攻击行为在复杂性上有所增加，通常会根据被攻击的对象量身打造。趋势跟踪显示，在2008年Web已经成为主要的攻击行为通道。另外，根据赛门铁克的2008年度顶级互联网安全威胁趋势分析报告称，现在很难对攻击者进行跟踪，因为他们的攻击方式已经从小团体行为向集团式行为发展。

　　2008安全趋势分析

　　垃圾邮件和钓鱼攻击

　　这可能是我们所最熟悉的计算机入侵形式，然而它却依然是数量最多和增长最快的攻击行为。早在2004年，微软总裁比尔·盖茨曾预言，垃圾邮件问题还需要花费两年的时间来解决。但是在2008年，通过11月份的最大垃圾邮件团伙McColo遭断网事件我们可以看到，垃圾邮件依然占据全部网络安全威胁的76%，该垃圾邮件团伙被断网后，垃圾邮件数量锐减65%。与垃圾邮件发送者的战争已经转化为一场全民战争，但是垃圾邮件发送者依然没有要缴械投降的意思。

　　垃圾邮件发送者充分利用了当前的热点事件，诸如总统大选、中国四川大地震、北京奥运会和经济危机等。他们使用这些影响度极高的社会化问题作为标题，来引诱人们点击指向恶意软件的链接，或欺骗人们向一个虚假的慈善机构帐号发送捐款。社交网站已经成为垃圾邮件肆虐的乐园，因为通过攻击对象的社交网站，垃圾邮件攻击可以迅速的进行传播。

　　钓鱼攻击通常与垃圾邮件结伴而行，它也利用热点事件来使其诱饵更具说服力。在过去的一年中出现的一种钓鱼手法是，通过伪装成来自.gov和.edu域名来骗取用户的信任。尽管犯罪分子并不能注册这些域名下的地址，但是他们可以通过各种方式入侵相关Web服务器，获得对它们的控制权。一旦他们得手后，即便受害者发现了攻击行为，也很难在短时间内修复该问题，因为域名不能简单的被取消。受害公司需要采取冗长的措施来从它们的网站中移除被攻击的网页，进而加固它们的服务器安全防护。完成这些需要一定时间，而在这些时间中，钓鱼页面将保持活跃状态，已经有很多受害者上当受骗。

　　虚假和误导性应用软件

　　虚假的安全和工具软件，也就是人们常说的“恐吓式软件(scareware)”，它们自称会加固和清理用户的家用计算机。这些应用程序会产生错误且通常具有误导性结果分析，这类攻击利用用户对IT安全的恐惧，让他们误以为计算机发生问题，其实计算机一切安好。通常，恐吓性软件会以弹出式广告或冒充下载程序的形式植入在网站上。

　　数据泄密

　　根据身份失窃资源中心(ITRC)统计数据显示，在2008年有548起数据泄露案，大大超过了去年的466个，共泄露了30430988条记录。值得特别重视的是，在2008年前九个月中，数据泄密事件的数量就已经是去年全年总和。2008年8月，美国政府控告11人涉及一场黑客行动，窃取超过4000万份信用卡和借记卡卡号。

　　最有意思的是，多数数据泄密并不是人为恶意攻击的结果。很多情况下，导致数据泄密的最常见原因是员工的疏忽和对敏感信息的误操作。从外部因素分析，出现这种现象的部分原因是，在2008年由于经济环境的巨大变化，导致了大量并购交易和裁员事件，进而导致了不稳定因素。

　　2009安全预测

　　通过分析2008年的安全趋势和恶意软件作者所喜欢使用的技术，可以帮助我们预测2009年的安全形势。这些新安全威胁中有一些已经开始出现9 7 3 1 2 4 8 :

本文来源：IT168.com 作者：安全趋势