信息來源:FreeBuf
本文是對(duì)2016年上半年網(wǎng)絡(luò)安全威脅TOP6的回顧,對(duì)這方面有興趣的有朋友可以仔細(xì)看看。
無處不在的勒索軟件
勒索軟件是一種惡意軟件,感染后它會(huì)阻止你訪問文件系統(tǒng),以此來要挾你支付贖金。
而勒索軟件的類型大概有兩種:
加密型勒索軟件,它會(huì)運(yùn)用先進(jìn)的加密算法加密你的文件系統(tǒng),如果你想要獲得解密密鑰,你就需要支付相應(yīng)的金錢。
鎖定型勒索軟件,它會(huì)鎖定你的操作系統(tǒng),這樣你根本沒法訪問任何應(yīng)用程序或者文件,也就是說不付錢壓根就沒法訪問系統(tǒng)了。
這類的軟件通常要求使用比特幣支付,要是你在一定的時(shí)間內(nèi)沒有進(jìn)行支付,它會(huì)自動(dòng)將贖金加倍。而且在你支付之前,這個(gè)循環(huán)會(huì)無限滾雪球下去。
下面是一個(gè)簡(jiǎn)單的勒索軟件感染鏈:
雖然這并不是一個(gè)新興威脅,但卻是影響力最大的威脅。這種攻擊的強(qiáng)度和頻率會(huì)持續(xù)增加,而它給受害者造成的損失也會(huì)一路狂飆。
下面是部分?jǐn)?shù)據(jù)統(tǒng)計(jì):
“勒索軟件受害者的數(shù)量在上升,在2015年4月到2016年3月之間有大概718536位受害者,這相當(dāng)于2014-2015年同期的5.5倍?!?/span>
(參考來源:ITSecurityGuru)
當(dāng)然,我們不可能知道勒索軟件攻擊的準(zhǔn)確數(shù)量,或者列出所有勒索軟件的類型,因?yàn)榇蠖鄶?shù)攻擊是沒有被報(bào)道出來的。
但我們所知道的是,勒索軟件的創(chuàng)造者們正向著更大的目標(biāo)前進(jìn),比如開始攻擊企業(yè)和公共機(jī)構(gòu)組織。
沒錯(cuò),他們這樣做當(dāng)然是為了錢。只有從普通家庭用戶轉(zhuǎn)移到更高的目標(biāo),才能掙到更多的錢。勒索軟件的創(chuàng)造者們對(duì)待這些軟件,就像對(duì)待正常的產(chǎn)品一樣用心。
醫(yī)療行業(yè)是勒索軟件在世界范圍內(nèi)最投入的行業(yè),這占了第二季度勒索軟件統(tǒng)計(jì)總量的88%(參考來源:DarkReading)。
今年醫(yī)療行業(yè)的首次大型攻擊,是那場(chǎng)Hollywood Presbyterian醫(yī)療中心的案件。他們的系統(tǒng)在感染了勒索軟件后,不得不在工作中暫時(shí)使用普通紙張進(jìn)行辦公。在十天后,醫(yī)院實(shí)在沒辦法還是支付了贖金,這才拿回了對(duì)系統(tǒng)和病人數(shù)據(jù)庫(kù)的訪問權(quán)。
當(dāng)然,這只是許多次攻擊的其中一場(chǎng)。我們建議您平時(shí)備份好所有的重要數(shù)據(jù),使用云服務(wù)儲(chǔ)存您的重要文件。這樣,即使您的系統(tǒng)感染了勒索軟件,也不會(huì)失去太多有價(jià)值的數(shù)據(jù)。
FreeBuf擴(kuò)展閱讀:
什么是勒索軟件,15個(gè)簡(jiǎn)單步奏保護(hù)您系統(tǒng)的安全
為什么醫(yī)院是勒索軟件的理想目標(biāo)
Motherboard:勒索軟件一年獲利150萬美元
大型數(shù)據(jù)泄露
今年春天是大型數(shù)據(jù)泄露事件的多發(fā)期,LinkedIn, MySpace, Tumblr幾家大公司的數(shù)據(jù),大約有5億已經(jīng)在暗網(wǎng)兜售。
LinkedIn是第一個(gè)被黑的社交網(wǎng)絡(luò),這件事發(fā)生在2012年,當(dāng)時(shí)泄露了大約有650萬賬戶(官方說法)。
然而泄露的庫(kù)在暗網(wǎng)出售時(shí),真實(shí)數(shù)目至少是上面數(shù)字的25倍(1.67億)。
更多在售的數(shù)據(jù):
MySpace:3.6億賬戶
Tumblr:6500萬賬戶
Fling(一個(gè)約會(huì)型社交網(wǎng)絡(luò)):4000萬賬戶
當(dāng)然,黑客也會(huì)利用賬戶密碼去其他大型網(wǎng)站撞庫(kù),從而獲得更多的受益,畢竟不少普通人采用的是相同的賬戶密碼的。
即使是Facebook老總扎克伯格也沒能幸免,他LinkedIn的密碼與其他賬戶相同,黑客利用密碼進(jìn)入了他的Twitter、interest和Instagram賬戶。
當(dāng)然,還有Katy Perry、Drake、ana del Rey等社會(huì)名流的賬戶也被黑了。
此外,Twitter的CEO Jack Dorsey、 Google的CEO undar Pichai、Oculus VR的聯(lián)合創(chuàng)始人Brendan Iribe,他們的Twitter賬戶也慘遭黑手。
所以,在某個(gè)在線服務(wù)網(wǎng)站淪陷后,你需要盡快更改你的密碼,并確保口令足夠強(qiáng)勁且未重復(fù)。
這里有50多個(gè)網(wǎng)絡(luò)安全博客的列表清單,你可以關(guān)注一下。
同時(shí),社交網(wǎng)絡(luò)不是唯一的突破口,下面是世界上最大的數(shù)據(jù)泄露事件統(tǒng)計(jì)圖:
今年我們也經(jīng)歷了以下的大事件:
菲律賓選舉記錄數(shù)據(jù)泄露
維基解密泄露美國(guó)民主黨通信和錄音以及email
土耳其Erdogan的郵件泄露
美國(guó)政府宣布自2009年來,約1.21億人的健康信息被黑客竊取
這里還有一些來自最新的Verizon數(shù)據(jù)泄露行業(yè)報(bào)告的統(tǒng)計(jì):
在93%的攻擊里,黑客花費(fèi)很少的時(shí)間就攻陷了系統(tǒng)
五個(gè)受害者里有四個(gè)人,會(huì)在事件發(fā)生后很久才意識(shí)到被攻擊了
在7%案例中,可能數(shù)據(jù)泄露后一年之內(nèi)都不會(huì)被發(fā)現(xiàn)
63%的數(shù)據(jù)泄露可能是由于弱口令
這里有一些資源,可以幫助你做好安全工作:
第一步:如同安全專家一樣,學(xué)習(xí)如何管理你的認(rèn)證信息
第二步:盡可能使用雙因子認(rèn)證
第三步:避免曾經(jīng)泄露的數(shù)據(jù)帶來的二次危害
Motherboard也給出了圖表,向大家展示越來越多的數(shù)據(jù)泄露事件:
身份認(rèn)證盜竊依然嚴(yán)重
當(dāng)黑客竊取了你的數(shù)據(jù),他們會(huì)利用它做一些金融方面的惡意操作。比如,他們會(huì)開設(shè)新的銀行賬戶,以你的名義取出貸款,毀掉信用卡和信用評(píng)級(jí)等等。
除了可能給你造成經(jīng)濟(jì)損失外,還會(huì)導(dǎo)致其他額外的后果。比如有一天,你可能莫名其妙就幫人背了一系列犯罪的指控。
大部分的身份認(rèn)證盜竊的受害者,其實(shí)并不知道當(dāng)初發(fā)生了什么。
最近的統(tǒng)計(jì)結(jié)果表明:
大約有70%的受害者,其實(shí)并不知道黑客是如何獲取他們的信息的
92%的受害者甚至不知道被竊取了個(gè)人信息
(來源:IdentityForce)
這些是由于黑客們大多都能很耐心地潛伏等待,直到獲取合適信息的時(shí)機(jī)。
當(dāng)然,你可能會(huì)產(chǎn)生一種錯(cuò)覺,覺得這些身份盜竊事件不會(huì)影響到你,但其實(shí)它是最嚴(yán)重的欺詐行為之一。
這里還有更令人頭疼的統(tǒng)計(jì)數(shù)據(jù):
在2015年,身份盜竊成為了第二熱門的欺詐類型,比之2014年增加了47%以上,而在2016年這個(gè)數(shù)字應(yīng)該還會(huì)上升。
(參考來源:聯(lián)邦貿(mào)易委員會(huì)的年度報(bào)告)。
在美國(guó),每年大概有1200萬左右的身份欺詐受害者,總經(jīng)濟(jì)損失約263.5億美元(來源:StatisticBrain)。
你可以從我們的安全指導(dǎo)中,找出確保自身信息安全的方法:
簡(jiǎn)單20步避免身份信息失竊
移動(dòng)安全
大家可能知道,今年媒體的熱門話題之一,便是FBI和蘋果公司的解鎖撕逼大戰(zhàn)。
讓我們回顧下這件事:
FBI想要獲得San Bernardino射擊案件中某嫌疑人的iphone控制權(quán),所以聯(lián)邦法官要求蘋果公司提供工具幫助他們解鎖手機(jī),但蘋果拒絕了。
在蘋果公司的一封公開信中,庫(kù)克表示,他們未曾在系統(tǒng)中插入后門,只因?yàn)楹ε逻@會(huì)成為不法之徒的利器。
當(dāng)然,F(xiàn)BI最終發(fā)現(xiàn)了另一種方法來突破該手機(jī),這個(gè)案件后來被駁回了。
當(dāng)然,我這里不會(huì)過分強(qiáng)調(diào)這些東西,相信大家都很清楚智能手機(jī)安全的重要性。
手機(jī)這種便攜設(shè)備占用了我們大部分時(shí)間,而且正在變得越來越強(qiáng)大,我們也越來越依賴它們。
在未來,我們希望看到更多類似于FBI和蘋果的安全討論大戰(zhàn),然而我們需要思考:
我們應(yīng)該怎樣在隱私和安全之間畫一條線?
我們應(yīng)該如何實(shí)現(xiàn)隱私安全之間的平衡?
如果黑客打算進(jìn)入我們加密的系統(tǒng),訪問我們的隱私數(shù)據(jù),我們應(yīng)該如何應(yīng)對(duì)?
那么,如何保持我們的智能手機(jī)安全呢?這里是智能手機(jī)安全指南:
最簡(jiǎn)單的保持手機(jī)和數(shù)據(jù)安全的方式
物聯(lián)網(wǎng)
物聯(lián)網(wǎng)的威脅來得比以前任何時(shí)候都真切,這不僅是關(guān)乎到我們的隱私,也關(guān)系到我們的物理安全。
想象一下這樣的情形:
竊賊正在想法子從你家里打開一個(gè)突破口,而你家的智能家居系統(tǒng)其實(shí)并不符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)
你在開車時(shí),可能會(huì)失去車子的控制然后出現(xiàn)意外,因?yàn)?/span>智能汽車也會(huì)被黑
國(guó)家的發(fā)電廠也可能受到網(wǎng)絡(luò)攻擊
恐怖分子可能會(huì)控制你所在的火車
不幸的是,這些事件都是可能發(fā)生的,而且它們已經(jīng)影響到了我們的生活。如果真的會(huì)因此發(fā)生一場(chǎng)大災(zāi)難,也只是時(shí)間問題。
現(xiàn)在產(chǎn)品供應(yīng)商不得不尋求安全性和數(shù)據(jù)隱私之間的完美平衡,盡管現(xiàn)在技術(shù)已經(jīng)有了進(jìn)步,我們也無法想象幾年前物聯(lián)網(wǎng)安全的窘?jīng)r。
相關(guān)閱讀:
物聯(lián)網(wǎng)會(huì)導(dǎo)致有史以來最大的網(wǎng)絡(luò)災(zāi)害
歡迎來到隱私地獄:物聯(lián)網(wǎng)
增強(qiáng)現(xiàn)實(shí)游戲(AR)
現(xiàn)如今口袋妖怪(Pokemon Go)已經(jīng)成為世界性的流行寵兒,我們也開始意識(shí)到增強(qiáng)現(xiàn)實(shí)游戲會(huì)給我們帶來的新興威脅。
我們當(dāng)前的技術(shù)是先進(jìn)而讓人欣慰的,但游戲的創(chuàng)造者和國(guó)家當(dāng)局必須解決新出現(xiàn)的安全問題。
首先,是關(guān)于物理安全方面的問題。我們肯定都聽過那些受傷、搶劫和自殺的案例。他們太沉迷于增強(qiáng)現(xiàn)實(shí)這塊兒,卻不太關(guān)注真實(shí)的世界。
還有就是在真實(shí)世界中,有關(guān)網(wǎng)絡(luò)安全和隱私問題。大家想想,如果咱們都玩這類游戲,我們智能手機(jī)中的圖像和音頻、定位跟蹤和其他信息肯定會(huì)因此泄露。
如果這些數(shù)據(jù)最終落入了不法之徒的手中會(huì)怎么樣?
拓展閱讀:
新興增強(qiáng)現(xiàn)實(shí)游戲帶來的威脅
美國(guó)中情局、海外國(guó)家和數(shù)據(jù)安全專家對(duì)于Pokemon Go的風(fēng)險(xiǎn)分析
增強(qiáng)現(xiàn)實(shí)和網(wǎng)絡(luò)安全的未來
結(jié)論
雖然可能有些多余,但是我必須重復(fù)一下上面所述的要點(diǎn),保證大家有自我安全保護(hù)的意識(shí):
了解網(wǎng)絡(luò)安全的新聞
對(duì)于新的技術(shù),大家可以嘗試,但也需要知道它存在的潛在威脅
任何時(shí)候都需要設(shè)身處地,想象可能發(fā)生的事和應(yīng)對(duì)方法
采取所有可能的措施,減少網(wǎng)絡(luò)攻擊帶來的危害
不要任何威脅讓你措手不及
*參考來源:HS,F(xiàn)B小編dawner編譯,轉(zhuǎn)載請(qǐng)注明來自FreeBuf(FreeBuf.COM)