日前,上海市浦东新区人民法院对一起流量劫持案件作出裁判,被告人付某、黄某因犯破坏计算机系统罪,被判处有期徒刑三年。据2345人士介绍,这是国内乃至全球范围内首个,从司法层面对“流量劫持”依法作出有罪判决的案例。
所谓“流量劫持”又称域名劫持,是指犯罪分子通过特殊技术手段,截取用户的原始访问需求,将特定网页返回给用户,或破坏原有正常服务以达到牟利目的的行为。
前述案件中,被告人付某与黄某等人租赁多台服务器,使用恶意代码修改互联网用户路由器的dns设置,进而使用户登录“2345.com”等导航网站时跳转至其设置的某导航网站,同时将截取的流量出售给其合作的互联网公司,违法所得近百万元。
“每天被劫持三百多万uv(指通过互联网访问、浏览这个网页的自然人),”2345人士表示,该案件给公司带来较大损失。据悉,该案件于2014年10月立案,至今正式宣判,意味着国内司法层面对首个“流量劫持” 作出有罪判决。
据中国互联网络信息中心报告显示,2014年有46.3%的中国网民遭遇过网络安全问题,而流量劫持是常见的表现形式。此前5月,有报道称百度配合重庆警方破获特大dns流量劫持案,涉案人员被逮捕归案,不日将移送检察机关正式提起公诉。
锦天城律师事务所资深律师董文涛表示,此次反流量劫持案件的宣判将推动更多互联网企业通过法律途径对流量劫持采取行动。
“信息安全事件在金融、电商行业非常多,”漏洞盒子资深项目经理曾裕智在柯力士信息安全公开课上提到,受利益驱使,金融和电商行业容易遭更多黑客“盯上”。金融公司安全漏洞造成用户银行卡信息泄露、保险公司保单泄密、p2p网贷平台系统文件遭任意读取等案例不断,其背后面临的问题主要来自技术层和公司管理层两方面。
其中,技术层面有来自外部黑客攻击、非授权访问,数据库数据被非法下载、篡改等。而对公司管理而言,面临的问题有人员的职责、流程有待完善,内部员工日常操作有待规范,研发运维缺乏安全意识带来的安全隐患等。
曾裕智还表示,随着移动互联的兴起,手机app端接口的安全问题大量出现,而部分企业没有足够重视,“没有永远的安全,安全只是一种状态。”
互联网、智能手机和平板电脑(以及自带设备办公)的使用使企业的数据在任何地方都可能被访问,移动互联的发展,一定程度上使得企业安全防御面临压力。
缺乏敏捷性、预算不足、缺乏网络安全技能是企业防范网络犯罪面临的三大障碍,安永人士指出。其援引安永去年的全球信息安全调查报告称,43%的受访者表示其所在企业2015财年信息安全预算总额将与2014财年基本持平,另有5%受访者表示预算将有所下降。