行业动态-sigdrm首页.pdfVIP

SIGDRM 编辑出版 第29 期 2014-6-16 行业动态 网络支付成黑客攻击“重灾区”系统面临考验1  ◥◣◥◣◢◤◢◤◥◣◥◣◢◤◢◤◥◣◥◣◢◤◢◤◥◣◥◣◢◤◢◤◥◣◥◣◢◤◢◤◥◣◥◣◢◤ 网络支付成黑客攻击“重灾区”系统面临考验 ◢◤◥◣◢◤◥◣◢◤◥◣◢◤◥◣◢◤◥◣◢◤◥◣◢◤◥◣◢◤◥◣◢◤◥◣◢◤◥◣◢◤◥◣◢◤ ——来源《黑基网》 在线交易系统安全成为黑客攻击“重灾区”。《经济参考报》记者日前从2014 中国计算机网络安全年会上获悉，2013 年银行、证券等行业联网信息系统的安 全漏洞、网站后门、网页篡改等各类安全事件超过500 起，存在交易信息被篡改、 投资信息被泄露等诸多高危风险。 与此同时，地方政府网站也正面临安全考验。据国家互联网应急中心监测发 现，2013 年，我国境内被篡改网站数量为 24034 个，其中政府网站被篡改数量 为 2430 个；我国境内被植入后门的网站数量为 76160 个，其中政府网站 2425 个。 《经济参考报》记者了解到，当前我国网络空间安全不容乐观，面临大量来 自境外地址的网站后门、网络钓鱼、木马和僵尸网络等攻击。特别是国家级有组 织网络攻击行为显著增多，给国家关键基础设施和重要信息系统带来严重威胁和 挑战。 1 在线交易系统面临考验 随着互联网和金融行业的深度融合，以余额宝、现金宝、理财通等为代表的 互联网金融产品市场持续升温。这在给人们生活带来便利的同时也引入新的安全 风险。 国家互联网应急中心监测发现，2013 年银行、证券等行业联网信息系统的 安全漏洞、网站后门、网页篡改等各类安全事件超过500 起，存在交易信息被篡 改、投资信息被泄露等诸多高危风险。 2013 年 12 月，支付宝钱包客户端IOS 版被披露存在手势密码漏洞，连续输 错5 次手势密码后可导致密码失效，使得攻击者可以随意进入手机支付宝账户， 免密码进行小额支付。此外，淘宝网也被披露存在认证漏洞，可登录任意淘宝账 户，给用户资金安全造成威胁。 “此类互联网公司通过所运营的在线交易信息系统，掌握大量用户资金、真实 身份、经济状况、消费习惯等信息，系统一旦出现安全漏洞，风险会随之传导到 关联银行、证券、电商等其他行业，产生连锁反应。”国家互联网应急中心副主 2 任云晓春说。 与此同时，跨平台钓鱼攻击也呈增长趋势。据悉，2013 年，黑客利用安卓 系统的“签名验证绕过”高危漏洞，制作散播大量仿冒国内主流银行等金融机构 的移动应用，诱导用户安装，盗取用户银行账户信息。“他们在盗取银行账号和 密码后，在通过仿冒的相应手机银行安全插件的恶意程序，截取用户收到的短信 验证码，使黑客进一步完成网银支付、转账等交易操作，从而牟利。”国家互联 网应急中心何能强博士说。数据显示，去年钓鱼网站数量继续迅速增长，我国境 内网站的钓鱼页面30199 个，涉及IP 地址4240 个，分别较2012 年增长35.4% 和64.6%。 地方政府网站频遭攻击 在被篡改和植入后门的政府网站中，九成以上是省市级以下的地方政府网 站。其中一些部门面对预警通报只进行了简单处理，还有一些部门甚至置之不理。 据国家互联网应急中心监测，2013 年，我国境内被篡改网站数量为 24034 个，较2012 年增长46.7% ，其中政府网站被篡改数量为2430 个，较2012 年增 长34.9% ；我国境内被植入后门的网站数量为76160 个，较2012 年增长45.6% ， 其中政府网站2425 个。 “被篡改和植入后门的政府网站中，超过90%是省市级以下的地方政府网站， 超过75%的篡改方式是网站首页植入广告黑链。”国家互联网应急中心研发部负 责人严寒冰对《经济参考报》记者说，由于地方政府存在技术和管理水平有限， 网络安全防护能力薄弱，人员和资金投入不足等问题，其网站服务器成为黑客控 制的资源节点。 “去年，我们通报了1600 起涉及政府部门的网站漏洞，一