信息来源:FreeBuf
本文是对2016年上半年网络安全威胁TOP6的回顾,对这方面有兴趣的有朋友可以仔细看看。
无处不在的勒索软件
勒索软件是一种恶意软件,感染后它会阻止你访问文件系统,以此来要挟你支付赎金。
而勒索软件的类型大概有两种:
加密型勒索软件,它会运用先进的加密算法加密你的文件系统,如果你想要获得解密密钥,你就需要支付相应的金钱。
锁定型勒索软件,它会锁定你的操作系统,这样你根本没法访问任何应用程序或者文件,也就是说不付钱压根就没法访问系统了。
这类的软件通常要求使用比特币支付,要是你在一定的时间内没有进行支付,它会自动将赎金加倍。而且在你支付之前,这个循环会无限滚雪球下去。
下面是一个简单的勒索软件感染链:
虽然这并不是一个新兴威胁,但却是影响力最大的威胁。这种攻击的强度和频率会持续增加,而它给受害者造成的损失也会一路狂飙。
下面是部分数据统计:
“勒索软件受害者的数量在上升,在2015年4月到2016年3月之间有大概718536位受害者,这相当于2014-2015年同期的5.5倍。”
(参考来源:ITSecurityGuru)
当然,我们不可能知道勒索软件攻击的准确数量,或者列出所有勒索软件的类型,因为大多数攻击是没有被报道出来的。
但我们所知道的是,勒索软件的创造者们正向着更大的目标前进,比如开始攻击企业和公共机构组织。
没错,他们这样做当然是为了钱。只有从普通家庭用户转移到更高的目标,才能挣到更多的钱。勒索软件的创造者们对待这些软件,就像对待正常的产品一样用心。
医疗行业是勒索软件在世界范围内最投入的行业,这占了第二季度勒索软件统计总量的88%(参考来源:DarkReading)。
今年医疗行业的首次大型攻击,是那场Hollywood Presbyterian医疗中心的案件。他们的系统在感染了勒索软件后,不得不在工作中暂时使用普通纸张进行办公。在十天后,医院实在没办法还是支付了赎金,这才拿回了对系统和病人数据库的访问权。
当然,这只是许多次攻击的其中一场。我们建议您平时备份好所有的重要数据,使用云服务储存您的重要文件。这样,即使您的系统感染了勒索软件,也不会失去太多有价值的数据。
FreeBuf扩展阅读:
什么是勒索软件,15个简单步奏保护您系统的安全
为什么医院是勒索软件的理想目标
Motherboard:勒索软件一年获利150万美元
大型数据泄露
今年春天是大型数据泄露事件的多发期,LinkedIn, MySpace, Tumblr几家大公司的数据,大约有5亿已经在暗网兜售。
LinkedIn是第一个被黑的社交网络,这件事发生在2012年,当时泄露了大约有650万账户(官方说法)。
然而泄露的库在暗网出售时,真实数目至少是上面数字的25倍(1.67亿)。
更多在售的数据:
MySpace:3.6亿账户
Tumblr:6500万账户
Fling(一个约会型社交网络):4000万账户
当然,黑客也会利用账户密码去其他大型网站撞库,从而获得更多的受益,毕竟不少普通人采用的是相同的账户密码的。
即使是Facebook老总扎克伯格也没能幸免,他LinkedIn的密码与其他账户相同,黑客利用密码进入了他的Twitter、interest和Instagram账户。
当然,还有Katy Perry、Drake、ana del Rey等社会名流的账户也被黑了。
此外,Twitter的CEO Jack Dorsey、 Google的CEO undar Pichai、Oculus VR的联合创始人Brendan Iribe,他们的Twitter账户也惨遭黑手。
所以,在某个在线服务网站沦陷后,你需要尽快更改你的密码,并确保口令足够强劲且未重复。
这里有50多个网络安全博客的列表清单,你可以关注一下。
同时,社交网络不是唯一的突破口,下面是世界上最大的数据泄露事件统计图:
今年我们也经历了以下的大事件:
菲律宾选举记录数据泄露
维基解密泄露美国民主党通信和录音以及email
土耳其Erdogan的邮件泄露
美国政府宣布自2009年来,约1.21亿人的健康信息被黑客窃取
这里还有一些来自最新的Verizon数据泄露行业报告的统计:
在93%的攻击里,黑客花费很少的时间就攻陷了系统
五个受害者里有四个人,会在事件发生后很久才意识到被攻击了
在7%案例中,可能数据泄露后一年之内都不会被发现
63%的数据泄露可能是由于弱口令
这里有一些资源,可以帮助你做好安全工作:
第一步:如同安全专家一样,学习如何管理你的认证信息
第二步:尽可能使用双因子认证
第三步:避免曾经泄露的数据带来的二次危害
Motherboard也给出了图表,向大家展示越来越多的数据泄露事件:
身份认证盗窃依然严重
当黑客窃取了你的数据,他们会利用它做一些金融方面的恶意操作。比如,他们会开设新的银行账户,以你的名义取出贷款,毁掉信用卡和信用评级等等。
除了可能给你造成经济损失外,还会导致其他额外的后果。比如有一天,你可能莫名其妙就帮人背了一系列犯罪的指控。
大部分的身份认证盗窃的受害者,其实并不知道当初发生了什么。
最近的统计结果表明:
大约有70%的受害者,其实并不知道黑客是如何获取他们的信息的
92%的受害者甚至不知道被窃取了个人信息
(来源:IdentityForce)
这些是由于黑客们大多都能很耐心地潜伏等待,直到获取合适信息的时机。
当然,你可能会产生一种错觉,觉得这些身份盗窃事件不会影响到你,但其实它是最严重的欺诈行为之一。
这里还有更令人头疼的统计数据:
在2015年,身份盗窃成为了第二热门的欺诈类型,比之2014年增加了47%以上,而在2016年这个数字应该还会上升。
(参考来源:联邦贸易委员会的年度报告)。
在美国,每年大概有1200万左右的身份欺诈受害者,总经济损失约263.5亿美元(来源:StatisticBrain)。
你可以从我们的安全指导中,找出确保自身信息安全的方法:
简单20步避免身份信息失窃
移动安全
大家可能知道,今年媒体的热门话题之一,便是FBI和苹果公司的解锁撕逼大战。
让我们回顾下这件事:
FBI想要获得San Bernardino射击案件中某嫌疑人的iphone控制权,所以联邦法官要求苹果公司提供工具帮助他们解锁手机,但苹果拒绝了。
在苹果公司的一封公开信中,库克表示,他们未曾在系统中插入后门,只因为害怕这会成为不法之徒的利器。
当然,FBI最终发现了另一种方法来突破该手机,这个案件后来被驳回了。
当然,我这里不会过分强调这些东西,相信大家都很清楚智能手机安全的重要性。
手机这种便携设备占用了我们大部分时间,而且正在变得越来越强大,我们也越来越依赖它们。
在未来,我们希望看到更多类似于FBI和苹果的安全讨论大战,然而我们需要思考:
我们应该怎样在隐私和安全之间画一条线?
我们应该如何实现隐私安全之间的平衡?
如果黑客打算进入我们加密的系统,访问我们的隐私数据,我们应该如何应对?
那么,如何保持我们的智能手机安全呢?这里是智能手机安全指南:
最简单的保持手机和数据安全的方式
物联网
物联网的威胁来得比以前任何时候都真切,这不仅是关乎到我们的隐私,也关系到我们的物理安全。
想象一下这样的情形:
窃贼正在想法子从你家里打开一个突破口,而你家的智能家居系统其实并不符合网络安全标准
你在开车时,可能会失去车子的控制然后出现意外,因为智能汽车也会被黑
国家的发电厂也可能受到网络攻击
恐怖分子可能会控制你所在的火车
不幸的是,这些事件都是可能发生的,而且它们已经影响到了我们的生活。如果真的会因此发生一场大灾难,也只是时间问题。
现在产品供应商不得不寻求安全性和数据隐私之间的完美平衡,尽管现在技术已经有了进步,我们也无法想象几年前物联网安全的窘况。
相关阅读:
物联网会导致有史以来最大的网络灾害
欢迎来到隐私地狱:物联网
增强现实游戏(AR)
现如今口袋妖怪(Pokemon Go)已经成为世界性的流行宠儿,我们也开始意识到增强现实游戏会给我们带来的新兴威胁。
我们当前的技术是先进而让人欣慰的,但游戏的创造者和国家当局必须解决新出现的安全问题。
首先,是关于物理安全方面的问题。我们肯定都听过那些受伤、抢劫和自杀的案例。他们太沉迷于增强现实这块儿,却不太关注真实的世界。
还有就是在真实世界中,有关网络安全和隐私问题。大家想想,如果咱们都玩这类游戏,我们智能手机中的图像和音频、定位跟踪和其他信息肯定会因此泄露。
如果这些数据最终落入了不法之徒的手中会怎么样?
拓展阅读:
新兴增强现实游戏带来的威胁
美国中情局、海外国家和数据安全专家对于Pokemon Go的风险分析
增强现实和网络安全的未来
结论
虽然可能有些多余,但是我必须重复一下上面所述的要点,保证大家有自我安全保护的意识:
了解网络安全的新闻
对于新的技术,大家可以尝试,但也需要知道它存在的潜在威胁
任何时候都需要设身处地,想象可能发生的事和应对方法
采取所有可能的措施,减少网络攻击带来的危害
不要任何威胁让你措手不及
*参考来源:HS,FB小编dawner编译,转载请注明来自FreeBuf(FreeBuf.COM)
