事件
6月28日晚8時,新浪微博突然遭遇蠕蟲式的“病毒”攻擊,微博用戶中招後會自動向自己的冬粉傳送含毒私信和微博,有人點擊後會再次中毒,形成惡性循環。尤其是眾多加V認證的用戶受到感染,發布相關微博內容後,病毒傳播的途徑更為廣泛,影響更為嚴重。在不到一個小時的時間,就有超過3萬用戶中招。“微博蠕蟲來了”的訊息在微博網友中不徑而走。
專家指出,這次針對新浪微博的攻擊事件在短時間內突然爆發,是源於新浪微博的某些頁面存在XSS跨站攻擊漏洞。針對社交網站的XSS漏洞曾經多次發生,國外的Facebook、Twitter,國內的人人網、開心網都曾遭遇類似攻擊。專家建議一般網民謹慎點擊短址連結,安裝專業防毒軟體可以減輕無意中訪問釣魚網站或掛馬網站的風險。
解決方法
隨著用戶的活動逐漸轉移到雲端,類似新浪微博蠕蟲這樣的攻擊將會大量出現,SNS網站將是被攻擊的重點。針對類似攻擊,用戶可以安裝永久免費的防毒軟體及防火牆,可以最大限度阻止蠕蟲給用戶帶來的傷害。同時,給系統打補丁、把瀏覽器升級到最新版本,可以在一定程度上降低跨站攻擊蠕蟲的攻擊效果。
網際網路上的漏洞無處不在,身為網民更應謹慎保護好自身安全利益,不要隨意點擊可疑連結,發現問題立即向專家求助,以此才能給自家的“社交後院”構建一道安全牆。
可能引發的後果
此次病毒傳播,雖然尚未造成新浪微博用戶的微博賬號等信息被竊取,但這從另一個側面表明,病毒木馬產業已經將眼光投放到這個尚存漏洞的領域。傳統的病毒產業鏈通過傳播木馬獲取網路遊戲賬號以及網上銀行賬號,通過盜取用戶的虛擬財產和銀行存款獲利。而目前流行的社交網路尤其是網上以付費買冬粉為代表的一系列不法行為,正好為傳統的病毒木馬產業鏈轉身做了一次嘗試。通過編寫惡意腳本進行傳播,誘導用戶點擊惡意腳本,從而強行使受到感染的用戶賬號去關注某一些特定的賬號以及進一步發微博傳播,誘導更多的用戶受到感染。最終,駭客使用傳播惡意腳本來強迫用戶關注一些特定賬號的手段,來獲得較強的關注度,不排除用這種手段來牟取利益。