2007年社交網站將成主要攻擊目標
文/姚詠馨 (記者) 2007-01-04
http://www.ithome.com.tw/it...php?c=41355

包括趨勢科技、賽門鐵克及McAfee等皆在年度安全報告中指出，近年大興盛行、諸如MySpace等的Web2.0社交網站皆已傳出實際攻擊案例，也預計在2007年這類網站會成為駭客主要攻擊目標。



根據趨勢科技（Trend Micro）TrendLabs年度資安威脅報告指出，提供影音分享服務的社交網站，在2007年將成為駭客主要攻擊目標；其他資安業者包括賽門鐵克、McAfee日前所發布的相關報告，亦皆強調此項新興的資安威脅趨勢。

趨勢科技最新發布的年度資安威脅報告是針對2006年旗下TrendLabs整體資安調查數據進行彙整分析，並提供2007年趨勢預測。該報告顯示，去年整體的資安威脅數量大幅提升，與2005年相比，平均提高約163%。其中，網路上每個月有超過200萬種不同的垃圾郵件橫行；另外一項數據則指出， Bot程式成長快速，記錄從2005年12月以來平均增加了15%，每個月出現超過14萬隻Bot程式。

此外，根據近50萬份報告資料統計，過去一年內網頁瀏覽所引發的網路安全威脅增加了近15%。

其中值得注意的是，在國內外盛行的社交網站，預估未來將成為駭客的攻擊新歡。趨勢科技技術總監王應達根據內部調查解釋，去年的確有許多實際攻擊案例傳出，分析其原因則在於許多地區頻寬的大幅提升，使得不管是影音檔案、新奇應用程式或其他資料類型檔案等的下載行趨於普遍，並造就像是MySpace、YouTube，甚或國內的無名小站這種Web2.0社交網站（social networking）大受歡迎。

也因此，駭客便看上這種現象，透過這些公開平台放置惡意軟體，希望藉此滲透到龐大的人脈網路中。王應達進一步指出，隨著這些社交網站使用的簡單化，駭客攻擊的趨勢逐漸從過去在傳統Web上放置惡意程式，轉為在有人氣的討論區，或是自己的部落格中放置影音、圖像檔等進行散佈；而且，由於每個使用者幾乎都能建立部落格，導致安全防護變得更分散及去中心化，因此駭客要成功攻擊的目的便更輕易達成。

另一方面，賽門鐵克及McAfee也在日前公布的報告中強調這樣的現象。

賽門鐵克去年底發表的「第十期網路安全威脅研究報告」便預測，Web2.0社交網站相關的威脅，包括利用AJAX技術開發的網站攻擊數量，今年起將會持續攀升。

賽門鐵克亞太區資訊安全技術顧問林育民分析表示，在使用AJAX技術開發下的動態網頁內容，常替許多駭客製造機會。因為使用這種技術開發的網站，攻擊窗口更多，駭客可透過各種管道溜進用戶端電腦。其中最常利用的途徑便透過是GIF圖檔或FLASH大量散佈惡意程式，駭客並可將載有惡意程式的圖片或影像檔傳上知名的社交網站上，網友點選時便不小心遭到感染。

McAfee於去年底發表的Avert Labs 2007年10大安全趨勢預測報告則說明，和電子郵件以附檔形式來傳播的方式不一樣，大多數使用者會毫不遲疑地開啟社交網站上的媒體檔案；此外，影音檔是一種相對上較容易使用的格式，諸如填補（padding）、彈出式廣告（pup-up ads），及網址轉介（URL redirects）等功能也都成為惡意程式作者理想的破壞工具。在這些條件的結合下，惡意程式很可能以媒體惡意程式型式而達到更高的效率。