官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 网络安全

如今的网络环境让黑客的任务变得非常容易。在大多数情况下，黑客甚至不再需要隐匿在暗处操纵目标对象；他们在社交媒体网站或论坛上非常活跃，他们在网站上发布专业广告，甚至可能通过Twitter等渠道匿名接近目标。

网络犯罪已经进入了一个新的时代，黑客不再仅仅为了刺激而发起攻击。他们以小团体或个人的形式开展非法网络活动，从网络犯罪分子那里“接单”，出售间谍软件或商业网络攻击等服务。一系列新的DDoS For Hire正在将黑客技术商品化，降低发起DDoS攻击的门槛。

谁会成为雇佣黑客？

雇佣黑客是秘密的网络专家或团体，他们专门渗透到组织内部，以各种方式获取情报，为欠缺技能的攻击者提供服务。

黑客会选择窃取一个正在经历离婚、分居或儿童监护案件用户的私人电子邮件。因为只要能在经济上受益，黑客并不在意触犯法律、卷入财务和法律纠纷。社交媒体上的虚假信息和恶意行为则会造成社会混乱。

雇佣黑客组织试图进入银行账户窃取数据，他们会在黑市上按照账户当前现金余额的一定比例出售数据。

雇佣黑客成为一种威胁

自2020年以来，雇佣黑客大肆进入计算机网络，并伪装成用户执行不同种类的工作。例如，COVID-19被视为一个很大的威胁，因为它给了黑客某些契机，入侵各种公共通信渠道如Twitter和电子邮件。

雇佣黑客如何运作

在整体过程上，可以拆分成三个阶段，组成一个监视链。第一阶段涉及侦察，黑客通过使用各种工具和技术，尽可能多地收集有关目标公司或企业的信息。这一阶段是为第二阶段打基础。

1、侦察

在侦察阶段，网络黑客开始作为信息收集者和数据挖掘者，全方位剖析目标。例如，从公开的来源如博客、社交媒体、知识管理平台（如维基百科和维基数据）、新闻媒体、论坛、暗网等，收集关于目标信息。

2、参与

在接触阶段，攻击者利用社会工程手段与目标者建立信任，趁机套取机密信息。攻击者的目的是让目标点击钓鱼链接或下载钓鱼文件。社会工程是一种操纵的形式，通过欺骗甚至勒索个人来实现目标。

3、入侵

在该阶段，黑客的主要目标是获得对手机或电脑的监控。

黑客可以通过利用键盘记录器和钓鱼网站来访问受害者的手机、电脑上的个人数据，如密码、cookies、访问凭证、照片、视频、信息等。掌握这些数据，黑客能够入侵设备的麦克风或摄像头，甚至在目标不知情的情况下激活它们。

谁是雇佣黑客的目标？

网络犯罪分子目标锁定那些可以接触到敏感数据的公司，如社会安全号码、信用卡信息等。金融机构、医院、手机设备供应商、无线电和卫星通信公司等都在攻击名单内。有时，他们的目标锁定到个人，如首席信息官、人权活动家、工人，如记者、政治家、电信工程师和医生等等。

如何保护企业免受黑客雇佣攻击？

到目前为止，黑客攻击最常见的是网络钓鱼。许多网络犯罪分子会把这种方法作为一个起点，一般来说，网络钓鱼的目标是破坏电子邮件账户和窃取数据，这不太需要恶意软件，基本的社会工程技巧便可满足。

那么，我们能做些什么来保护关键资产不受窥视？需要做到以下四点。

资产扫描

通过漏洞评估服务，识别网站和应用程序以及相关库中可能由弱编码导致的常见安全漏洞。然后，它可以传递给应用程序开发人员，以便他们知道代码中的哪些漏洞可能需要修补。

渗透测试

渗透测试是检测和分析攻击者可能利用的潜在安全漏洞。渗透测试，是一种验证测试，用于攻击计算机系统，以发现目标应用程序、网络或设备中的漏洞。

保持应用程序更新

增强应用程序安全性的一个重要方面，就是对web应用程序进行持续的同步测试和打补丁。组织需要能够尽快掌握新的威胁和漏洞补丁，需要定期更新安全套件。

准备阻挡攻击

无论您如何确保您的网络防范黑客，总有网络罪犯在等待合适的机会，使用DDoS等攻击进行破坏。

阻止网络攻击的一种方法是anti-DDoS网络屏蔽，部署WAF阻止恶意流量，使黑客远离该网站。

结论

信息安全研究者认为，要有效地检测和修复web应用程序的安全漏洞，个人和团体应采用静态和动态相结合的web应用程序测试方法，并以web应用程序防火墙为后盾，对检测到的漏洞进行即时虚拟修补。

参考链接：

The Business of Hackers-for-Hire Threat Actors (thehackernews.com)