在#StaySAFU系列的上一篇文章中,我们探讨了5种常见加密资产诈骗套路及应对方法。但除了钓鱼诈骗以外,我们也需当心其它形式的诈骗。
钓鱼只是犯罪组织盗取敏感数据或加密资产的众多方式之一。
社会工程攻击和黑客攻击的区别
社会工程攻击是基于对目标受害者的心理操纵,诱骗无知的受害者泄露其信息或进行加密资产转账。
社会工程不会直接攻击安全系统、硬件或任何技术部分。它的目标是整个链条中最薄弱的部分 – 作为用户的我们,通过欺骗和操纵让受害者自愿向攻击者泄露敏感数据。
而黑客攻击则是完全以安全性的另一组成部分为目标,即直接攻击硬件、基础设施或安全组件,从而找出或制造可利用的漏洞。两种攻击者的目标不同,而目前最常见的攻击一般通过夺取设备或系统控制权以及盗取凭证以获得经济利益。
现在,让我们来了解最常见的五种社会工程和黑客攻击 – 以及我们都会犯的一种错误。
勒索软件
这种恶意软件会感染你的电脑,甚至危及你的数据安全,除非你交付赎金。具体情形根据不同勒索软件会有所不同。
恫吓软件是最原始的攻击类型。当你的电脑或浏览器打开恶意脚本或软件,就会显示警告信息,试图威胁你下载某个文件,为某一产品付费,或联系冒充的支持团队。通过高质量的网络杀毒软件即可轻松移除恫吓软件,不会对数据或设备造成任何损伤。
屏幕锁是另一种勒索软件攻击类型,也比恫吓软件更危险。屏幕锁完全将你的设备锁定,并显示一条以国家机构或预防犯罪组织名义发布的信息。巧得很,只要你付给他们加密资产,这些组织会很乐意给你的设备解锁。然而,向勒索软件支付赎金不会泄露你的数据,但你的数据可能已经永久丢失了。
最糟糕的情况是遇到加密勒索软件。攻击者会对你的数据进行加密,并威胁如果不支付赎金,就要删掉或公布它们。臭名昭著的WannaCry勒索软件让加密资产背负了许多负面形象 – 尤其是比特币 – 因为他们要求受害者以比特币支付赎金。WannaCry集团共收到327笔赎金,合计51.62 BTC。截至本文发稿,这笔款项的价值已超过50万美元。
很多情况下,屏幕锁和加密勒索软件攻击一旦控制了你的设备,就无法移除,因此唯一的解决方案就是防患于未然。
下饵
正如其名,下饵指的是攻击者通过回报承诺来引诱潜在受害者。这种方式线上线下都有。线下的下饵可以通过在显眼地方放置的U盘或硬件钱包进行。一旦你把它连接到自己的设备上,恶意软件就会攻击你的电脑。线上下饵则一般以回报诱人的广告和竞赛方式出现。
如果你发现一个Trezor硬件钱包,上面的名字标签写着“CZ的毕生BTC储蓄”,那么它大概率是假的。不要使用不属于你的设备,并对承诺高收益的广告和产品保持谨慎。
语音钓鱼
“Vishing”这个词结合了“voice”(语音)和“phishing”(钓鱼),即语音钓鱼。这种新的攻击类型正变得越来越常见,几乎每天都会出现新的套路。这种攻击的工具不是邮件、电话或信息,而是网络电话服务(VoIP)。攻击者通过电话告知你的银行账户或银行卡已被冻结,或是你预先批准的贷款已经可以放款,或是慈善组织需要你的捐款。攻击者通常会冒充身份可信的人,例如银行职员、讨债人、客服人员,甚至是IRS等税收机构。
如果对方声称自己是某某机构的人员,我们只需拨打该机构的官方号码进行信息查验即可识别语音钓鱼攻击。根据经验之谈,如果你对类似电话产生怀疑,最好挂断再重新拨打该机构官方网站所列的电话号码。
币安支持团队不会通过电话联系你。请不要在电话中透露敏感信息,因为无论你使用哪个运营商或任何品牌的手机,所有电话通话都不是完全私密的。
假冒
攻击者的目的是通过一系列的谎言套取你的个人信息。他们通常会冒充你认识或信任的权威机构人员,如警察、银行职员等,然后通过创造一种紧急的气氛诱导你透露个人信息,或是要求你完成特定任务。
攻击者们最常通过这种方式套取身份证号、银行卡信息、个人地址、电话号码、助记词,甚至是比特币。为了避免成为受害者,请遵循应对语音钓鱼的同一方法:通过其它渠道再次进行联系,验证对方身份是否真实。
诱购
诱购的高发地是网站和搜索引擎的信任环境中。在你进行搜索后,恶意域名以正常的搜索结果形式与其它合法的搜索结果一同出现 – 有时以广告形式出现。他们通过先进的搜索引擎技术(SEO)和付费广告冒充官方网站,并参与搜索引擎结果排名。一旦你点击了这个看起来合法的链接,就接入了攻击者的网站。
防范这种攻击,你需要采取积极主动的态度。避免访问名字奇特或带有拼写错误的网站。不要相信承诺的回报不切实际的广告。运用你的常识,遇到吸引你注意力的链接,在点进去之前一定要慎重考虑。
彩蛋:凭证的重复使用
虽然这不是一种攻击,但是一种值得注意的漏洞,因为它也经常被攻击者所利用。重复使用登陆信息是我们每个人过去都曾犯下的错误。我们都曾重复使用用户名和密码。如果你使用的不是独一无二的凭证,一旦攻击者从一个平台盗取了你的数据,你的所有账户都将遭受风险。
让我们远离凭证重复使用。今天,我们有众多免费、安全、开源的密码管理工具可供选择,我们可以通过它们在每一个使用的网站生成一个安全又唯一的密码。
总结
我们还需要知道,并非所有黑客都是恶意的。密码朋克、渗透性测试者和白帽黑客等是为了帮助个人和企业在数字时代保持安全的角色。加密资产领域有数千家加密资产和比特币企业,以及许多个人和安全专家正努力为我们创造一个更安全的未来。
我们认为,人本身仍是整个链条中最薄弱的环节。每一个人都需要了解如何保护自身安全,并管理好个人信息和财富。对于所有形式的攻击,最好的防御武器就是安全常识和防范意识。
让我们一起,共同改善数字安全性。请与你的朋友分享我们的#StaySAFU安全行动计划!