釣魚只是犯罪組織盜取敏感資料或加密資產的眾多方式之一。
社會工程攻擊和駭客攻擊的區別
社會工程攻擊是基於對目標受害者的心理操縱,誘騙無知的受害者洩露其資訊或進行加密資產轉賬。
社會工程不會直接攻擊安全系統、硬體或任何技術部分。它的目標是整個鏈條中最薄弱的部分 – 作為使用者的我們,透過欺騙和操縱讓受害者自願向攻擊者洩露敏感資料。
而駭客攻擊則是完全以安全性的另一組成部分為目標,即直接攻擊硬體、基礎設施或安全元件,從而找出或製造可利用的漏洞。兩種攻擊者的目標不同,而目前最常見的攻擊一般透過奪取裝置或系統控制權以及盜取憑證以獲得經濟利益。
現在,讓我們來了解最常見的五種社會工程和駭客攻擊 – 以及我們都會犯的一種錯誤。
勒索軟體
這種惡意軟體會感染你的電腦,甚至危及你的資料安全,除非你交付贖金。具體情形根據不同勒索軟體會有所不同。
恫嚇軟體是最原始的攻擊型別。當你的電腦或瀏覽器開啟惡意指令碼或軟體,就會顯示警告資訊,試圖威脅你下載某個檔案,為某一產品付費,或聯絡冒充的支援團隊。透過高質量的網路防毒軟體即可輕鬆移除恫嚇軟體,不會對資料或裝置造成任何損傷。
螢幕鎖是另一種勒索軟體攻擊型別,也比恫嚇軟體更危險。螢幕鎖完全將你的裝置鎖定,並顯示一條以國家機構或預防犯罪組織名義釋出的資訊。巧得很,只要你付給他們加密資產,這些組織會很樂意給你的裝置解鎖。然而,向勒索軟體支付贖金不會洩露你的資料,但你的資料可能已經永久丟失了。
最糟糕的情況是遇到加密勒索軟體。攻擊者會對你的資料進行加密,並威脅如果不支付贖金,就要刪掉或公佈它們。臭名昭著的WannaCry勒索軟體讓加密資產揹負了許多負面形象 – 尤其是比特幣 – 因為他們要求受害者以比特幣支付贖金。WannaCry集團共收到327筆贖金,合計51.62 BTC。截至本文發稿,這筆款項的價值已超過50萬美元。
很多情況下,螢幕鎖和加密勒索軟體攻擊一旦控制了你的裝置,就無法移除,因此唯一的解決方案就是防患於未然。
下餌
正如其名,下餌指的是攻擊者透過回報承諾來引誘潛在受害者。這種方式線上線下都有。線下的下餌可以透過在顯眼地方放置的隨身碟或硬體錢包進行。一旦你把它連線到自己的裝置上,惡意軟體就會攻擊你的電腦。線上下餌則一般以回報誘人的廣告和競賽方式出現。
如果你發現一個Trezor硬體錢包,上面的名字標籤寫著“CZ的畢生BTC儲蓄”,那麼它大概率是假的。不要使用不屬於你的裝置,並對承諾高收益的廣告和產品保持謹慎。
語音釣魚
“Vishing”這個詞結合了“voice”(語音)和“phishing”(釣魚),即語音釣魚。這種新的攻擊型別正變得越來越常見,幾乎每天都會出現新的套路。這種攻擊的工具不是郵件、電話或資訊,而是網路電話服務(VoIP)。攻擊者透過電話告知你的銀行賬戶或銀行卡已被凍結,或是你預先批准的貸款已經可以放款,或是慈善組織需要你的捐款。攻擊者通常會冒充身份可信的人,例如銀行職員、討債人、客服人員,甚至是IRS等稅收機構。
如果對方聲稱自己是某某機構的人員,我們只需撥打該機構的官方號碼進行資訊查驗即可識別語音釣魚攻擊。根據經驗之談,如果你對類似電話產生懷疑,最好結束通話再重新撥打該機構官方網站所列的電話號碼。
幣安支援團隊不會透過電話聯絡你。請不要在電話中透露敏感資訊,因為無論你使用哪個運營商或任何品牌的手機,所有電話通話都不是完全私密的。
假冒
攻擊者的目的是透過一系列的謊言套取你的個人資訊。他們通常會冒充你認識或信任的權威機構人員,如警察、銀行職員等,然後透過創造一種緊急的氣氛誘導你透露個人資訊,或是要求你完成特定任務。
攻擊者們最常透過這種方式套取身份證號、銀行卡資訊、個人地址、電話號碼、助記詞,甚至是比特幣。為了避免成為受害者,請遵循應對語音釣魚的同一方法:透過其它渠道再次進行聯絡,驗證對方身份是否真實。
誘購
誘購的高發地是網站和搜尋引擎的信任環境中。在你進行搜尋後,惡意域名以正常的搜尋結果形式與其它合法的搜尋結果一同出現 – 有時以廣告形式出現。他們透過先進的搜尋引擎技術(SEO)和付費廣告冒充官方網站,並參與搜尋引擎結果排名。一旦你點選了這個看起來合法的連結,就接入了攻擊者的網站。
防範這種攻擊,你需要採取積極主動的態度。避免訪問名字奇特或帶有拼寫錯誤的網站。不要相信承諾的回報不切實際的廣告。運用你的常識,遇到吸引你注意力的連結,在點進去之前一定要慎重考慮。
彩蛋:憑證的重複使用
雖然這不是一種攻擊,但是一種值得注意的漏洞,因為它也經常被攻擊者所利用。重複使用登陸資訊是我們每個人過去都曾犯下的錯誤。我們都曾重複使用使用者名稱和密碼。如果你使用的不是獨一無二的憑證,一旦攻擊者從一個平臺盜取了你的資料,你的所有賬戶都將遭受風險。
讓我們遠離憑證重複使用。今天,我們有眾多免費、安全、開源的密碼管理工具可供選擇,我們可以透過它們在每一個使用的網站生成一個安全又唯一的密碼。
總結
我們還需要知道,並非所有駭客都是惡意的。密碼朋克、滲透性測試者和白帽駭客等是為了幫助個人和企業在數字時代保持安全的角色。加密資產領域有數千家加密資產和比特幣企業,以及許多個人和安全專家正努力為我們創造一個更安全的未來。
我們認為,人本身仍是整個鏈條中最薄弱的環節。每一個人都需要了解如何保護自身安全,並管理好個人資訊和財富。對於所有形式的攻擊,最好的防禦武器就是安全常識和防範意識。
讓我們一起,共同改善數字安全性。請與你的朋友分享我們的#StaySAFU安全行動計劃!
