没有相应的网络安全措施，在线教育面临网络攻击的风险大大增加

随着世界范围内（除了中国）新冠疫情的大流行，许多教育机构都开设了网络教育平台，不过这些教育机构并没有专业的网络安全措施，使在线教育面临网络攻击的风险增加。

实际上，在6月份，Microsoft Security Intelligence报告称，在过去的一个月中，在企业遭遇的770万次恶意软件攻击中，教育行业占了61%，比其他任何行业都多。除恶意软件外，教育机构还面临着数据泄漏和侵犯学生隐私的风险。比如就有人开始利用Zoom的安全性漏洞闯入私人会议，据报道最近有几起在线教育被淫秽评论或色情内容被打断的事件。

随着开学季的来临，数字教育的规模将继续扩大。实际上，所有美国中小学生中有一半将使用完全在线教育。即使是那些重新开放的教育机构，也正在部署某种网络教育模型，例如在线进行大型讲座。而且，第二轮冠状病毒的攻击仍然存在，这意味着将来仍可能大规模关闭实体学校。

为此，卡巴斯基的研究人员仔细研究了学校和大学面临的网络风险，以便教育者可以提前做好准备，并采取必要的预防措施来确保安全。

本文研究了几种不同类型的攻击，包括与在线教育平台和视频会议应用程序有关的网络钓鱼页面和电子邮件，以这些相同应用程序的名义伪装的攻击以及影响教育行业的分布式拒绝服务（DDoS）攻击。

流行的在线教育平台/视频会议应用程序隐藏着各种攻击

卡巴斯基安全网络（KSN）系统用于处理与卡巴斯基用户自愿共享的网络安全攻击有关的匿名数据，对两个时期的数据进行了对比：2019年1月至6月和2020年1月至6月。

使用KSN，研究人员搜索了与各种攻击关联在一起的文件，这些文件包含以下平台/应用程序：

Moodle：世界上最受欢迎的教育管理系统（LMS）。教育者使用它来构建在线课程，主持课程并创建活动。

Blackboard：另一个受欢迎的LMS，它提供了一个虚拟的教育环境，教育工作者可以在其中建立完全数字化的课程或创建其他活动来补充亲自指导。

Zoom：一个高度流行的在线协作工具，提供免费的视频会议功能。今年春季，许多教育工作者使用Zoom进行在线课程。

Google课堂：一个专门为教育工作者设计的网络服务，用于主持课程，生成作业并跟踪学生的进度。

Coursera：一个流行的在线教育平台，提供各种开放式在线课程，证书，甚至学位课程。

edX ：提供给全球用户的开放式在线课程的提供商。

Google Meet ：一个类似于Zoom的视频通信服务，可用于主持会议和在线课程

结果显示了在2019年1 - 6月和2020年1 - 6月期间，很过攻击者伪装成上述平台/应用对用户发起攻击。

分布式拒绝服务（DDoS）攻击

卡巴斯基使用卡巴斯基DDoS情报系统跟踪DDoS（分布式拒绝服务）攻击，该系统是卡巴斯基DDoS保护的一部分，可拦截并分析木马从C&C服务器接收的命令。该系统是主动的，不是被动的，这意味着它不等待用户设备被感染或命令被执行。每个“唯一目标”代表一个遭到攻击的特定IP地址。

以下报告显示了卡巴斯基DDoS情报系统在2019年第一季度和2020年第一季度记录的DDoS攻击中影响教育资源的百分比。

与2019年1月相比，2020年1月影响教育资源的DDoS攻击数量增加了550%。

从2月到6月的每个月中，影响教育资源的DDoS攻击数量在2020年的攻击总数中比2019年同期增加350%-500%。

从2020年1月到2020年6月，受到流行在线教育平台/视频会议应用程序的幌子而遭受各种攻击攻击的唯一身份用户总数为168550，与2019年同期相比增长了20455%。

从2020年1月到2020年6月，最常用的诱饵平台是Zoom，其中有5%的用户通过包含Zoom名称的文件遇到了各种攻击。第二个最常用的引诱平台是Moodle。

到目前为止，2020年遇到的最常见攻击是下载程序和广告软件，占注册感染尝试总数的98.77%。在2020年以流行网络课程平台为幌子传播的攻击中，登记的尝试感染次数最多的国家是俄罗斯（21%），其次是德国（21.25）。

在线教育平台/视频会议应用程序的网络钓鱼风险

网络钓鱼是教育机构中最古老，最流行的一种攻击形式，这并不奇怪。实际上，在攻击者将攻击目标转向远程教育后，大量流行网站（如Google Classroom和Zoom）的钓鱼网站开始出现。从4月底到6月中旬，Check Point Research发现已注册了2449个与Zoom相关的域，其中32个是恶意域，而320个是“可疑”域。可疑域还注册了Microsoft Teams和Google Meet。登陆这些网络钓鱼页面的用户通常被诱骗点击下载恶意程序的URL，或者可能被诱骗输入其登录凭据，这会将这些凭据泄露给攻击者。

这些攻击者甚至可能在访问攻击目标的帐户后，甚至可以将用户的登录凭据用于各种恶意目的，比如发起垃圾邮件或网络钓鱼攻击，由于人们经常重复使用密码而获得对其他帐户的访问权限，或者收集更多个人身份信息以用于将来的攻击或试图窃取资金。

大多数大学还拥有自己的平台，学生和教职员工可以登录该平台访问重要资源和各种学术服务。去年春天，一些攻击者甚至通过为各自的学术登录页面创建钓鱼页面来针对特定的大学。

除了假冒网页外，网络攻击者还发送了越来越多的与这些平台相关的网络钓鱼电子邮件。这些用户告诉用户他们错过了会议，课程被取消或是时候激活他们的帐户了。当然，如果他们打开电子邮件并点击任何链接，就有可能下载各种恶意软件。

在线教育平台的网络攻击

传播伪装成流行的视频会议应用程序和在线课程平台的攻击的常见方法是将恶意程序嵌入在合法的应用程序安装程序中。

用户可以通过多种方式碰到这些恶意安装程序，一种方法是通过网络钓鱼网站伪装成看起来像合法平台的网站，如上所述。那些无意中进入错误页面的用户在试图下载他们认为是真正的应用程序时，就会受到恶意软件或广告软件的攻击。另一种常见的方式是通过网络钓鱼邮件伪装成特别优惠或来自平台的通知。如果用户点击电子邮件中的链接，那么他们就有下载不需要的文件的风险。

从2019年1月到2019年6月，通过本报告的方法部分指定的平台传播的各种攻击的唯一身份用户数量为820。

2019年1月至6月（伪装成流行的在线教育/视频会议平台）遇到各种攻击的独特用户数量

最受欢迎的诱饵是Moodle，其中Blackboard和Zoom其次。

但是，到2020年，由于流行的在线教育平台而变相遭受各种攻击的用户总数跃升至168550，增长了20455%。

2020年1月-6月，伪装成流行的在线教育/视频会议平台的独特用户数量受到各种攻击的攻击

Zoom是最常被用作诱饵的平台，有99.5%的用户遇到了以其名称伪装的各种攻击。考虑到Zoom成为了首选的视频会议平台，这不足为奇。到2020年2月，该平台的新增用户（222万）比其在2019年全年（199万）要多。截至4月30日，该公司声称每天有3亿人参加会议。鉴于其非常受欢迎，因此将其作为恶意攻击者的首选目标是合乎逻辑的。而且，由于有数百万用户希望下载该应用程序，其中至少有一部分会遇到假冒的安装程序或安装文件。

仔细研究2020年攻击趋势

遇到的攻击类型：

2020年1月至6月，用户伪装成流行的在线教育/视频会议平台，构成不同类型攻击的百分比分布

到目前为止，以合法的视频会议/在线教育平台为幌子传播的最常见攻击不是病毒（99%）。非病毒文件通常分为两类：风险软件和广告软件。广告软件会用不需要的广告轰炸用户，而风险软件则包含各种文件（从浏览器栏和下载管理器到远程管理工具），这些文件可能在未经用户许可的情况下对用户的计算机执行各种操作。

大约1%的感染尝试来自各种特洛伊木马家族，恶意文件使网络攻击者能够执行从删除和阻止数据到中断计算机性能的所有操作。遇到的某些特洛伊木马程序是密码窃取程序，旨在窃取用户的凭据，而其他的则是投递程序和下载程序，两者都可以在用户的设备上提供进一步的恶意程序。

遇到的其他攻击是后门，使攻击者可以远程控制设备并执行任意数量的任务。利用漏洞，利用操作系统或应用程序中的漏洞来获得未经授权的访问/使用。

登记感染尝试次数最多的五个国家如下：

对于以流行的在线教育/视频会议平台为幌子传播的攻击，俄罗斯感染用户的尝试次数最多（70.94%），其次是德国（21.25%）。两国都于3月中旬关闭了学校，使远程教育成为数百万师生的唯一选择。此外，视频会议在德国已变得非常流行，超过一半的德国人定期将其用作工作或上课。考虑到Zoom在全球范围内的普遍流行，很大一部分德国人最有可能使用该平台。

DDoS攻击

4月，一所土耳其大学在考试中遭到DDoS攻击后被迫完全离线40分钟。 6月，在DDoS攻击影响了其在线测试平台之后，美国东北的一所主要大学的考试也发生了中断问题。这只是在学校被迫过渡到紧急远程教育后开始出现的更大趋势的两个例子：针对教育部门的DDoS攻击的增加。

总体而言，与2019年第一季度相比，2020年第一季度全球DDoS攻击总数增加了80%。其中很大一部分归因于针对远程电子教育服务的攻击数量的增加。

影响教育资源的DDoS攻击总数的百分比：2019年第一季度与2020年第一季度的比较

与2019年第一季度相比，在2020年第二季度的每个月中（除三月份外），影响所有教育资源的DDoS攻击所占百分比稳步上升。从2020年1月到2020年6月发生的DDoS攻击总数来看，影响教育资源的DDoS攻击数量与2019年同期相比增加了至少350%。

总结

首先，新冠疫情尚未结束。许多学生至少还有很长一段时间要进行虚拟教育，而一些决定开学的学校已经决定只恢复在线课程。即使大流行确实结束了，大多数人也同意在线教育不会完全消失。实际上，甚至在新冠疫情流行之前，一些大学就已经开发了混合课程（线下体验和在线课程的结合）。越来越多的学术机构正在考虑将其作为未来教育计划的一种选择。

但是，只要在线教育继续变得越来越流行，网络攻击者就会试图利用这一事实为自己谋取利益，这意味着教育机构将继续面临越来越多的网络风险。
责编AJX