研究：今年上半年網頁惡意程式增加278%

專門提供網站安全代管服務的ScanSafe在上周發表今年上半年的網路安全報告。ScanSafe發現，有大量的合法網站在今年6月被駭，約佔該公司所攔截惡意程式的66%，同時讓今年上半年網頁（Web-based）惡意程式激增了278%。

ScanSafe指出，有愈來愈多合法網站被駭客攻陷，像是Wal-Mart、Business Week、Ralph Lauren Home及Race for Life等，這也讓網頁惡意程式達到278%的成長。

駭客攻陷網站的主要手法為資料隱碼（SQL injection）攻擊，駭客在網頁資料欄位輸入SQL程式碼以進入資料庫或更改資料，該攻擊模式約是其他網站攻擊模式的212%。在今年6月，ScanSafe發現所有被攻陷的網站中，有76%採用SQL injection攻擊。

以往網友在網路上瀏覽最常遇見的惡意程式手法應該是來自社交工程或是網路廣告，駭客透過合法網站以危害使用者的模式相對少見。ScanSafe分析，這些合法網站大部份是受到去年底流出的免費自動攻擊工具的影響。

此波大量合法網站被攻陷的情事不僅發生在美國，資安業者在今年5月中就曾警告，駭客針對中文網頁發動大規模的資料隱碼攻擊，一夜之間便有十萬個網頁被植人惡意程式，雖然有九成被駭網站為中國網站，但台灣仍有數千個知名網站受到波及。

ScanSafe安全研究人員Mary Landesman表示，此一大量網站被駭對企業使用者而言更具挑戰，因為這些被駭的網站多半是知名、合法而且被信任的網站，同時也是使用者經常造訪的網站，然後相關的攻擊往往讓使用者不知不覺。

一旦駭客對網站執行SQL injection攻擊，可能會透過這些合法網站竊取使用者的密碼資料或在使用者電腦上植入木馬程式，ScanSafe發現這類的惡意程式比重從今年1月的4%成長到6月的27%。（編譯/陳曉莉）