在安全服务提供商发表的博客文章里，最近能够看到一些令人担忧的话题。首先谈谈趋势科技发现的虚假Facebook页面。该公司博客文章中特别提醒用户，应防范诱骗Facebook用户下载虚假“Adobe Flash Player”插件的网络攻击伎俩。

　　趋势科技发现，有很多提到一个有9000多万个“赞”的Facebook页面信息被显示在News Feed（信息流）中。对于部分用户而言，带有庞大数量“赞”的页面非常值得他们去访问。用户会认为，如此受欢迎，肯定是正常无害的Facebook页面。

　　但趋势科技发现，9000万多个“赞”并不是真实的，只是一个单纯的社交工程学手段而已。一旦用户访问该页面，就会被导向含有虚假Flash Player插件（趋势科技检测为“）的网站。

　　该网站会显示对话框，敦促用户下载Flash Player插件以播放视频。如果用户下载插件，并使用谷歌的“Chrome”浏览器，网页就会自动关闭，并出现Chrome扩展文件（趋势科技检测为“）。

　　被安装的恶意软件会使用受害用户的Facebook账号大量发送相同内容的信息。而且，TROJ_EXTADB.US还会与多个URL交换信息。

　　以Facebook为代表的SNS目前已成为用户与朋友、同事及家人交流的主要工具。虽然使用起来非常方便，但网络犯罪分子等怀有恶意的人也在利用SNS干坏事。趋势科技提醒用户，要随时对SNS账户保持小心谨慎，即便是朋友或熟人发来的链接也不能掉以轻心。

　　下面介绍的案例是与4月16日发生的波士顿马拉松爆炸事件有关的垃圾邮件。卡巴斯基实验室在博客文章里介绍了这种邮件。

　　卡巴斯基称，波士顿马拉松赛发生炸弹恐怖事件的第二天，便开始受到题目伪装成爆炸事件相关信息的垃圾邮件。

　　邮件正文中出现了末尾为“news.html”的恶意链接。链接目标网页里嵌入了视频共享网站“YouTube”上的爆炸事件视频片段，约60秒后，另一个链接地址指向的可执行文件就会被激活。

　　恶意软件（卡巴斯基检测为“Trojan-PSW.Win32.Tepfer”）在被感染的电脑上启动后免翻墙GOOGLE搜索aop，就会尝试与乌克兰、阿根廷及台湾的多个IP地址连接。

　　最后介绍一个与上述内容稍微不同的话题，那就是Trusteer在博客文章里讲述的网络“行为画像”（behavior profiling）的相关研究内容。

　　很多读者可能会从“行为画像”这个词汇联想到机场安全或电视剧《CSI：科学捜查班》。“维基百科”对行为画像的描述是，“也称犯罪人画像（offender profiling），是刑侦人员用来准确推断犯罪行为或犯罪分子特征的基于行为的侦查手段”。近几年，行为画像开始被引入网络安全领域。但Trusteer指出，这与真正的行为画像不同。真正的行为画像是要锁定犯罪嫌疑人，而计算机的行为画像系统则是要推断出普通用户的行为模式。

　　网络世界的行为画像是一项极为困难的工作。既不能从视觉上确认网络犯罪嫌疑人，也不能进行长期分析。需要单纯根据检测系统收集的有限的用户行为来实施行为画像。其原因是，目前的检测系统已实现优化，可分析普通的用户行为，定义普通的用户配置文件，还能在超出普通配置文件范围时设置标志。这与名为白名单的方法相似。

　　白名单中的问题是，网络犯罪分子已经想出了蒙混过关的方法。Trusteer列举了网络罪犯绕开白名单的三个事例。

　　第一种伎俩是，盗取的机密信息的使用方法发生改变。犯罪分子不会马上登录盗来的账户进行非法交易，虽然多次访问账户，但绝不会向外汇款。这种行为表明，除了设备分析系统之外，网络犯罪分子还注意到了行为画像。

　　网络罪犯在使用诈骗得到的账户访问网上银行时，都使用自己的设备，因此必须要有不被检测出来的技巧。如果突然用新设备办理汇款手续等，肯定会受到怀疑。利用同一设备多次访问账户是为了让别人认为来自该设备的访问是一般行为。这样一来，在第五次访问并进行非法汇款时，设备和行为都不会受到怀疑。

　　第二种手段比第一种更进一步，是使用受害人的设备。只要不被人认为设备可疑，非法交易就基本上不会被发觉。攻击者会使用具有RDP（远程桌面协议）及VNC（虚拟网络计算）功能的恶意软件，模仿账户所有人的典型交易额。交易额可在历史记录画面轻松查到，网络犯罪分子可以做到实施诈骗时不受怀疑。通过人的行为及设备分析系统来锁定这种非法行为几乎是不可能的。恶意软件开发者还备有用来学习用户一般行为的插件。

　　第三种伎俩是利用恶意软件。具体是，使用受害人的设备，利用自动脚本向预先设好的银行账户汇款。金融诈骗类恶意软件具备趁受害人不注意、在用户的会话中植入完整脚本的功能。这种脚本会在用户登录后启动，劫持会话并非法汇款。这种方法无需盗取重要信息，也无需远程访问受害人的账户，而且还省去了启动RDP/VNC恶意软件的麻烦。

　　部分行为画像系统也许能够通过在交易处理页面尝试多种测试来锁定非法脚本。绝大部分测试需要在交易处理页面测定信息输入速度。比如，如果所有填写项目能在一秒钟填好，就说明并非人工作业，而是由自动脚本完成的。但犯罪分子为了伪装得更像人工完成，会在恶意软件中嵌入间隔一定时间慢慢填写的功能。

　　要准确判断这些攻击伎俩，需要组合使用多种安全防范方法进行分析。Trusteer称，要根据有无恶意软件、网络银行会话中的RDP访问、机密信息失窃痕迹、危险因素、账户活动图等多种要素综合观察，这是实现真正的行为画像的唯一途径。（日经技术在线！ 供稿）