隨著對技術(shù)的依賴不斷增加,我們對技術(shù)的信任也在隨之增加。如今,我們習(xí)慣將自己的私人數(shù)據(jù)委托給各種在線平臺,如銀行賬戶、電子商務(wù)零售商、加密貨幣交易所和電子郵件服務(wù)提供商。但我們的隱私也繼續(xù)以各種形式處于危險(xiǎn)之中。那么,接下來,我們就來總結(jié)一下2022年威脅用戶隱私和安全的“罪魁禍?zhǔn)?rdquo;。
1. 間諜軟件
間諜軟件是一種惡意軟件,用于監(jiān)控受害者的活動(dòng),并訪問他們的私人數(shù)據(jù)。如果網(wǎng)絡(luò)犯罪分子成功地在受害者的設(shè)備上長期使用間諜軟件,那么他們就可以獲得數(shù)不盡的數(shù)據(jù)。
借助間諜軟件,威脅行為者可以記錄擊鍵信息,這意味著他們可以看到您鍵入的所有內(nèi)容,無論是搜索引擎輸入、文本消息還是支付信息。當(dāng)然,這會(huì)極大地暴露您的隱私,因?yàn)槟赡軙?huì)在不知不覺中將高度敏感的信息交給攻擊者。
現(xiàn)在有很多間諜軟件可供犯罪分子使用,包括CloudMensis、CoolWebSearch、HawkEye和Pegasus。Pegasus是一種常見的間諜軟件,不過它并非由網(wǎng)絡(luò)犯罪分子開發(fā),而是由以色列網(wǎng)絡(luò)安全公司NSO創(chuàng)造的。NSO表示,Pegasus間諜軟件僅用于反恐和執(zhí)法,因此只出售給合法方。但這一點(diǎn)一直存在爭議,因?yàn)樵谶^去發(fā)生過許多濫用Pegasus實(shí)施非法監(jiān)控的案例。
2. 暗網(wǎng)市場
有時(shí),惡意行為者在獲取您的數(shù)據(jù)后,并不會(huì)直接利用它,而是轉(zhuǎn)手通過暗網(wǎng)市場將信息出售給其他網(wǎng)絡(luò)犯罪分子。您可以把這些市場想象成一種出售被盜數(shù)據(jù)的購物平臺。犯罪分子愿意為他們可以利用的敏感信息——如護(hù)照號碼、支付卡詳細(xì)信息、電子郵件地址和社會(huì)安全號碼——支付高額費(fèi)用。
假設(shè)攻擊者設(shè)法獲取了您的信用卡信息。在暗網(wǎng)上,此類信息可能是一個(gè)熱門類別,特別是如果還包含某些附加信息(如CVV)那就更搶手了。如果網(wǎng)絡(luò)犯罪分子知道與這張卡關(guān)聯(lián)的銀行賬戶有一大筆錢,他們可以把價(jià)格定得更高。
這類信息通常來自大規(guī)模的泄露,比如WhatsApp的泄露導(dǎo)致近5億條數(shù)據(jù)記錄被試圖出售。這些數(shù)據(jù)收集自84個(gè)國家的用戶,近5億人身陷危險(xiǎn)之中,其智能手機(jī)號碼也落入危險(xiǎn)的網(wǎng)絡(luò)犯罪分子手中。
3. 惡意廣告
調(diào)查數(shù)據(jù)顯示,數(shù)字廣告行業(yè)價(jià)值已超過6000億美元。您喜歡的許多應(yīng)用程序和網(wǎng)站都會(huì)顯示數(shù)字廣告,但這個(gè)新興市場也以惡意廣告的形式為網(wǎng)絡(luò)犯罪分子提供了一個(gè)利基市場。
惡意廣告(malicious ads)的使用也被稱為“病毒廣告(malvertising)”,包括在看似無害的廣告中插入惡意代碼。這類廣告甚至可以進(jìn)入合法網(wǎng)站,進(jìn)一步擴(kuò)大其影響范圍。這意味著即便使用信譽(yù)良好的平臺,您也可能遇到惡意廣告。如果您與它們互動(dòng),就會(huì)有被惡意軟件感染的風(fēng)險(xiǎn)。
但良性廣告和有害廣告很難區(qū)分,這使得惡意廣告成為危害隱私和安全的重要類別。
4. 網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚是一種非常普遍的網(wǎng)絡(luò)威脅,已造成數(shù)百萬人受害。網(wǎng)絡(luò)釣魚可以在大范圍內(nèi)進(jìn)行,不需要太多的技術(shù)專業(yè)知識。如果您使用電子郵件提供商,就很有可能在某個(gè)時(shí)候收到過釣魚郵件,尤其是如果您沒有使用反垃圾郵件或郵件過濾工具的話。
在網(wǎng)絡(luò)釣魚攻擊中,網(wǎng)絡(luò)犯罪分子會(huì)冒充合法方,誘騙受害者泄露敏感信息。釣魚通信通常會(huì)附帶一個(gè)鏈接,指向惡意網(wǎng)頁,該網(wǎng)頁會(huì)記錄受害者的擊鍵情況。然而,攻擊者會(huì)簡單地聲明這是一個(gè)無害的頁面,用戶需要打開該頁面來完成某個(gè)操作,例如登錄帳戶或輸入贈(zèng)品。
例如,假設(shè)您收到來自Facebook的電子郵件,要求您登錄帳戶以驗(yàn)證身份、檢查可疑活動(dòng)或回復(fù)來自其他用戶的報(bào)告。這封郵件可能會(huì)給您灌輸一種緊迫感,進(jìn)一步說服您立即采取行動(dòng)。您還會(huì)收到一個(gè)相關(guān)網(wǎng)頁的鏈接,看起來很像合法的Facebook登錄頁面。在這個(gè)頁面上,您需要輸入登錄憑證。但因?yàn)檫@個(gè)網(wǎng)頁實(shí)際上是惡意的,所以當(dāng)您輸入憑證時(shí),攻擊者將能夠看到它們。一旦他們獲得了您的憑證,就可以訪問您的Facebook賬戶,實(shí)施惡意操作。
反欺詐和反身份盜竊公司APWG在其《網(wǎng)絡(luò)釣魚活動(dòng)趨勢報(bào)告》中指出,僅在2022年第一季度就記錄了1,025,968起網(wǎng)絡(luò)釣魚事件。
5. 云存儲(chǔ)漏洞
云存儲(chǔ)平臺,如谷歌Drive、Dropbox和OneDrive,通常被用作硬件存儲(chǔ)選項(xiàng)的替代方案,因?yàn)樗鼈兏奖恪8匾氖牵脩艨梢栽谌魏螘r(shí)候使用登錄詳細(xì)信息訪問云存儲(chǔ),這意味著用戶不必依賴于單個(gè)設(shè)備來查看和使用數(shù)據(jù)。
但是云存儲(chǔ)平臺很容易受到遠(yuǎn)程攻擊,因?yàn)樗鼈円蕾囓浖磉\(yùn)行。雖然云存儲(chǔ)提供商使用各種安全層來保護(hù)用戶數(shù)據(jù),但它們?nèi)匀皇蔷W(wǎng)絡(luò)犯罪分子的主要目標(biāo)。畢竟,任何有互聯(lián)網(wǎng)連接的平臺都有被黑客攻擊的風(fēng)險(xiǎn),云存儲(chǔ)服務(wù)也不例外。
以Dropbox為例。由于網(wǎng)絡(luò)釣魚攻擊,這家云存儲(chǔ)提供商在2022年底遭受了數(shù)據(jù)泄露,導(dǎo)致130個(gè)GitHub存儲(chǔ)庫被盜。但這種攻擊也可能導(dǎo)致私人用戶數(shù)據(jù)被盜,如銀行文件和醫(yī)療記錄。如果給定的云存儲(chǔ)平臺存在特別危險(xiǎn)的安全漏洞,那么網(wǎng)絡(luò)犯罪分子就很容易進(jìn)行黑客攻擊。
6. 物聯(lián)網(wǎng)(IoT)攻擊
物聯(lián)網(wǎng)(IoT)是指配備了軟件、傳感器和其他工具的硬件,可以與其他設(shè)備通信。但這項(xiàng)技術(shù)正成為網(wǎng)絡(luò)犯罪分子的目標(biāo),用于尋找私人數(shù)據(jù)。
如果這樣的設(shè)備(如智能手機(jī)或智能手表)感染了惡意軟件,那么它所連接的物聯(lián)網(wǎng)系統(tǒng)也可能會(huì)被破壞,以發(fā)送或接收數(shù)據(jù)。惡意行為者可以通過多種方式進(jìn)行物聯(lián)網(wǎng)攻擊,包括竊聽、暴力破解密碼攻擊和物理設(shè)備篡改。老舊的物聯(lián)網(wǎng)設(shè)備經(jīng)常成為攻擊的目標(biāo),因?yàn)樗鼈兺ǔH狈蛐枰掳踩胧?/p>
如今,智能設(shè)備日益普遍,這也使得物聯(lián)網(wǎng)攻擊比過去更有可能發(fā)生。
結(jié)語
人們總是僥幸地認(rèn)為沒人會(huì)對自己的私人數(shù)據(jù)感興趣,但事實(shí)卻并非如此。任何一個(gè)普通人都可能淪為網(wǎng)絡(luò)攻擊的受害者,無論是通過網(wǎng)絡(luò)釣魚、惡意廣告、間諜軟件還是其他任何方式。因此,在即將邁入2023年之際,我們必須要采取一切必要的安全措施來保護(hù)數(shù)據(jù)免受惡意實(shí)體的侵害。
