为何黑客偏爱电子邮件网络钓鱼攻击(免费必破qq密码软件)

　　恶意电子邮件攻击正在增加。

　　赛门铁克发布的《2017年互联网安全威胁报告》显示，2016年，黑客通过漏洞利用工具发起的恶意活动下降了60%。

　　结果表明，攻击者习惯于将电子邮件作为主要的感染媒介。2016年，电子邮件中恶意软件的比率急剧增加，从220封电子邮件中的一个恶意软件(1/220)增加到131封电子邮件中的一个恶意软件(1/131)。

　　这种变化导致黑客依赖于“靠山吃山，靠水吃水”的战术。也就是说，黑客转向操作系统的功能，重用管理工具和云服务来感染网络，而不是通过包含恶意软件和0day漏洞的传统工具包来感染网络。

　　为什么攻击者更喜欢恶意邮件攻击?

　　专家指出，在去年的几次大规模网络攻击中，黑客利用鱼叉式钓鱼邮件或设置陷阱的Microsoft Word或Excel文件，诱骗用户下载可以提供远程访问的PowerShell脚本。黑客在垃圾邮件攻击中通常使用JavaScript和Office宏下载器，因为这些媒体易于使用，比漏洞利用工具更难检测。

　　专家表示，从经济角度来看，如果不需要这些漏洞，那么就不值得浪费时间。使用最新的漏洞利用需要大量的精力、资源和时间。

　　由于利用工具通常需要维护后端基础设施，因此与钓鱼活动相比，利用工具的可靠性更低，利用工作更重。网络钓鱼活动通常发送包含恶意软件附件的电子邮件。对于懒人黑客来说，“到处散播恶意种子，总有一颗要发芽”的方式无疑要轻松很多。

　　供不应求，价格上涨，漏洞价格也遵循这个经济学原理。安全公司赛门铁克(Symantec)在一项研究中指出，在过去三年中，0-0day漏洞利用的数量不断减少，从而推高了零日漏洞利用的价格，攻击者不得不选择替代策略。被利用的0day漏洞总数(这里指未向厂商披露和修复的软件漏洞)从2014年的4985个下降到2016年的3986个。

　　尽管如此，对0day漏洞的需求仍呈上升趋势。各方都在购买安全研究人员发现的0day漏洞，包括军队、情报机构、执法机构、软件供应商、网络罪犯和军事承包商。这些买家的目的各不相同:有的是为了修复和防御软件，有的是想通过漏洞实施网络攻击。

　　前NSA计算机网络利用分析师布莱克·达奇(Black Dutch)表示，由于大型制造商(包括微软、苹果等公司)已经非常重视修复平台中的漏洞，因此0day漏洞的数量有所减少，这与“圈子”中目前可用的0day漏洞的价格上涨有牵连。

　　播放器和Chrome浏览器的安全性通常更好，被广泛使用的可能性更小。这并不是说这些软件产品的漏洞少了，而是专家的水平在提高，利用漏洞的成本也在上升。

　　除了Google、微软、苹果等大型软件厂商在安全方面取得的成绩之外。，漏洞奖励计划也开辟了一条新的合法途径，从而将利益驱动的动机转化为负责任的披露。越来越多的研究人员通过寻找漏洞获得报酬。因此，发现可利用的漏洞比以往更加困难。

　　比如过去一年，在HackerOne上发现了约2万个0day漏洞，大部分都是私下披露和解决的。赛门铁克统计的0-0day漏洞不包含这些漏洞，所以数量相对较少。

　　赖斯表示，2017年将漏洞“武器化”比两三年前困难得多。

　　奖励平台BugCrowd的信任和安全负责人贾森·哈德克斯(Jason Haddix)表示，漏洞的价格每年都在稳步上升。价格因漏洞不同。如果是服务器远程代码执行的0day漏洞，或者是未知的低信息层漏洞，那么价格梯度就比较高。一些0day漏洞的成本高达344880元。这只是一个漏洞奖励平台上的价格，其他市场的价格更高。国外知名漏洞采集平台Zerodium的一个0day漏洞最高报价在1035万左右。该公司首席执行官在2015年接受采访时表示，该公司每月必须向没有公开披露漏洞的提交者支付约414万英镑。当时他预测，到2015年底，公司一个月大概要花690万。