制图:蔡华伟
今年上半年,我国超四成网民受到网络攻击,黑客逐利已形成非法产业链
1亿网民被“钓鱼”
●一个木马病毒能控制数百万台被黑客操纵的“肉鸡”电脑
●今年上半年,遭遇病毒攻击的中国网民达2.17亿
●网络攻击背后是一条黑色利益链:制造病毒,传播病毒,窃取信息,销赃洗钱
一群活跃在网络的非法“骑士”,通过木马病毒攻击网游私人服务器,非法获利7000万元,而他们多是仅有高中、初中文化的“80后”。日前,重庆市公安局网络安全监察总队破获的这起非法入侵计算机信息系统案已向法院提起公诉。
这起网络攻击案件,只是我国严峻的互联网安全状况的一个缩影。随着互联网的发展,尤其是电子商务的高速崛起,我国网络安全受到严重威胁,黑客的攻击和收益甚至已经形成一个庞大的黑色产业链。
上半年新增钓鱼网站218万个
超五成是假银行、假中奖网站
据中国互联网络信息中心(CNNIC)发布的《第28次中国互联网络发展状况统计报告》显示,2011年上半年,遇到过病毒攻击的中国网民达到2.17亿,占44.7%;有过账号或密码被盗经历的网民达到1.21亿人,占24.9%,较2010年增加3.1个百分点;有8%的网民遇到过网络消费欺诈,该群体规模达到3880万。
瑞星公司日前发布的2011年上半年互联网安全报告显示,我国互联网上半年新增病毒同比增加25.2%,其中木马病毒402.4499万个,占76.12%。新增钓鱼网站218万个,超过1亿人次的网民受到侵袭,造成的直接经济损失至少达百亿元。
此外,国家互联网应急中心在近日举行的“计算机网络安全年会”上披露的数据显示,中国遭受的黑客攻击很多来源于境外。2010年,国家互联网应急中心监测共发现近48万个木马控制端IP,其中有22.1万个位于境外;监测发现13782个僵尸网络控制端IP,有6531个位于境外。此外,工业和信息化部互联网网络安全信息通报成员单位报送的数据显示,2010年在中国实施的网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。
据北龙中网(北京)科技有限责任公司网络专家胡军庆介绍,目前黑客对互联网攻击主要通过以下方式和手段。
第一,钓鱼攻击:通过欺骗手段(例如制作虚假网站、攻入网站数据库)获取敏感个人信息,如口令、信用卡详细信息等。主要集中于网络交易、即时通信、金融证券这三个领域。第二,木马病毒攻击:潜伏客户电脑,窃取用户口令、信用卡等信息,这也是钓鱼攻击的一种。第三,直接攻击企业网站数据库:利用企业网站数据库的安全漏洞,窃取客户资料,卖给网站竞争对手。
“中国反钓鱼网站联盟发布的数据显示,截至2011年2月底,联盟秘书处累计认定并处理的钓鱼网站39854个。钓鱼网站已经成为继病毒之后,又一大互联网‘毒瘤’。”胡军庆说。据悉,钓鱼网站类型占比排名依次为假银行网站占33%;假中奖网站占29%;假购物网站占19%;假游戏网站占7%。
网络攻击商业目的突显
个别企业用“保护费”换平安
值得注意的是,近年来,商业化、大规模、有预谋的网络攻击逐渐增多,并由此形成一条黑色产业链:制造病毒,传播病毒,窃取信息,销赃洗钱。
“实际上,2000年以后,大规模的网络攻击逐渐增多。网络攻击表现出的商业目的也越来越明显。”从事网络安全法律领域研究多年的北京师范大学教授刘德良说。
根据瑞星公司的报告,今年上半年针对企业的网络攻击有增无减,婚恋网站、电商网站、团购网站等成为黑客攻击的重点对象。由于这些网站储存了大量的用户资料、购买行为信息、银行和信用卡资料等,黑客可以借此获利。“由于攻击十分普遍,个别互联网企业和许多自身防范力量较弱的中小企业甚至只有交‘保护费’才能免遭攻击,换取网络安全。”刘德良说。
胡军庆认为,网络上现在已形成了分工明确的网上黑色产业链,并向着组织化、规模化、公开化的方向发展:首先,黑客制作出木马病毒,然后出售给不法分子;不法分子通过各种手段散播,控制用户的机器,有时候一个木马病毒能控制数百万台“肉鸡”电脑(指被黑客攻破,种植了木马病毒的电脑,黑客可以随意操纵并利用它做任何事情),再将“肉鸡”电脑的控制权出售给有需要的人,用于攻击竞争对手的网站,抢夺客户。此外,不法分子还利用木马病毒,记录用户的登陆账号、银行账号等信息,转移用户的虚拟财产和银行存款。
安全立法相对滞后
很多非法入侵行为在刑法规制之外
与日益严峻的网络安全形势相比,我国的网络安全立法则相对滞后。
“目前还没有网络安全的立法。如软硬件的生产、采购、市场检验,网络安全人员的意识,上网规范等内容都是网络立法应该关注的。”刘德良认为,已有的法律中对网络安全的重要性也重视不够。
“比如,刑法关于网络犯罪的规范主要集中在第285、286、287三条规定上。其实,从第287条的表述来看,它是将网络看做一种犯罪工具,并不是作为一种新的犯罪类型来看待的。按照现行刑法,除了非法入侵国家事务、国防建设、尖端科学技术领域的计算机信息系统,其他非法入侵行为基本上都游离于刑法规制之外。此外,既有的立法对绝大部分制作、传播和买卖具有危害性或危险性程序的行为无法适用。”刘德良说。
另一个比较突出的问题是,部门规章、意见比较多,譬如关于网络暴力、网络主体市场准入等,却没有上升到法律的层面。“2010年7月1日起实施的《侵权责任法》里,网络侵权基本没有体现。”刘德良说。
相关专家也指出,互联网安全诚信问题需要政府相关管理部门、互联网相关企业和全体网民共同行动起来,从完善网络安全立法、完善域名安全保障机制等各环节出发,才能真正建立起综合防范机制。