电话进行透露。收到陌生短信、电话询问个人隐私时,请务必提高警惕。在社交平台发布消息时,谨防通过照片、截图等形式泄露重要隐私信息。不随意丢弃含有个人信息的机票、车票或快递单据,以防个人信息被窃取。

手机用户应养成使用安全软件来保护手机安全的良好习惯。手机用户可下载安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀,并及时更新病毒库。针对最新流行且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复。同时开启腾讯手机管家骚扰拦截功能,可有效拦截诈骗电话、短信,提升手机安全。 


电脑管家V12.7

文档保护保驾护航

详情>>

版本更新:2017.7.20