伴随着计算机和互联网的普及,越来越多的人习惯于把他们的私密数据保存在他们的个人电脑中。于是,越来越多的网络罪犯开始把他们的目光落在了采用计算机技术从网络中的计算机系统中获取他们感兴趣的私密数据。这些私密数据的涵盖面很广,比如私人(商业)电子信函、各类金融系统的帐号和密码、私人照片、商业合同等。只要是能够引起网络罪犯的兴趣或给他们带来经济利益的私密数据,都有可能会成为他们窃取的对象。
根据卡巴斯基实验室多年对网络犯罪行为的研究显示,目前至少有3种不同的方法被网络罪犯用于从一台计算机上盗取私密数据。要想读到一个人保险箱中的私密信件,最快捷也是最直接的办法当然是找到这个人,然后使用各种手段让他说出他的信件内容或者保险箱的密码。于是,有了第一种盗取私密数据的方法。计算机用户会通过各种渠道(邮件、即时通讯工具等)收到一些仿冒的(貌似真的)提示,这些提示要求他们告知某些私密信息,于是一些计算机用户便自愿地将这些信息说了出来。比如说,收到一封邮件,邮件正文中写着“我们是XX银行。您在我银行办理的信用卡有效期将至,为保证您能够继续使用该信用卡,请登陆我们的网上银行进行有效期延长。”接下来,就是那个银行的网上银行链接。在用户点击链接后,就会登陆到一个与某真实银行的网站风格非常相似(甚至是完全一样)的网站,在这个网站上要求用户输入信用卡帐号和密码以进行延期。——这就是非常典型的一个例子。采用这种方法骗取用户私密数据的网络罪犯,都是利用了人们对大公司、知名企业的强烈信任,假冒这些企业的名义进行诈骗。我们把这种方法叫做“网络钓鱼”。
第二种盗取私密数据的方法,是通过跟踪和记录用户在计算机上的操作来进行的。这一类方法都是通过木马程序来实现的,卡巴斯基将使用这种方法盗取私密数据的木马程序命名为:Trojan-Spy。这一类木马程序的典型代表就是“键盘记录器” ——随时监控用户的操作,一旦发现用户准备输入某些私密数据时,就开始记录用户通过键盘输入的每一个字符(甚至还配合截屏),并将这些字符和图片保存起来,定期发送给网络罪犯。
第三种盗取私密数据的方法,是通过搜索用户计算机上的私密数据来实现的。正像我们在前面讲到过的一样,当前有越来越多的用户喜欢在计算机上保存他们的私密数据(包括各种帐号、密码、私人信件和照片、商业信函与合同等)。第三种方法就是搜索这一类私密数据,然后将它们保存、加密,并定期发送给网络罪犯。微软的Windows操作系统中有一个“Windows 保护存储区”,用户通过选择使用,可以将很多人为私密的数据保存在这个区域中。如下图:
如果用户选择了让Windows记住密码,那么Windows将会把帐号和密码保存在“Windows 保护存储区”中。本来这个设计的初衷是好的,能够省去很多用户记忆、输入密码的麻烦,方便了用户使用。但是,这样一来,也方便了网络罪犯,他们能够很轻易地从这个区域中获取大量的用户私密数据。
俗话说,魔高一尺,道高一丈。既然网络罪犯有很多的方法来盗取用户的私密数据,那么反病毒软件(或者说信息安全)厂商又有什么好的方法来防御这些非法的盗取行为呢?
目前,有不少的信息安全厂商都有了私密数据保护的功能,该功能一般被称作“隐私控制”,所使用的方法主要有两种。一种方法,就是让用户先将需要保密的私密数据输入程序中的一个表格,由程序将其保存下来。然后程序会实时分析用户的网络流量,一旦在网络流量中发现了跟用户之前输入的私密数据相匹配的数据时,就会提示用户。这种方法看似简单可行,但是它一个致命的缺陷。那就是,现在越来越多的网络罪犯在传输他们收集到的私密数据时,都是以加密的形式进行的,并且也有越来越多的网站开始使用SSL加密传输技术。对于这种经过加密的网络数据流,反病毒程序是没有办法对其进行分析的,更不要说从其中发现用户预先输入的私密数据。
另一种方法,就是对系统内的程序行为进行分析,一旦发现它们有搜索特定文件、或是访问“Windows 保护存储区”并试图从其中窃取数据或者试图以静默方式发送数据(为了绕过用户本地安装的防火墙,很多网络罪犯会使用互联网浏览器的COM, OLE, DDE等接口对浏览器的进程进行调用,从而实现躲避防火墙监控,将私密数据传送出去的目的。)时,就给用户以提示。这种从行为上对试图盗取私密数据的网络犯罪行为进行防范的方法,更为可行。目前,在卡巴斯基的7.0单机版产品中,就是使用的这一种方法。如下图所示,
卡巴斯基互联网安全套装7.0单机版给用户提供了私密数据保护功能
总的说来,要保护用户的私密数据不被盗取,一方面要靠信息安全厂商提供更好的安全保护功能。另一方面,也要用户自身提高警惕,管理好自己的私密数据。