阿里聚安全年终盘点|2017互联网安全领域十大话题

一、勒索软件与安全


勒索软件的风险一直存在，2017上半年5月份，wannacry的爆发，小到个人，大到企业、医疗卫生，民生政务，教育机构皆受到不同程度威胁，风头一时无二。
WannaCry利用窃取自美国国家安全局的黑客工具EternalBlue（永恒之”）实现了全球范围内的快速传播。随后，WannaCry 2.0，手机“农药”辅助软件勒索病毒，国产一键生成Android勒索软件制作工具接二连三出现。下半年Bad Rabbit(坏兔子)在欧洲的肆虐，让西方的企业政府等部门，在勒索软件的阴影下，瑟瑟发抖。我有几张阿里云幸运券分享给你，用券购买或者升级阿里云相应产品会有特惠惊喜哦！把想要买的产品的幸运券都领走吧！快下手，马上就要抢光了。
Bad Rabbit通过伪装成Adobe Flash Player软件升级更新弹窗，诱骗用户主动下载并安装运行恶意程序。可以加密文档类型、数据库文件、虚拟机文件等类型文件，同时还会使用账号弱口令密码扫描内网和SMB共享服务获取登录凭证尝试登录和感染内网主机，对业务存在高安全风险。
二、应用商店安全


面对越来越多的网络恶意应用，去官方应用商店下载是个不错的选择。但事实证明，官方应用商店也不是那么的让人放心。
年初，“SMSVova”恶意程序隐藏在一款虚假的“软件更新”应用程序中，并通过短信从攻击方接收指令，以执行诸如为“SMSVova”间谍软件设置和更改密码以及检索位置数据等功能。11月4日报道，安全研究人员Dexter Genius近期发现黑客利用官方 Google Play商店作为恶意软件存储仓库、部署冒牌WhatsApp应用。
而国外科技作者Johnny Lin发表一篇名为《如何利用App Store月入8万美金》，揭苹果应用商店存在一类诈骗APP，利用广告刷榜加指纹支付骗取用户订阅，“诈骗订阅”的存在凸显了苹果应用商店审核机制的不完善以及用户操作过于粗心大意。原文链接