安全動(dòng)態(tài)

2016年中回顧:網(wǎng)絡(luò)安全威脅TOP6分析報(bào)告

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-08-12    瀏覽次數(shù):
 

信息來源:FreeBuf


LOGO.png

本文是對(duì)2016年上半年網(wǎng)絡(luò)安全威脅TOP6的回顧,對(duì)這方面有興趣的有朋友可以仔細(xì)看看。

無處不在的勒索軟件

勒索軟件是一種惡意軟件,感染后它會(huì)阻止你訪問文件系統(tǒng),以此來要挾你支付贖金。

而勒索軟件的類型大概有兩種:

加密型勒索軟件,它會(huì)運(yùn)用先進(jìn)的加密算法加密你的文件系統(tǒng),如果你想要獲得解密密鑰,你就需要支付相應(yīng)的金錢。

鎖定型勒索軟件,它會(huì)鎖定你的操作系統(tǒng),這樣你根本沒法訪問任何應(yīng)用程序或者文件,也就是說不付錢壓根就沒法訪問系統(tǒng)了。

這類的軟件通常要求使用比特幣支付,要是你在一定的時(shí)間內(nèi)沒有進(jìn)行支付,它會(huì)自動(dòng)將贖金加倍。而且在你支付之前,這個(gè)循環(huán)會(huì)無限滾雪球下去。

下面是一個(gè)簡(jiǎn)單的勒索軟件感染鏈:

 1.jpg

雖然這并不是一個(gè)新興威脅,但卻是影響力最大的威脅。這種攻擊的強(qiáng)度和頻率會(huì)持續(xù)增加,而它給受害者造成的損失也會(huì)一路狂飆。

下面是部分?jǐn)?shù)據(jù)統(tǒng)計(jì):

“勒索軟件受害者的數(shù)量在上升,在2015年4月到2016年3月之間有大概718536位受害者,這相當(dāng)于2014-2015年同期的5.5倍?!?/span>

(參考來源:ITSecurityGuru

當(dāng)然,我們不可能知道勒索軟件攻擊的準(zhǔn)確數(shù)量,或者列出所有勒索軟件的類型,因?yàn)榇蠖鄶?shù)攻擊是沒有被報(bào)道出來的。

但我們所知道的是,勒索軟件的創(chuàng)造者們正向著更大的目標(biāo)前進(jìn),比如開始攻擊企業(yè)和公共機(jī)構(gòu)組織。

沒錯(cuò),他們這樣做當(dāng)然是為了錢。只有從普通家庭用戶轉(zhuǎn)移到更高的目標(biāo),才能掙到更多的錢。勒索軟件的創(chuàng)造者們對(duì)待這些軟件,就像對(duì)待正常的產(chǎn)品一樣用心。

 2.jpg

醫(yī)療行業(yè)是勒索軟件在世界范圍內(nèi)最投入的行業(yè),這占了第二季度勒索軟件統(tǒng)計(jì)總量的88%(參考來源:DarkReading)。

今年醫(yī)療行業(yè)的首次大型攻擊,是那場(chǎng)Hollywood Presbyterian醫(yī)療中心的案件。他們的系統(tǒng)在感染了勒索軟件后,不得不在工作中暫時(shí)使用普通紙張進(jìn)行辦公。在十天后,醫(yī)院實(shí)在沒辦法還是支付了贖金,這才拿回了對(duì)系統(tǒng)和病人數(shù)據(jù)庫(kù)的訪問權(quán)。

當(dāng)然,這只是許多次攻擊的其中一場(chǎng)。我們建議您平時(shí)備份好所有的重要數(shù)據(jù),使用云服務(wù)儲(chǔ)存您的重要文件。這樣,即使您的系統(tǒng)感染了勒索軟件,也不會(huì)失去太多有價(jià)值的數(shù)據(jù)。

FreeBuf擴(kuò)展閱讀:

什么是勒索軟件,15個(gè)簡(jiǎn)單步奏保護(hù)您系統(tǒng)的安全

為什么醫(yī)院是勒索軟件的理想目標(biāo)

Motherboard:勒索軟件一年獲利150萬美元

3.jpg

大型數(shù)據(jù)泄露

今年春天是大型數(shù)據(jù)泄露事件的多發(fā)期,LinkedIn, MySpace, Tumblr幾家大公司的數(shù)據(jù),大約有5億已經(jīng)在暗網(wǎng)兜售。

LinkedIn是第一個(gè)被黑的社交網(wǎng)絡(luò),這件事發(fā)生在2012年,當(dāng)時(shí)泄露了大約有650萬賬戶(官方說法)。

然而泄露的庫(kù)在暗網(wǎng)出售時(shí),真實(shí)數(shù)目至少是上面數(shù)字的25倍(1.67億)。

更多在售的數(shù)據(jù):

MySpace:3.6億賬戶

Tumblr:6500萬賬戶

Fling(一個(gè)約會(huì)型社交網(wǎng)絡(luò)):4000萬賬戶

當(dāng)然,黑客也會(huì)利用賬戶密碼去其他大型網(wǎng)站撞庫(kù),從而獲得更多的受益,畢竟不少普通人采用的是相同的賬戶密碼的。

即使是Facebook老總扎克伯格也沒能幸免,他LinkedIn的密碼與其他賬戶相同,黑客利用密碼進(jìn)入了他的Twitter、interest和Instagram賬戶。

當(dāng)然,還有Katy Perry、Drake、ana del Rey等社會(huì)名流的賬戶也被黑了。

此外,Twitter的CEO Jack Dorsey、 Google的CEO undar Pichai、Oculus VR的聯(lián)合創(chuàng)始人Brendan Iribe,他們的Twitter賬戶也慘遭黑手。

tmp.jpg

所以,在某個(gè)在線服務(wù)網(wǎng)站淪陷后,你需要盡快更改你的密碼,并確保口令足夠強(qiáng)勁且未重復(fù)。

這里有50多個(gè)網(wǎng)絡(luò)安全博客的列表清單,你可以關(guān)注一下

同時(shí),社交網(wǎng)絡(luò)不是唯一的突破口,下面是世界上最大的數(shù)據(jù)泄露事件統(tǒng)計(jì)圖:

 4.jpg

今年我們也經(jīng)歷了以下的大事件:

菲律賓選舉記錄數(shù)據(jù)泄露

維基解密泄露美國(guó)民主黨通信和錄音以及email

土耳其Erdogan的郵件泄露

美國(guó)政府宣布自2009年來,約1.21億人的健康信息被黑客竊取

 這里還有一些來自最新的Verizon數(shù)據(jù)泄露行業(yè)報(bào)告的統(tǒng)計(jì):

在93%的攻擊里,黑客花費(fèi)很少的時(shí)間就攻陷了系統(tǒng)

五個(gè)受害者里有四個(gè)人,會(huì)在事件發(fā)生后很久才意識(shí)到被攻擊了

在7%案例中,可能數(shù)據(jù)泄露后一年之內(nèi)都不會(huì)被發(fā)現(xiàn)

63%的數(shù)據(jù)泄露可能是由于弱口令

 這里有一些資源,可以幫助你做好安全工作:

第一步:如同安全專家一樣,學(xué)習(xí)如何管理你的認(rèn)證信息

第二步:盡可能使用雙因子認(rèn)證

第三步:避免曾經(jīng)泄露的數(shù)據(jù)帶來的二次危害

Motherboard也給出了圖表,向大家展示越來越多的數(shù)據(jù)泄露事件:

5.jpg

身份認(rèn)證盜竊依然嚴(yán)重

當(dāng)黑客竊取了你的數(shù)據(jù),他們會(huì)利用它做一些金融方面的惡意操作。比如,他們會(huì)開設(shè)新的銀行賬戶,以你的名義取出貸款,毀掉信用卡和信用評(píng)級(jí)等等。

除了可能給你造成經(jīng)濟(jì)損失外,還會(huì)導(dǎo)致其他額外的后果。比如有一天,你可能莫名其妙就幫人背了一系列犯罪的指控。

大部分的身份認(rèn)證盜竊的受害者,其實(shí)并不知道當(dāng)初發(fā)生了什么。

tt.png

最近的統(tǒng)計(jì)結(jié)果表明:

大約有70%的受害者,其實(shí)并不知道黑客是如何獲取他們的信息的

92%的受害者甚至不知道被竊取了個(gè)人信息

(來源:IdentityForce

這些是由于黑客們大多都能很耐心地潛伏等待,直到獲取合適信息的時(shí)機(jī)。

當(dāng)然,你可能會(huì)產(chǎn)生一種錯(cuò)覺,覺得這些身份盜竊事件不會(huì)影響到你,但其實(shí)它是最嚴(yán)重的欺詐行為之一。

這里還有更令人頭疼的統(tǒng)計(jì)數(shù)據(jù):

在2015年,身份盜竊成為了第二熱門的欺詐類型,比之2014年增加了47%以上,而在2016年這個(gè)數(shù)字應(yīng)該還會(huì)上升。

(參考來源:聯(lián)邦貿(mào)易委員會(huì)的年度報(bào)告)。

在美國(guó),每年大概有1200萬左右的身份欺詐受害者,總經(jīng)濟(jì)損失約263.5億美元(來源:StatisticBrain)。

你可以從我們的安全指導(dǎo)中,找出確保自身信息安全的方法:

簡(jiǎn)單20步避免身份信息失竊

 7.jpg

移動(dòng)安全

大家可能知道,今年媒體的熱門話題之一,便是FBI和蘋果公司的解鎖撕逼大戰(zhàn)。

讓我們回顧下這件事:

FBI想要獲得San Bernardino射擊案件中某嫌疑人的iphone控制權(quán),所以聯(lián)邦法官要求蘋果公司提供工具幫助他們解鎖手機(jī),但蘋果拒絕了。

在蘋果公司的一封公開信中,庫(kù)克表示,他們未曾在系統(tǒng)中插入后門,只因?yàn)楹ε逻@會(huì)成為不法之徒的利器。

當(dāng)然,F(xiàn)BI最終發(fā)現(xiàn)了另一種方法來突破該手機(jī),這個(gè)案件后來被駁回了。

當(dāng)然,我這里不會(huì)過分強(qiáng)調(diào)這些東西,相信大家都很清楚智能手機(jī)安全的重要性。

手機(jī)這種便攜設(shè)備占用了我們大部分時(shí)間,而且正在變得越來越強(qiáng)大,我們也越來越依賴它們。

 8.jpg

在未來,我們希望看到更多類似于FBI和蘋果的安全討論大戰(zhàn),然而我們需要思考:

我們應(yīng)該怎樣在隱私和安全之間畫一條線?

我們應(yīng)該如何實(shí)現(xiàn)隱私安全之間的平衡?

如果黑客打算進(jìn)入我們加密的系統(tǒng),訪問我們的隱私數(shù)據(jù),我們應(yīng)該如何應(yīng)對(duì)?

那么,如何保持我們的智能手機(jī)安全呢?這里是智能手機(jī)安全指南:

最簡(jiǎn)單的保持手機(jī)和數(shù)據(jù)安全的方式

物聯(lián)網(wǎng)

物聯(lián)網(wǎng)的威脅來得比以前任何時(shí)候都真切,這不僅是關(guān)乎到我們的隱私,也關(guān)系到我們的物理安全。

想象一下這樣的情形:

竊賊正在想法子從你家里打開一個(gè)突破口,而你家的智能家居系統(tǒng)其實(shí)并不符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

你在開車時(shí),可能會(huì)失去車子的控制然后出現(xiàn)意外,因?yàn)?/span>智能汽車也會(huì)被黑

國(guó)家的發(fā)電廠也可能受到網(wǎng)絡(luò)攻擊

恐怖分子可能會(huì)控制你所在的火車

9.jpg

不幸的是,這些事件都是可能發(fā)生的,而且它們已經(jīng)影響到了我們的生活。如果真的會(huì)因此發(fā)生一場(chǎng)大災(zāi)難,也只是時(shí)間問題。

現(xiàn)在產(chǎn)品供應(yīng)商不得不尋求安全性和數(shù)據(jù)隱私之間的完美平衡,盡管現(xiàn)在技術(shù)已經(jīng)有了進(jìn)步,我們也無法想象幾年前物聯(lián)網(wǎng)安全的窘?jīng)r。

相關(guān)閱讀:

物聯(lián)網(wǎng)會(huì)導(dǎo)致有史以來最大的網(wǎng)絡(luò)災(zāi)害

歡迎來到隱私地獄:物聯(lián)網(wǎng)

`0.jpg

增強(qiáng)現(xiàn)實(shí)游戲(AR)

現(xiàn)如今口袋妖怪(Pokemon Go)已經(jīng)成為世界性的流行寵兒,我們也開始意識(shí)到增強(qiáng)現(xiàn)實(shí)游戲會(huì)給我們帶來的新興威脅。

我們當(dāng)前的技術(shù)是先進(jìn)而讓人欣慰的,但游戲的創(chuàng)造者和國(guó)家當(dāng)局必須解決新出現(xiàn)的安全問題。

首先,是關(guān)于物理安全方面的問題。我們肯定都聽過那些受傷、搶劫和自殺的案例。他們太沉迷于增強(qiáng)現(xiàn)實(shí)這塊兒,卻不太關(guān)注真實(shí)的世界。

還有就是在真實(shí)世界中,有關(guān)網(wǎng)絡(luò)安全和隱私問題。大家想想,如果咱們都玩這類游戲,我們智能手機(jī)中的圖像和音頻、定位跟蹤和其他信息肯定會(huì)因此泄露。

如果這些數(shù)據(jù)最終落入了不法之徒的手中會(huì)怎么樣?

拓展閱讀:

新興增強(qiáng)現(xiàn)實(shí)游戲帶來的威脅

美國(guó)中情局、海外國(guó)家和數(shù)據(jù)安全專家對(duì)于Pokemon Go的風(fēng)險(xiǎn)分析

增強(qiáng)現(xiàn)實(shí)和網(wǎng)絡(luò)安全的未來

結(jié)論

雖然可能有些多余,但是我必須重復(fù)一下上面所述的要點(diǎn),保證大家有自我安全保護(hù)的意識(shí):

了解網(wǎng)絡(luò)安全的新聞

對(duì)于新的技術(shù),大家可以嘗試,但也需要知道它存在的潛在威脅

任何時(shí)候都需要設(shè)身處地,想象可能發(fā)生的事和應(yīng)對(duì)方法

采取所有可能的措施,減少網(wǎng)絡(luò)攻擊帶來的危害

不要任何威脅讓你措手不及

 *參考來源:HS,F(xiàn)B小編dawner編譯,轉(zhuǎn)載請(qǐng)注明來自FreeBuf(FreeBuf.COM)

 
 

上一篇:虛擬化架構(gòu):誰說移動(dòng)時(shí)代魚和熊掌不可兼得

下一篇:2016年08月12日 聚銘安全速遞