信息化觀察網(wǎng)

隨著世界范圍內(nèi)（除了中國(guó)）新冠疫情的大流行，許多教育機(jī)構(gòu)都開(kāi)設(shè)了網(wǎng)絡(luò)教育平臺(tái)，不過(guò)這些教育機(jī)構(gòu)并沒(méi)有專業(yè)的網(wǎng)絡(luò)安全措施，使在線教育面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)增加。

實(shí)際上，在6月份，Microsoft Security Intelligence報(bào)告稱，在過(guò)去的一個(gè)月中，在企業(yè)遭遇的770萬(wàn)次惡意軟件攻擊中，教育行業(yè)占了61%，比其他任何行業(yè)都多。除惡意軟件外，教育機(jī)構(gòu)還面臨著數(shù)據(jù)泄漏和侵犯學(xué)生隱私的風(fēng)險(xiǎn)。比如就有人開(kāi)始利用Zoom的安全性漏洞闖入私人會(huì)議，據(jù)報(bào)道最近有幾起在線教育被淫穢評(píng)論或色情內(nèi)容被打斷的事件。

隨著開(kāi)學(xué)季的來(lái)臨，數(shù)字教育的規(guī)模將繼續(xù)擴(kuò)大。實(shí)際上，所有美國(guó)中小學(xué)生中有一半將使用完全在線教育。即使是那些重新開(kāi)放的教育機(jī)構(gòu)，也正在部署某種網(wǎng)絡(luò)教育模型，例如在線進(jìn)行大型講座。而且，第二輪冠狀病毒的攻擊仍然存在，這意味著將來(lái)仍可能大規(guī)模關(guān)閉實(shí)體學(xué)校。

為此，卡巴斯基的研究人員仔細(xì)研究了學(xué)校和大學(xué)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)，以便教育者可以提前做好準(zhǔn)備，并采取必要的預(yù)防措施來(lái)確保安全。

本文研究了幾種不同類(lèi)型的攻擊，包括與在線教育平臺(tái)和視頻會(huì)議應(yīng)用程序有關(guān)的網(wǎng)絡(luò)釣魚(yú)頁(yè)面和電子郵件，以這些相同應(yīng)用程序的名義偽裝的攻擊以及影響教育行業(yè)的分布式拒絕服務(wù)（DDoS）攻擊。

流行的在線教育平臺(tái)/視頻會(huì)議應(yīng)用程序隱藏著各種攻擊

卡巴斯基安全網(wǎng)絡(luò)（KSN）系統(tǒng)用于處理與卡巴斯基用戶自愿共享的網(wǎng)絡(luò)安全攻擊有關(guān)的匿名數(shù)據(jù)，對(duì)兩個(gè)時(shí)期的數(shù)據(jù)進(jìn)行了對(duì)比：2019年1月至6月和2020年1月至6月。

使用KSN，研究人員搜索了與各種攻擊關(guān)聯(lián)在一起的文件，這些文件包含以下平臺(tái)/應(yīng)用程序：

Moodle：世界上最受歡迎的教育管理系統(tǒng)（LMS）。教育者使用它來(lái)構(gòu)建在線課程，主持課程并創(chuàng)建活動(dòng)。

Blackboard：另一個(gè)受歡迎的LMS，它提供了一個(gè)虛擬的教育環(huán)境，教育工作者可以在其中建立完全數(shù)字化的課程或創(chuàng)建其他活動(dòng)來(lái)補(bǔ)充親自指導(dǎo)。

Zoom：一個(gè)高度流行的在線協(xié)作工具，提供免費(fèi)的視頻會(huì)議功能。今年春季，許多教育工作者使用Zoom進(jìn)行在線課程。

Google課堂：一個(gè)專門(mén)為教育工作者設(shè)計(jì)的網(wǎng)絡(luò)服務(wù)，用于主持課程，生成作業(yè)并跟蹤學(xué)生的進(jìn)度。

Coursera：一個(gè)流行的在線教育平臺(tái)，提供各種開(kāi)放式在線課程，證書(shū)，甚至學(xué)位課程。

edX：提供給全球用戶的開(kāi)放式在線課程的提供商。

Google Meet：一個(gè)類(lèi)似于Zoom的視頻通信服務(wù)，可用于主持會(huì)議和在線課程

結(jié)果顯示了在2019年1-6月和2020年1-6月期間，很過(guò)攻擊者偽裝成上述平臺(tái)/應(yīng)用對(duì)用戶發(fā)起攻擊。

分布式拒絕服務(wù)（DDoS）攻擊

卡巴斯基使用卡巴斯基DDoS情報(bào)系統(tǒng)跟蹤DDoS（分布式拒絕服務(wù)）攻擊，該系統(tǒng)是卡巴斯基DDoS保護(hù)的一部分，可攔截并分析木馬從C＆C服務(wù)器接收的命令。該系統(tǒng)是主動(dòng)的，不是被動(dòng)的，這意味著它不等待用戶設(shè)備被感染或命令被執(zhí)行。每個(gè)“唯一目標(biāo)”代表一個(gè)遭到攻擊的特定IP地址。

以下報(bào)告顯示了卡巴斯基DDoS情報(bào)系統(tǒng)在2019年第一季度和2020年第一季度記錄的DDoS攻擊中影響教育資源的百分比。

與2019年1月相比，2020年1月影響教育資源的DDoS攻擊數(shù)量增加了550％。

從2月到6月的每個(gè)月中，影響教育資源的DDoS攻擊數(shù)量在2020年的攻擊總數(shù)中比2019年同期增加350％-500％。

從2020年1月到2020年6月，受到流行在線教育平臺(tái)/視頻會(huì)議應(yīng)用程序的幌子而遭受各種攻擊攻擊的唯一身份用戶總數(shù)為168550，與2019年同期相比增長(zhǎng)了20455％。

從2020年1月到2020年6月，最常用的誘餌平臺(tái)是Zoom，其中有5％的用戶通過(guò)包含Zoom名稱的文件遇到了各種攻擊。第二個(gè)最常用的引誘平臺(tái)是Moodle。

到目前為止，2020年遇到的最常見(jiàn)攻擊是下載程序和廣告軟件，占注冊(cè)感染嘗試總數(shù)的98.77％。在2020年以流行網(wǎng)絡(luò)課程平臺(tái)為幌子傳播的攻擊中，登記的嘗試感染次數(shù)最多的國(guó)家是俄羅斯（21％），其次是德國(guó)（21.25）。

在線教育平臺(tái)/視頻會(huì)議應(yīng)用程序的網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)

網(wǎng)絡(luò)釣魚(yú)是教育機(jī)構(gòu)中最古老，最流行的一種攻擊形式，這并不奇怪。實(shí)際上，在攻擊者將攻擊目標(biāo)轉(zhuǎn)向遠(yuǎn)程教育后，大量流行網(wǎng)站（如Google Classroom和Zoom）的釣魚(yú)網(wǎng)站開(kāi)始出現(xiàn)。從4月底到6月中旬，Check Point Research發(fā)現(xiàn)已注冊(cè)了2449個(gè)與Zoom相關(guān)的域，其中32個(gè)是惡意域，而320個(gè)是“可疑”域?？梢捎蜻€注冊(cè)了Microsoft Teams和Google Meet。登陸這些網(wǎng)絡(luò)釣魚(yú)頁(yè)面的用戶通常被誘騙點(diǎn)擊下載惡意程序的URL，或者可能被誘騙輸入其登錄憑據(jù)，這會(huì)將這些憑據(jù)泄露給攻擊者。

偽造的Zoom登錄頁(yè)面

偽造的Moodle登錄頁(yè)面

這些攻擊者甚至可能在訪問(wèn)攻擊目標(biāo)的帳戶后，甚至可以將用戶的登錄憑據(jù)用于各種惡意目的，比如發(fā)起垃圾郵件或網(wǎng)絡(luò)釣魚(yú)攻擊，由于人們經(jīng)常重復(fù)使用密碼而獲得對(duì)其他帳戶的訪問(wèn)權(quán)限，或者收集更多個(gè)人身份信息以用于將來(lái)的攻擊或試圖竊取資金。

大多數(shù)大學(xué)還擁有自己的平臺(tái)，學(xué)生和教職員工可以登錄該平臺(tái)訪問(wèn)重要資源和各種學(xué)術(shù)服務(wù)。去年春天，一些攻擊者甚至通過(guò)為各自的學(xué)術(shù)登錄頁(yè)面創(chuàng)建釣魚(yú)頁(yè)面來(lái)針對(duì)特定的大學(xué)。

康奈爾大學(xué)學(xué)術(shù)登錄頁(yè)面的釣魚(yú)頁(yè)面

除了假冒網(wǎng)頁(yè)外，網(wǎng)絡(luò)攻擊者還發(fā)送了越來(lái)越多的與這些平臺(tái)相關(guān)的網(wǎng)絡(luò)釣魚(yú)電子郵件。這些用戶告訴用戶他們錯(cuò)過(guò)了會(huì)議，課程被取消或是時(shí)候激活他們的帳戶了。當(dāng)然，如果他們打開(kāi)電子郵件并點(diǎn)擊任何鏈接，就有可能下載各種惡意軟件。

據(jù)稱來(lái)自Zoom的網(wǎng)絡(luò)釣魚(yú)電子郵件，敦促用戶查看新的視頻會(huì)議邀請(qǐng)

在線教育平臺(tái)的網(wǎng)絡(luò)攻擊

傳播偽裝成流行的視頻會(huì)議應(yīng)用程序和在線課程平臺(tái)的攻擊的常見(jiàn)方法是將惡意程序嵌入在合法的應(yīng)用程序安裝程序中。

用戶可以通過(guò)多種方式碰到這些惡意安裝程序，一種方法是通過(guò)網(wǎng)絡(luò)釣魚(yú)網(wǎng)站偽裝成看起來(lái)像合法平臺(tái)的網(wǎng)站，如上所述。那些無(wú)意中進(jìn)入錯(cuò)誤頁(yè)面的用戶在試圖下載他們認(rèn)為是真正的應(yīng)用程序時(shí)，就會(huì)受到惡意軟件或廣告軟件的攻擊。另一種常見(jiàn)的方式是通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件偽裝成特別優(yōu)惠或來(lái)自平臺(tái)的通知。如果用戶點(diǎn)擊電子郵件中的鏈接，那么他們就有下載不需要的文件的風(fēng)險(xiǎn)。

從2019年1月到2019年6月，通過(guò)本報(bào)告的方法部分指定的平臺(tái)傳播的各種攻擊的唯一身份用戶數(shù)量為820。

2019年1月至6月（偽裝成流行的在線教育/視頻會(huì)議平臺(tái)）遇到各種攻擊的獨(dú)特用戶數(shù)量

最受歡迎的誘餌是Moodle，其中Blackboard和Zoom其次。

但是，到2020年，由于流行的在線教育平臺(tái)而變相遭受各種攻擊的用戶總數(shù)躍升至168550，增長(zhǎng)了20455％。

2020年1月-6月，偽裝成流行的在線教育/視頻會(huì)議平臺(tái)的獨(dú)特用戶數(shù)量受到各種攻擊的攻擊

Zoom是最常被用作誘餌的平臺(tái)，有99.5％的用戶遇到了以其名稱偽裝的各種攻擊?？紤]到Zoom成為了首選的視頻會(huì)議平臺(tái)，這不足為奇。到2020年2月，該平臺(tái)的新增用戶（222萬(wàn)）比其在2019年全年（199萬(wàn)）要多。截至4月30日，該公司聲稱每天有3億人參加會(huì)議。鑒于其非常受歡迎，因此將其作為惡意攻擊者的首選目標(biāo)是合乎邏輯的。而且，由于有數(shù)百萬(wàn)用戶希望下載該應(yīng)用程序，其中至少有一部分會(huì)遇到假冒的安裝程序或安裝文件。

仔細(xì)研究2020年攻擊趨勢(shì)

遇到的攻擊類(lèi)型

2020年1月至6月，用戶偽裝成流行的在線教育/視頻會(huì)議平臺(tái)，構(gòu)成不同類(lèi)型攻擊的百分比分布

到目前為止，以合法的視頻會(huì)議/在線教育平臺(tái)為幌子傳播的最常見(jiàn)攻擊不是病毒（99％）。非病毒文件通常分為兩類(lèi)：風(fēng)險(xiǎn)軟件和廣告軟件。廣告軟件會(huì)用不需要的廣告轟炸用戶，而風(fēng)險(xiǎn)軟件則包含各種文件（從瀏覽器欄和下載管理器到遠(yuǎn)程管理工具），這些文件可能在未經(jīng)用戶許可的情況下對(duì)用戶的計(jì)算機(jī)執(zhí)行各種操作。

大約1％的感染嘗試來(lái)自各種特洛伊木馬家族，惡意文件使網(wǎng)絡(luò)攻擊者能夠執(zhí)行從刪除和阻止數(shù)據(jù)到中斷計(jì)算機(jī)性能的所有操作。遇到的某些特洛伊木馬程序是密碼竊取程序，旨在竊取用戶的憑據(jù)，而其他的則是投遞程序和下載程序，兩者都可以在用戶的設(shè)備上提供進(jìn)一步的惡意程序。

遇到的其他攻擊是后門(mén)，使攻擊者可以遠(yuǎn)程控制設(shè)備并執(zhí)行任意數(shù)量的任務(wù)。利用漏洞，利用操作系統(tǒng)或應(yīng)用程序中的漏洞來(lái)獲得未經(jīng)授權(quán)的訪問(wèn)/使用。

登記感染嘗試次數(shù)最多的五個(gè)國(guó)家如下：

對(duì)于以流行的在線教育/視頻會(huì)議平臺(tái)為幌子傳播的攻擊，俄羅斯感染用戶的嘗試次數(shù)最多（70.94％），其次是德國(guó)（21.25％）。兩國(guó)都于3月中旬關(guān)閉了學(xué)校，使遠(yuǎn)程教育成為數(shù)百萬(wàn)師生的唯一選擇。此外，視頻會(huì)議在德國(guó)已變得非常流行，超過(guò)一半的德國(guó)人定期將其用作工作或上課。考慮到Zoom在全球范圍內(nèi)的普遍流行，很大一部分德國(guó)人最有可能使用該平臺(tái)。

DDoS攻擊

4月，一所土耳其大學(xué)在考試中遭到DDoS攻擊后被迫完全離線40分鐘。6月，在DDoS攻擊影響了其在線測(cè)試平臺(tái)之后，美國(guó)東北的一所主要大學(xué)的考試也發(fā)生了中斷問(wèn)題。這只是在學(xué)校被迫過(guò)渡到緊急遠(yuǎn)程教育后開(kāi)始出現(xiàn)的更大趨勢(shì)的兩個(gè)例子：針對(duì)教育部門(mén)的DDoS攻擊的增加。

總體而言，與2019年第一季度相比，2020年第一季度全球DDoS攻擊總數(shù)增加了80％。其中很大一部分歸因于針對(duì)遠(yuǎn)程電子教育服務(wù)的攻擊數(shù)量的增加。

影響教育資源的DDoS攻擊總數(shù)的百分比：2019年第一季度與2020年第一季度的比較

與2019年第一季度相比，在2020年第二季度的每個(gè)月中（除三月份外），影響所有教育資源的DDoS攻擊所占百分比穩(wěn)步上升。從2020年1月到2020年6月發(fā)生的DDoS攻擊總數(shù)來(lái)看，影響教育資源的DDoS攻擊數(shù)量與2019年同期相比增加了至少350％。

與2019年同月相比，對(duì)教育資源的攻擊次數(shù)增加的百分比

總結(jié)

首先，新冠疫情尚未結(jié)束。許多學(xué)生至少還有很長(zhǎng)一段時(shí)間要進(jìn)行虛擬教育，而一些決定開(kāi)學(xué)的學(xué)校已經(jīng)決定只恢復(fù)在線課程。即使大流行確實(shí)結(jié)束了，大多數(shù)人也同意在線教育不會(huì)完全消失。實(shí)際上，甚至在新冠疫情流行之前，一些大學(xué)就已經(jīng)開(kāi)發(fā)了混合課程（線下體驗(yàn)和在線課程的結(jié)合）。越來(lái)越多的學(xué)術(shù)機(jī)構(gòu)正在考慮將其作為未來(lái)教育計(jì)劃的一種選擇。

但是，只要在線教育繼續(xù)變得越來(lái)越流行，網(wǎng)絡(luò)攻擊者就會(huì)試圖利用這一事實(shí)為自己謀取利益，這意味著教育機(jī)構(gòu)將繼續(xù)面臨越來(lái)越多的網(wǎng)絡(luò)風(fēng)險(xiǎn)。