2.3 网络威胁的典型形式

2.3.1 病毒和木马

病毒和木马一般可以统称为恶意程序或恶意软件。前者往往具有一定的显性破坏性，而后者则更倾向于默默窃取；前者更像打砸抢烧的强盗，而后者则更像暗中出手的小偷。但在实践中，我们往往很难将二者严格区分。有些病毒带有木马特征，有些木马也会带有病毒特征。

早期的安全专家往往会把“自我复制性”或“自我传播性”作为病毒和木马的一个必备属性。但进入21世纪的第二个10年，病毒或木马的大范围、无差别攻击越来越少见，而精准攻击或点对点攻击成为主流。因此，我们也就不能再把自我传播性作为病毒和木马的基本属性。

（1）病毒

病毒对计算机系统造成的破坏包括破坏或删除文件、将硬盘格式化等。病毒的代表有冲击波、震荡波、CIH等。

不过，这种单纯以破坏为目的的病毒大多是早期攻击者的作品。攻击者制作并传播这类病毒的主要目的是炫技和引发社会关注，一般并不包含任何经济企图。而如今，目的如此“纯粹”的攻击者已经越来越少。

（2）木马

木马是指可以非法控制计算机，或在他人计算机中从事秘密恶意活动的恶意程序。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事）。

木马是目前比较流行的恶意程序。与传统的病毒不同，它们一般不会自我繁殖，也并不“刻意”地去感染其他文件或破坏系统。它通过自身伪装来吸引用户下载执行，一旦木马感染成功，木马的控制者就可以在被攻击者的计算机上进行如秘密操控、文件窃取、强弹广告等恶意操作，甚至可以完全远程操控被感染的计算机。而那些被木马操控的计算机，一般称为“肉鸡”或“僵尸”。

下面简单介绍几种常见的木马。

盗号木马：最早流行的一类民用木马，主要用于盗取网银账号、网游账号和社交媒体账号等网络账号和密码。盗号木马的常见盗号方式包括监控用户键盘输入、监控软件交互接口、透明窗隐藏覆盖、仿冒钓鱼盗号等。

远控木马：远程控制类木马。一旦被攻击者的计算机中招，攻击者就可以通过远程登录的方式，部分或全部控制用户计算机。此时，受控计算机也就变成了我们常说的“肉鸡”或“僵尸”。

“流氓”推广木马：木马会强制在用户计算机或手机上下载和安装用户并不需要的软件、广告等。

窃私木马：多见于手机，它们是专门用来窃取用户隐私信息的，包括通讯录、短信、通话记录、银行信息、社交软件聊天记录、录音和照片等，严重危害用户手机的安全。

挖矿木马：利用被入侵计算机的算力挖掘加密数字货币，从而牟利的木马，在手机、物联网设备和网络服务器中普遍存在。挖矿木马既可以是一段自动化扫描、攻击的脚本，也可以集成在单个可执行文件中。为能够长期在服务器中驻留，挖矿木马会采用多种安全对抗技术，如修改计划任务、防火墙配置、系统动态链接库等。使用这些技术，严重时可能造成服务器业务中断。

2.3.2 勒索病毒

勒索病毒（也称敲诈者病毒）是近年来增长迅速且危害巨大的网络威胁之一，是一类比较特殊的恶意程序。与上述的各类传统病毒和木马不同，勒索病毒既不以单纯破坏为目的，也不以控制或窃私为目的，而通过加密用户文件、锁屏等方式劫持用户文件等资产或资源，并以此敲诈用户钱财。被攻击者一般只有支付赎金，加密的文件才能解密。

勒索病毒攻击成功后，攻击者为了提醒被攻击者支付赎金，一般会篡改用户的计算机桌面。图2-1为计算机感染勒索病毒后的一些现象。

勒索病毒经常攻击Office办公文档、图片及视频等类型的文件，因为这些文件往往是被攻击者计算机中的重要资料，被攻击者相对来说更愿意为这些文件支付赎金。文件被加密后，其后缀名也会被篡改，被篡改的后缀名也常常被用来为勒索病毒命名。图2-2为locky、wallet、cerber、btc等几个家族的勒索病毒篡改文件后缀名的示例。

勒索病毒主要有以下几种常见的传播方式：邮件附件传播、服务器入侵传播、利用漏洞自动传播、通过软件供应链传播和利用挂马网页传播。

在所有的勒索病毒中，最有名的当属WannaCry。WannaCry于2017年5月在全球范围内大规模爆发，它利用了方程式组织泄露的漏洞利用工具“永恒之蓝”实现了全球范围内的快速传播，波及全球100多个国家，在短时间内造成了巨大损失。

如今，勒索病毒的攻击范围已经涵盖Windows、Mac OS、Android、iOS和虚拟桌面等系统，除加密数据文件外，在手机上还有很多其他的勒索方式，如强制锁屏、修改屏幕解锁密码、修改PIN密码、勒索图片强制置顶等。这些勒索方式在技术上都可以破解，但对于绝大多数普通网民而言，仍有一定的难度。图2-3是手机被勒索病毒锁屏的界面。

2.3.3 挂马

挂马是指在网页中写入一段恶意程序，当用户使用有漏洞的浏览器浏览挂马网页时，计算机就会感染病毒，而用户对感染病毒的过程往往没有感觉。挂马攻击的过程可大致分为三个环节：恶意程序开发维护、获取修改网站页面权限并植入恶意程序、持续控制“肉鸡”并挖掘价值。

挂马技术是从2005年开始逐渐流行的一种网络攻击技术，在2008—2010年，活跃程度达到顶峰，这个时期网上每天可能出现成千上万个挂马网页，很多网民深受其害。由于挂马攻击是利用浏览器或系统漏洞进行的，因此单纯使用杀毒软件往往难以有效防御。

2.3.4 钓鱼网站

钓鱼网站常用于网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址及页面内容，或者利用真实网站服务器程序上的漏洞，在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等信息。常见的钓鱼网站包括虚假购物网站、仿冒银行网站、虚假中奖网站、虚假QQ空间等。

2.3.5 域名劫持

域名系统（Domain Name System，DNS）是互联网中十分关键的基础设施，它是一个分布式数据库，能与IP地址相互映射，从而使用户不用死记硬背那些被机器直接读取的IP地址就能方便地访问互联网。域名一旦被劫持，将会引导用户进入攻击者伪造的网站或导致网站无法访问，造成无法估量的后果。

域名劫持一般有多种形式。一种是利用各种恶意程序修改浏览器、锁定主页或不停弹出新窗口，强制用户访问某些网站，或者在用户访问A网站时将其替换成B网站。这种威胁目前由于安全软件和安全浏览器的存在，基本已经被消除。

更高级的一种是通过冒充原域名拥有者，修改网络解决方案公司的注册域名记录，将域名转让给另一团体，让域名指向另一个服务器，使正常的域名访问被指向攻击者引导的内容。

2018年4月，流行的某以太网钱包遭遇域名劫持攻击，攻击者将用户定向到恶意版本的网站并盗用他们的私钥。据媒体报道，攻击持续了几个小时，攻击者从中获得了大约价值15万美元的加密货币。

2.3.6 暴力破解

暴力破解指的是攻击者使用自己的用户名和密码字典，在相关网站上一个一个去枚举，尝试是否能够登录。理论上来说，只要字典足够庞大，枚举总是能够成功的。攻击者每次发送的数据都必须封装成完整的HTTP数据包才能被服务器接收，因为不可能一个一个手动构造数据包，所以在实施暴力破解之前，需要先获取构造HTTP数据包所需要的参数，然后交给暴力破解软件构造工具数据包实施攻击。

暴力破解不是很复杂的攻击，大量的暴力破解请求会导致服务器日志中出现大量异常记录，只要服务器能够进行有效的监控和分析，就可以避免这类攻击。

2.3.7 撞库攻击

撞库是指攻击者通过收集互联网上已泄露的用户名和密码信息，生成对应的密码字典表，在尝试批量登录其他网站后，碰撞出一系列可以登录的账户。用户在登录不同网站时使用相同的用户名和密码，相当于给黑客配了一把“万能钥匙”，一旦丢失，后果无法想象。

撞库攻击需要一定的攻击成本，其中最重要的是撞库的源数据。这些源数据主要通过三种方式获取：一是黑市购买；二是同行交换；三是自行入侵网站并进行“拖库”。

2.3.8 网络诈骗

近年来，网络诈骗的运作模式日趋“专业化”、公司化，犯罪手段也越来越智能化，逐渐形成了恶意注册、引流、诈骗等上下游环节勾连配合的完整链条。如不法分子从处于产业链中游的盗窃团队那里购买最“鲜活”的静态和动态个人隐私信息，把骗术生活场景化和个性化，实施“精准诈骗”；通过模仿流行的营销方法诱导用户转发、分享，实现“随机诈骗”。

下面介绍几种常见的网络诈骗方式及相应的防骗提示。

（1）虚假兼职

骗子利用QQ、邮箱和搜索引擎等渠道发布虚假兼职广告，诱骗用户上当。虚假兼职诈骗的形式有很多，最常见的是保证金诈骗和刷信誉诈骗。

防骗提示：所谓高薪、轻松的招聘信息多为诈骗信息，找工作应在正规机构或网站上找，并且要查看用人机构的真实性。

（2）虚假购物

骗子通过搜索引擎、QQ等方式诱骗用户进入虚假购物网站进行购物消费。用户在这些虚假购物网站上消费后，不会收到任何商品。绝大多数虚假购物网站都是模仿知名购物网站进行精心设计和改造的。

防骗提示：不要购买价格明显低于市场正常价格的商品，网购要在正规电商平台完成。

（3）退款诈骗

消费者在网店购物后不久，便会接到自称是网店店主或交易平台客服打来的电话。电话中，对方往往能够准确地说出消费者刚刚购买的商品名称和价格，并以交易失败，要给消费者办理退款手续为由，诱骗消费者在钓鱼网站上输入自己的银行账号、密码、购物网站登录的用户名、密码等信息，进而盗刷用户的银行卡。消费者消费信息的泄露，是骗子能够完成此类诈骗的重要原因。

防骗提示：退款应通过电商渠道正规流程办理，索要银行账号和密码的都是骗子。

（4）网游交易

骗子通过游戏大厅、QQ群喊话等方式，兜售明显低于市价的游戏装备或游戏道具，诱骗用户到虚假的游戏登录界面或游戏交易网站进行登录或交易，进而骗取用户的游戏账号、游戏装备和虚拟财富。此类诈骗往往还会结合交易卡单、解冻资金等其他骗术实施。

防骗提示：游戏交易要查看交易网站的合法性，明显低于市场正常价格的交易大部分为诈骗。

（5）赌博

骗子诱骗用户在虚假的博彩网站上进行赌博活动。而用户无论在这些博彩网站上是赔是赚，都无法将赌资从自己的账户中提走。还有一些虚假的博彩网站会操纵赌博过程，诱使用户的赌资快速输光。

防骗提示：赌博不仅危害社会秩序，影响生产、工作和生活，而且往往是诱发其他犯罪的温床，对社会危害很大，应予严厉打击。

（6）视频交友

骗子通过虚假的视频交友网站诱骗用户不断交费，以获取更高级别的服务特权。但实际上，无论用户向自己的账户中充多少钱，都看不到网站承诺的任何服务。更有甚者，通过让用户安装木马软件，获取其通讯录、摄像头等隐私权限，再诱导用户做出不雅动作并暗中录制视频，以不交钱就将视频发给通讯录亲友为由进行勒索诈骗。

防骗提示：提供色情视频服务的网站不可信任。同时在网络交友时，不要轻易给对方转账。

（7）金融理财

骗子开设虚假的金融网站、投资理财网站，通过超高收益诱骗投资者进行投资。而投资者一旦投资，往往无法取回本金。常见的金融理财诈骗形式包括天天分红、网上传销和P2P欺诈等。

防骗提示：金融理财商品要在大型机构购买，不要相信所谓的无风险、高回报、内幕消息等宣传。

（8）虚假团购

骗子开设虚假团购网站诱骗用户进行消费。虚假团购网站大多通过搜索引擎的推广服务进行传播。虚假团购网站销售的商品以游乐园门票、电影票、餐饮券等居多，误入虚假团购网站会导致财产损失。

防骗提示：对于不知名的团购网站，需要查看网站备案等是否合法，谨慎团购商品。

（9）虚假票务

骗子开设虚假票务（如飞机票、火车票、轮船票等）网站实施诈骗。

防骗提示：办理退、改签业务要找航空、铁路公司或正规商家办理，不可轻信陌生短信、电话等办理方式。

（10）虚假批发

骗子开设虚假批发网站，诱骗消费者进行购买。

防骗提示：对于低价、批发的产品，需要查看卖家的营业资质等是否合法，谨慎批发商品。

（11）“杀猪盘”感情诈骗

骗子会通过有意或无意的方式与用户建立联系，通过预先准备好的话术、图片、视频等素材创建积极向上、单纯善良、情感受挫等人设，慢慢与用户培养感情，建立恋爱、挚友、合作伙伴等关系，诱导用户投资、赌博、购买商品或直接转账。

防骗提示：在网络上不要轻易相信他人。

（12）网购木马

网购木马是专门用于劫持用户交易资金的木马，此类木马大多通过QQ传播。

防骗提示：不要轻易安装未知来源的软件，软件要在官方渠道下载。

（13）虚假中奖

骗子通过虚假中奖短信等方式，以巨额奖金为诱饵，诱骗用户进入虚假中奖网站，再以“先交费/税，后提货”为由，诱骗用户向骗子账户转账。

防骗提示：如果参与抽奖活动，要通过官方渠道核实中奖信息，不轻信短信、邮件等告知的中奖信息。

（14）话费充值

骗子建立虚假话费充值网站，通过搜索引擎等渠道诱骗消费者充值。

防骗提示：话费充值要在官方网站或大型第三方网站进行，不可轻信低价、特价信息。

（15）虚假药品

骗子开设虚假药品网站，销售假药或只收钱、不卖药。

防骗提示：购买药品要认准生产商，要在正规渠道购买，杜绝来路不明的药品。

（16）账号被盗

骗子盗取用户的银行账号、社交软件等的用户名和密码，从而盗取用户钱财。

防骗提示：网银、网上支付、常用邮箱、社交软件应单独设置密码，切忌一套密码到处用，重要账号还应定期更换密码。

（17）冒充熟人

骗子冒充用户的父母、兄弟、姐妹、朋友、同事、领导等熟人，通过短信、QQ、电话等方式来骗取钱财。

防骗提示：接到陌生电话，不要透露过多个人信息，如果遇到转账等要求，需要核实对方身份，不可轻易转账。

（18）冒充公检法办公人员

骗子冒充公安机关、法院、检察院等国家机构的办公人员，谎称用户涉嫌某类案件需要配合调查，并以恐吓、威胁等方式要求用户通过ATM、网银等方式将资金转入所谓的保障账户、公正账户等。

防骗提示：公检法办公人员不会要求公民将资金转入某些账户配合调查。

（19）代办信用卡

骗子谎称是银行机构或银行业务代办机构的工作人员，可以帮助用户办理大额信用卡，骗取用户佣金。

防骗提示：信用卡要在银行或通过其指定的正规渠道办理，通过个人办理高额信用卡不可信。

（20）信用卡提升额度

骗子谎称是银行机构或银行业务代办机构的工作人员，可以帮助用户提升信用卡额度。

防骗提示：不要相信此类信息，提升信用卡额度需通过正规渠道办理。

（21）虚假客服

骗子冒充银行、运营商、淘宝、腾讯等一些正规机构的客服人员，给用户打电话，谎称帮助办理某项业务，从而盗取用户的银行账号、密码等，造成用户的财产损失。

防骗提示：可通过运营商官方网站、客服电话等渠道查询真伪，不轻信主动打来的电话和发来的短信。

（22）代付欺诈

代付是第三方支付平台提供的一项付款服务，消费者在购买商品时，可以找他人帮忙代付。骗子伪装成卖家，在与消费者谈好交易后，将一个伪装好的代付链接发给消费者，而消费者付款的商品并不是先前谈好的商品，导致被骗。

防骗提示：网络购物需按照电商平台正规流程付款，其他付款方式风险高，如需代付，需看清付款链接的商品后再支付。

（23）微信红包

骗子主要通过微信，以返还红包、借钱、话费充值、进群必须发红包等为借口骗取用户财产。

防骗提示：不要随意给陌生人发红包，需交钱才能进入的群多从事诈骗、赌博、色情等违法活动。

（24）补贴诈骗

骗子冒充民政部门工作人员，给用户打电话、发短信，谎称可以领取生育补贴，要其提供银行账号，然后以资金到账查询为由，让其在ATM上进入英文界面操作，将钱转走。

防骗提示：不轻信此类电话、短信，补助款项接收需按正规流程办理，需在ATM办理的均为诈骗。

2.3.9 邮件攻击

邮件攻击是网络中常见的一种攻击方式，很多人收到过垃圾邮件，而垃圾邮件中可能就潜藏着病毒。邮件攻击也是攻击者针对企业发起攻击的主要形式，攻击者会窃取登录密码，冒充管理员欺骗网内其他用户，利用企业升级防火墙的机会趁机植入非法软件；更常见的是冒充企业高管或财务，发送要求转账的邮件。

2.3.10 网页篡改

网页篡改，即攻击者故意篡改网络上传送的报文，通常以入侵系统，然后篡改数据、劫持网络连接并篡改或插入数据等形式进行。

对于网页篡改攻击，想要做到预先检查和实时防范有一定的难度。网页篡改攻击工具正在向简单且智能化发展，同时由于网络环境复杂，因此责任难以追查。虽然目前已经有防火墙、入侵检测等安全防范手段，但各类Web应用系统的复杂性和多样性导致其系统漏洞层出不穷、防不胜防，使攻击者入侵和篡改网页的事件时有发生。

2.3.11 DDoS攻击

拒绝服务（Denial of Service，DoS）攻击能使计算机或网络无法提供正常的服务。DoS攻击是指故意攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击者的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应，甚至崩溃，而此攻击无须侵入目标服务器或目标网络设备。这些服务包括网络带宽、文件系统空间容量、开放的进程或者允许的连接。这种攻击会导致资源匮乏，无论计算机的处理速度有多快、内存容量有多大、网络带宽有多宽，都无法避免这种攻击带来的后果。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。

分布式拒绝服务（Distributed Denial of Service，DDoS）攻击的原理是攻击者通过在网络上控制的很多机器一起对目标系统发动DoS攻击。DDoS攻击是分布式的，改变了传统的点对点攻击模式，使攻击没有规律可循。在进行攻击时，DDoS通常使用的也是常见的协议和服务，这样只从协议和服务的类型上是很难对攻击进行区分的。在进行攻击时，数据包都会经过伪装，源IP地址也是伪造的，因此很难对DDoS攻击进行地址确定，查找起来极其困难。

2.3.12 APT攻击

高级持续性威胁（Advanced Persistent Threat，APT）是指有组织、有计划的，针对特定目标的一系列攻击行为，针对特定目标实施的长久、持续且隐匿的网络攻击活动。APT攻击的攻击者通常具有强大的资金支持，具备高超的技术能力，而非普通网络黑客或网络犯罪团伙。

近年来，APT攻击的主要攻击目的是长久性的情报刺探、收集和监控。