今天给大家推送50种顶级安全威胁,以及这些威胁是如何产生的,威胁攻击的路径是什么。
1、帐户接管
帐户接管被认为是访问用户帐户的最有害和最邪恶的方式之一。攻击者通常伪装成真正的客户、用户或员工,最终进入他们冒充的个人账户。更可怕的是,用户凭据可以从深层网络中获取,并在机器人和其他自动化工具的帮助下与电子商务网站进行匹配,从而实现快速和轻松的输入。FitBit甚至在2015年成为了这类攻击的受害者。黑客采取了双管齐下的方法,将登录信息泄露给客户的FitBit账户,更改他们的注册邮箱,然后打电话给客户支持,投诉设备,以便他们在保修期内更换设备。
你需要知道的是:
与直接窃取信用卡或凭证不同,帐户接管更加隐蔽,允许攻击者在被标记为可疑活动之前尽可能多地使用所偷的卡。银行、大型市场和贝宝(PayPal)等金融服务是常见的攻击目标,任何需要登录的网站都容易受此影响类型的攻击。
攻击是如何发生的:
一些最常见的方法包括基于代理的“检查器”一键式应用程序,强力僵尸网络攻击,网络钓鱼和恶意软件。其他的方法还包括在垃圾箱里寻找被丢弃的邮件中的个人信息,以及直接购买“Fullz”清单,这是一个俚语,指在黑市上出售的全套身份信息。一旦受害者的资料被购买或建立,身份窃贼就可以利用这些信息击败基于知识的认证系统。
攻击的来源:
我们大量的金融交易和其他交易都是在国外进行的。对于网络犯罪分子来说,获取账户证书和个人信息(如社会安全号码、家庭地址、电话号码、信用卡号码和其他财务信息)是一项有利可图的业务,无论他们是选择出售所获得的信息还是用它来获取自己的利益。因此,这些类型的攻击可以起源于世界上的任何地方。
2、先进的持续的威胁
2015年,安全专家将为ZG政府工作的国家支持的攻击者与美国历史上最著名的数据泄露事件之一——美国人事管理办公室(OPM)遭到的攻击联系起来。对人事管理局的攻击泄露了400多万份记录,包括现任、前任和未来联邦政府雇员的信息,以及他们的家庭成员、外国联系人甚至心理信息。
你需要知道的是:
advanced persistent threat是指高级持续威胁。对计算机系统或网络的高度先进的隐蔽威胁,未经授权的用户设法闯入,避免被发现,并获取商业或政治动机的信息。通常由犯罪分子或民族国家实施,主要目的是经济利益或政治间谍活动。虽然APTS继续与想要窃取政府或行业机密的民族国家行为者联系在一起,但没有特定关联的网络犯罪分子也使用APTS窃取数据或知识产权。
攻击是如何发生的:
APT通常包括高度先进的战术,包括相当数量的情报收集,以及较不复杂的方法,以便在系统中站稳脚跟。无论如何,恶意软件和鱼叉式网络钓鱼等各种方法被用来达到或攻陷有关的目标,并保持访问。最常见的攻击计划是从一台计算机升级到整个网络,方法是读取身份验证数据库,了解哪些帐户拥有适当的权限,然后利用这些帐户来破坏资产。APT黑客还会在被利用的环境中被破坏的计算机上安装后门程序(如木马)。他们这样做是为了确保能够重新进入,即使凭证稍后被更改。
攻击的来源:
大多数APT小组隶属于主权国家政府,或者是其代理人。APT也可以是全职从事上述工作的专业黑客。这些国家支持的黑客组织通常有资源和能力仔细研究他们的目标,并确定最佳入口。
3、应用程序访问令牌
pawn storm”是一个活跃而激进的间谍组织,自2004年开始运作,使用不同的策略从他们的目标那里获取信息。其中一种方法是在先进的社会工程方案中滥用开放身份验证(OAuth),在2015年至2016年期间针对使用免费网络邮件的知名用户。该组织还对民主党全国代表大会(DNC)、德国基督教民主联盟(CDU)、土耳其议会和政府、黑山议会、世界反兴奋剂机构(WADA)、半岛电视台和许多其他组织进行了激进的证书钓鱼攻击。他们继续使用一些恶意应用程序滥用OAuth访问令牌来访问目标电子邮件帐户,包括Gmail和Yahoo Mail。
你需要知道的是:
有了OAuth访问令牌,黑客就可以使用用户授予的REST API来执行电子邮件搜索和联系人枚举等功能。通过基于云的电子邮件服务,一旦OAuth访问令牌如果授予恶意应用程序,则如果授予允许后台访问的“刷新”令牌,它可能获得对用户帐户特性的长期访问。
攻击是如何发生的:
攻击者可能使用应用程序访问令牌来绕过典型的身份验证过程,并访问远程系统上受限制的帐户、信息或服务。这些令牌通常是从用户那里偷来的,用来代替登录凭证。
攻击的来源:
被破坏的scsuccess令牌可能被用作破坏其他服务的初始步骤。例如,如果令牌授权访问受害者的主要电子邮件,攻击者可能能够通过触发忘记密码例程扩展对目标订阅的所有其他服务的访问。通过令牌直接访问API会抵消第二个身份验证因素的有效性,并且可能不受更改密码等对策的影响。
4、账单欺诈
Zelle是一种金融服务,允许客户轻松地向朋友和家人汇款。然而,使Zelle在转移资金方面如此快速和高效的特性也正在被改进黑客和骗子利用该系统在支付欺诈计划中窃取消费者的资金,有时会抹去整个银行账户。
你需要知道的是:
票据欺诈——或支付欺诈——是任何类型的虚假或非法交易,网络罪犯将从消费者那里转移资金。根据联邦贸易委员会的最新数据,这些计划是有效的,消费者报告称,2018年与欺诈投诉有关的损失约为14.8亿美元,比2017年增加了4.06亿美元。
攻击是如何发生的:
这种攻击的目的是欺骗大量用户反复支付少量或合理数量的钱,这样他们就不会注意到这个骗局。在这种策略中,攻击者发送看似真实的欺诈性账单,指示客户从他们的账户转移资金。由于知道大多数客户经常使用基于收费的数字服务,攻击者依赖于这样一个事实:他们的目标可能会错误地认为欺诈账单是他们实际使用的服务。然后,消费者将启动资金转移或信用卡支付来支付虚假的“账单”。
攻击的来源:
票据欺诈组织起源于世界各地,包括美国。通常是由拥有资源、带宽和技术的攻击者来制造看起来像真的票据的欺诈。和网络钓鱼一样,票据诈骗通常针对广泛的随机人群。
5、商业发票的欺诈
即使是世界上最大的科技公司也不能幸免于发票欺诈行为。根据《财富》杂志的一项调查,2013年Facebook和谷歌在不知不觉中成为了一起大规模商业发票欺诈计划的受害者。骗子是立陶宛人,名叫伊瓦达斯·里马苏斯卡斯,伪造了发票冒充一个经常与这两家公司有业务往来的亚洲电脑产品制造商。在两年的时间里,这名骗子骗走了这两家科技巨头数千万美元。等这两家公司搞清楚是怎么回事时,里马苏斯卡斯已经携1亿多美元潜逃。
你需要知道的是:
商业发票欺诈试图欺骗你支付一个欺诈性的(但有说服力的)账单,收件人是你的组织。事实上,你支付的资金将流向模仿你的供应商的冒名顶替者。这些黑客通常愿意给你开出一个看起来合理的账单,以免引起怀疑,比如1500美元。但是执行这些骗局数百或数千次,损失很快就会累积起来。
攻击是如何发生的:
在这种攻击中,你会收到假发票,试图窃取你的钱,希望你不注意自己的应付账款流程。黑客会根据你的业务规模、位置和你使用的供应商来攻击你,并创建看似合法的假发票。寄希望于你的应付账款部门积压如山,他们寄来了虚假发票,要求很高,比如*逾期90天,现在就付款!”。
攻击的来源:
虽然有许多个人诈骗实施商业发票欺诈,但许多都来自欺诈团伙,他们有组织和资源来研究您的银行机构,并创建一个感觉真实的账单体验。根据最近的一份报告,去年英国发生了3280起发票和委托诈骗案件,导致英国企业损失9300万英镑(约合1.228亿美元)。美国还有成千上万的诈骗团伙,美国联邦贸易委员会的数据显示,佛罗里达州、密歇根州和内华达州在2018年的欺诈报告数量最高。
6、暴力攻击:
在2011年,一次臭名昭著的暴力攻击中,超过9万个PlayStation和索尼在线娱乐账户被泄露,.黑客从一个身份不明的第三方那里尝试了无数的用户名和密码组合,最终洗劫了会员的账户以获取个人信息。现已停牌的任天堂俱乐部在2013年也遭受了同样的攻击,当时黑客对超过1500万名会员进行了协调攻击,最终侵入了超过2.5万名论坛会员的账户。所有被泄露的账户都被暂停了,直到权限恢复到合法所有者手中——但对品牌声誉的损害已经造成。
你需要知道的是:
暴力攻击会通过试错的方法获取您的个人信息,特别是您的用户名和密码。这是获得访问应用程序、服务器或密码保护帐户的最简单的方法之一,因为攻击者只是尝试用户名和密码的组合,直到他们最终成功(如果他们真的成功了);一个6个字符的密码有数十亿种可能的组合)。
攻击是如何发生的:
最基本的暴力攻击是字典攻击,攻击者系统地遍历字典或单词列表—尝试每一个条目,直到获得命中。他们甚至会用符号和数字来增加单词,或者使用带有泄露和/或常用密码的特殊字典。如果他们没有时间或耐心,操作字典攻击的自动化工具可以使这个任务更快、更方便。
攻击的来源:
由于暴力攻击的简单易行,几乎没有技术经验的黑客和网络犯罪分子可以试图进入某人的账户。这些活动背后的人要么有足够的时间,要么有足够的计算能力来实现它。
7、证书泄露
当谈到证书泄露时,人们不可避免地会想到前互联网巨头雅虎(Yahoo)2016年的一次攻击导致5亿用户的个人信息严重泄露,包括他们的出生日期和电话号码。但事情只会变得更糟:2013年晚些时候,雅虎宣布,2013年的一次黑客入侵导致10亿账户(最终被披露为30亿)、以及密码、未加密的安全问题和答案受损。不出所料,雅虎的出售价格在不久后下降了约3.5亿美元。
你需要知道的是:
大多数人仍然使用单因素身份验证来识别他们的身份(这在网络安全领域是一个非常大的禁忌)。虽然更严格的密码要求已经开始实施(比如字符长度,符号和数字的组合,和更新间隔),最终用户仍然在帐户、平台和应用程序之间重复凭证,而不能定期更新它们。这种类型的方法使得黑客更容易访问用户的账户,而今天的许多入侵事件都要感谢这些证书收集活动。
8、证书转储
Disney+注册了1000万用户,股价也在不久后创下历史新高。但当许多热切的订阅用户开始抱怨被锁定后,这种光芒很快就褪去了。在推出后的几天内,人们就可以以低至3美元的价格购买Disney+的证书。迪士尼表示,该网站实际上并不是breschec——据称,在网上发现自己的证书的用户很可能是一个常见(但臭名昭著的糟糕做法)的受害者:在多个网站使用相同的密码,随后遭到证书转储攻击。
9、凭证重用攻击
最著名的凭证重用攻击之一是2019年的唐恩都乐(Dunkin Donuts)漏洞——不幸的是,对这家东海岸连锁店来说,这恰好是在两个月内他们的第二次入侵。这一次,威胁行为者甚至在暗网上出售了数千个账户。他们将用户的证书——包括用户名和密码——卖给出价最高的人,然后这些人就可以在其他消费网站上试用,直到找到结果。
你需要知道的是:
凭证重用是任何公司或用户群中普遍存在的问题。如今,大多数用户都有几十个(如果不是几百个的话)账户,他们的任务是记住无数满足各种严格要求的密码。因此,他们会一遍又一遍地重复使用相同的密码,希望能更好地管理和记住不同账户的凭证。不出所料,当所述凭证被泄露时,这可能会导致重大安全问题。
攻击是如何发生的:
理论上,攻击本身是简单、直接和惊人的隐身性(如果双因素认证不被激活)。一旦用户的凭证被窃取,罪犯就可以在其他消费者或银行网站上尝试使用相同的用户名和密码,直到找到匹配的为止——因此就称为“凭证重用攻击”中的“重用”。然而,首先获得进入就有点复杂了。为了获得特权信息,攻击者通常以网络钓鱼的方式开始,使用看起来很合法的电子邮件和网站来欺骗用户交出他们的证书。
攻击的来源:
这可能是一次有针对性的攻击,此人认识受害者,并希望出于个人、职业或财务原因访问他们的账户。攻击也可能来自一个完全陌生的人,他从地下网络犯罪中购买了用户的个人信息。
10、证书填充
2019年并不是总部位于劳德代尔堡的思杰系统公司(Citrix Systems)的一年,该公司发现自己深陷调查前一年发生的一起重大网络入侵事件,导致黑客窃取了商业文件。联邦调查局认为,这次入侵是由“密码喷洒”引起的,也被称为“证书填充”——黑客试图一次远程访问大量账户。根据提交给美国证券交易委员会(sec)的一份10-K表格,思杰认为犯罪者试图渗透公司系统,访问内容合作客户账户。
你需要知道的是:
通过证书填充,网络犯罪分子将使用窃取的帐户证书——通常是从数据泄露中获取的用户名和密码,通过自动执行针对您的web应用程序的数千或数百万个登录请求来访问其他帐户。他们想以简单的方式访问你的敏感账户——只需登录即可。这是因为它们依赖于您或您的同事在多个服务中重用相同的用户名和密码。如果他们成功了,一张证书就可以打开包含财务和专有信息的账户,给他们几乎所有事情的钥匙。
攻击是如何发生的:
黑客只需要访问登录凭证、一个自动化工具和代理就可以进行证书填充攻击。攻击者将从大规模的企业入侵中收集用户名和密码的缓存,并通过使用自动化工具,基本上将这些凭证“塞”到其他网站的登录中。
攻击的来源:
代理会掩盖凭据填充攻击者的位置,因此很难检测到它们的位置。但你会在世界各地发现它们,特别是在有组织的网络犯罪热点地区。通常,攻击者将是个人和有组织的黑客,他们可以使用专门的帐户检查工具和大量的代理来阻止他们的IP地址被列入黑名单。不太老练的犯罪者可能会通过机器人潜入大量账户,最终暴露自己,从而导致意想不到的拒绝服务攻击(DDoS)场景。
11、云访问管理
迁移到云有无数的好处,从促进协作到允许员工在世界上几乎任何地方工作。但切换到基于云的服务可能会带来相当大的风险——通常是由于人为错误。专门从事低成本智能家居产品的公司Wyze Labs亲身体验了这一点。2019年,一名员工为用户分析建立了一个数据库,却意外删除了必要的安全协议,当时这家初创公司发生了一次几乎频繁的漏洞。结果,一个数据库的客户个人信息暴露了出来。
你需要知道的是:
为了避免基于云的漏洞,管理组织的权限变得越来越重要。松懈或不存在安全—在这种情况下,不正确配置安全控制—很容易危害数据的安全,使您的组织面临不必要的风险,包括对品牌声誉的严重损害。
攻击是如何发生的:
这种类型的攻击通常发生在通信不良、缺乏协议、不安全的默认配置和糟糕的文档。一旦攻击者利用漏洞并在您的云环境中站稳脚跟,他们就可以利用特权访问其他远程入口点,查找不安全的应用程序和数据库,或薄弱的网络控制。他们可以在不被发现的情况下窃取你的数据。
攻击的来源:
云环境的管理和配置不当本身不被认为是恶意行为,正如前面提到的,通常是由于人为错误而发生的。
12、云挖矿
云挖矿不需要汽油。只要看看特斯拉就知道了。2018年,这家电动汽车制造商成为云加密攻击的受害者,当时黑客利用不安全的Kubernetes控制台,从特斯拉的云环境中窃取计算机处理能力,用于挖掘加密货币。
13、指挥和控制
14、跨站点脚本编制
2019年1月,在Valve运营的Steam聊天客户端中发现了一个跨站漏洞。Valve是一家拥有9000多万活跃用户的电脑游戏公司,在该漏洞被披露之前,任何数量的用户都可能受到攻击。跨站脚本(XSS)攻击是一种注入,它将恶意脚本注入到其他良性和可信的网站。它在概念上类似于SQL注入——在这种注入中,恶意代码被输入到一种表单中,以获得访问站点数据库的权限——不同的是,在XSS的情况下,恶意代码被设计成在站点的另一个访问者的浏览器中执行,允许攻击者窃取用户的cookie,读取会话id,修改网站的内容或将用户重定向到恶意站点。
15、加密劫持攻击
可悲的是,当涉及到黑客想利用它们来获利时,没有网站是神圣的--即使是澳大利亚的议会。2018年初,网络黑客用恶意软件破坏了许多澳大利亚政府网站,迫使访问者的电脑在未经允许的情况下秘密挖掘加密货币。这次加密货币劫持攻击是在黑客利用一个流行的浏览器插件的漏洞时发起的,这是一个更大的全球安全漏洞的一部分。这次攻击影响了维多利亚州议会的官方网站、昆士兰民事和行政法庭、昆士兰社区法律中心的主页等,以及英国的国家卫生服务机构和英国自己的数据保护监督网站。
16、来自信息库的数据
据报道,2016年,威胁组织APT28威胁了希拉里·克林顿的竞选团队、民主党全国委员会(DNC)和民主党国会竞选委员会(DCCC)。他们还将目标对准了东欧政府、军事和安全相关组织,包括北大西洋公约组织(NATO)。该组织使用了一系列复杂的工具和策略,秘密访问信息库来控制和窃取数据。APT28已从目标网络中的Microsoft SharePoint服务中收集信息。
17、DoS攻击
2000年,一名名叫Mafiaboy的16岁黑客发起了最著名的拒绝服务(DoS)攻击之一,导致包括CNN、eBay、亚马逊和雅虎在内的一大批主要参与者下线。据报道,Mafiaboy侵入了数十个网络,安装恶意软件,以攻击流量淹没目标。由于许多网站对这样的攻击准备不足,攻击持续了大约一个星期,被攻击的组织努力弄清楚发生了什么以及如何恢复在线。马基亚博伊最终于2000年4月被捕,并被判处少年拘留所。20年后,DoS攻击(其中许多是DDoS)继续上升,是组织面临的最常见的攻击之一,目标约为所有企业的三分之一。
18、DDoS攻击
迄今为止,最大的——如果不是最严重的——分布式拒绝服务(DDoS)攻击发生在2018年,针对的是流行的在线代码管理系统GitHub。GitHub受到了流量的冲击,峰值时流量达到了每秒1.3 tb,每秒发送数据包的速度达到了1.269亿。这次袭击不仅规模巨大,还打破了记录。在这次攻击中,botmaster用伪造的请求淹没了memcached服务器,这使他们能够将攻击放大50000倍。好消息吗?GitHub并非完全没有准备。管理员收到了攻击警报,并在20分钟内关闭了该网站。
19、禁用安全工具
有时,黑客利用本应保护我们的工具来进入我们的系统。微软Windows在1985年首次发布时就成为了全球桌面操作系统的首选。尽管近年来它的市场份额有所下降,但与排名第二的苹果OSX相比,它仍是一支主导力量。Windows的大规模使用,以及它更容易成为恶意软件和机器人等攻击的受害者的事实,使其成为黑客最喜欢的游乐场。这就是为什么微软在发布Windows Vista时开始安装一个名为Windows Defender的本地反间谍软件和防病毒程序的部分原因。不幸的是,微软没有考虑到黑客会攻击本该保护Windows用户的东西。Novter,也被称为Nodersok或分歧者,是2019年出现的一种木马攻击,攻击Windows Defender的实时保护功能。木马一旦被禁用,就会下载更多的恶意软件到系统中。
20、DNS放大
Spamhaus项目是一个国际非营利性组织,运营着一个全球威胁情报网络,向主要互联网网络提供他们所追踪的电子邮件垃圾邮件发送者的名单。希望这份清单能帮助减少到达用户收件箱的垃圾邮件数量。2013年,一群垃圾邮件发送者决定通过域名系统(DNS)放大攻击进行反击。这次攻击以每秒300g的速度向Spamhaus网站传输数据,导致该网站离线。这次攻击非常激烈,甚至连专门保护Spamhaus免受这种攻击的内容传送公司的网站也瘫痪了。
21、域名劫持
2017年的一个周四早上,维基解密(WikiLeaks)的读者们一觉醒来,期待着在这个揭秘网站上发现最新的国家机密,结果却发现来自一个名为OurMine的黑客团体的消息,宣布他们控制了该域名。维基解密创始人朱利安·阿桑奇很快在推特上澄清,这次攻击不是传统的黑客行为,而是域名系统(DNS)攻击。
22、DNS隧道
至少从2016年年中开始,一个被称为OilRig的黑客组织利用各种工具和方法对中东地区的各种政府和企业进行了定期攻击。他们破坏日常运作和渗出数据的努力的一个基本要素是在他们的指挥和控制服务器与他们使用DNS隧道攻击的系统之间保持一个连接。
23、下载攻击
近年来规模最大的一次突击下载活动打击了一系列知名出版商,这些出版商的网站月访问量在数百万至数十亿之间。受影响的网站包括MSN、《纽约时报》、BBC、康卡斯特旗下的Xfinity和NFL。这些网站都使用看似合法的广告网络,但被攻击者破坏了。这些和其他网站的突出地位使得黑客可以向大量无辜的网站访问者推送恶意广告。这些广告然后通过两个广告服务器重新定向。第二个服务器向受害者装载了Angler漏洞工具包,它可以利用Microsoft Silverlight、JavaScript、Adobe Flash和其他常见类型软件的漏洞。然后,根据黑客的需要,它可以被用来在受害者的电脑上加载各种恶意软件。虽然较大的出版商相对迅速地撤下了恶意广告,但这一行动最终可能感染了数万名用户。
24、主机重定向
2017年,Office 365的用户遭遇了一次广泛的网络钓鱼攻击,不法分子利用了谷歌AppEngine的开放重定向漏洞,将不知情的受害者重定向到一个山寨网站,然后在那里下载恶意软件。
25、内部威胁
一个组织拥有的越多,它失去的就越多,而内部人士获得的也就越多。特斯拉在2018年对一名前员工提起诉讼,因为他们发现修改后的源代码将千兆字节的专有数据输出给了公司外部的未知收件人。据称,这名恶意的内部人员创建了虚假用户名,以便直接修改特斯拉制造操作系统(MOS)的源代码,并向公司外部输送数据,其中包括数十张特斯拉制造系统的机密照片和一段视频。根据诉讼,这名内部人士还窃取了特斯拉的财务信息、为Model 3豪华车生产电池的过程,以及电池工厂使用的废料和原材料的数量。
26、物联网威胁
2016年9月,Mirai僵尸网络以一波又一波的恶意流量攻击了美国互联网基础设施企业Dyn,导致数百万人的网络瘫痪。Mirai通过感染物联网(IoT)设备,将其整合到一个中央控制的僵尸网络中,从而一举成名。然而,Mirai的独特之处在于它的适应性,允许黑客开发不同的变体,可以进入脆弱的物联网设备,并迅速增加网络中的无人机数量。然后,这支机器人大军被用来执行分布式拒绝服务(DDoS)攻击,使受害者服务器被淹没。其目标包括德国90多万德国电信(Deutsche Telekom)客户和英国近2400台TalkTalk路由器。
27、IoMT威胁
针对医疗保健机构的攻击的普遍性和复杂性——以及对患者保密和安全的风险——意味着当涉及到医疗设备安全时,供应商将受到攻击。由于最近的攻击,包括WannaCry勒索软件攻击,议员们概述了遗留软件和设备所面临的网络安全问题的严重性。FDA也为设备制造商发布了建议,但公司不需要遵循这些指导方针,因为它们不是法律规定的。
28、宏病毒
有史以来最著名的病毒事件之一,即90年代末的梅丽莎病毒,正是一种宏病毒。感染了梅丽莎病毒的电脑会劫持用户的微软Outlook电子邮件系统,向他们邮件列表中的前50个地址发送带有病毒的邮件。病毒以令人难以置信的速度传播,并在全球造成了惊人的损失:估计有8000万美元用于清理和修复受影响的系统和网络。
29、恶意PowerShell
利用一直流行的PowerShell(微软开发的命令行和脚本工具)的攻击序列越来越多,这要归功于它们在网络中传播病毒的能力。一个以大银行客户为目标的臭名昭著的银行诈骗机器人依靠该工具进行攻击,威胁组织Advanced Persistent threat 29(也被称为Cozy Bear)进行了一次包含PowerShell元素的精心设计的攻击。
30、中间人攻击
2010年,一般网站只加密那些被认为绝对需要保护的数据,比如信用卡号和账户凭证。他们让用户会话的其他元素完全不加密,允许任何感兴趣的人在用户在同一网络上时不受限制地访问用户帐户。当一个名为Firesheep的Firefox插件发布后,这一切都改变了。该插件是一个专门的包嗅探器,用户友好,专为找到共享网络上未加密的Facebook会话,然后提供一键访问,接管暴露的帐户。Firesheep迅速扩展到支持一系列网站,包括亚马逊、谷歌、Github、Twitter和许多其他网站。在Firesheep最受欢迎的时候,数十万人下载了它,每个人都立刻成为了一名业余黑客。
31、伪装攻击
2013年12月,塔吉特公司经历了一次大规模的信用卡泄露,影响了超过4000万客户的账户。两州对入侵事件的调查显示,攻击者窃取了塔吉特暖通空调承包商法齐奥机械服务公司(Fazio Mechanical Services)的证书。在使用第三方供应商的详细信息进入Target的内部web应用程序后,他们在系统上安装了恶意软件,并获取了姓名、电话号码、支付卡号码、信用卡验证码和其他高度敏感的信息。
32、Meltdown(熔断)和 Spectre(幽灵)攻击
大多数网络安全攻击利用一个漏洞,如编码错误或糟糕的设计。但并不是所有的攻击都是一样的。2018年,两名谷歌研究人员发现了一种影响所有计算机芯片制造商的新型攻击,并可能使数十亿人暴露在meltdown和spectre攻击之下。
33、网络嗅探
智能锁是一种新型的设备,旨在保护你的家,使它更容易通过点击(或更恰当地说,点击)一个按钮进入。但安全研究人员发现,用一种更超前的方法来加固房屋可能会产生严重的后果。有一款智能锁,不太适合作为“有史以来最智能的锁”来推销,它可以通过移动应用程序和锁本身之间的网络流量被拦截。更可怕的是,这可以通过廉价的、现成的网络嗅探设备来实现。
35、传递哈希值
超过4000万个Target客户账户的臭名昭著的漏洞,部分是由于众所周知的攻击技术--传递哈希(PtH)。黑客利用PtH获得了一个NT哈希令牌,允许他们在没有明文密码的情况下登录活动目录管理员账户--从而使他们有必要的权限来创建一个新的域管理账户,随后将其加入域管理员组。系统中的这个根目录使他们有机会窃取塔吉特公司客户的个人信息和支付卡细节。
36、网络钓鱼
说到网络钓鱼攻击,有少数几次比其他的都要突出——比如2014年的索尼攻击。黑客很可能是通过向系统工程师、网络管理员和其他拥有系统证书的不知情员工发送钓鱼邮件,要求验证苹果id,从而实施了现在臭名昭著的索尼网络攻击。攻击者带走了价值千兆字节的文件,其中包括电子邮件、财务报告和最近上映的电影的数字拷贝。除此之外,恶意分子还向索尼的工作站计算机注入恶意软件,清除了这些计算机的硬盘驱动器。几周后,FBI正式指出朝鲜政府是这次攻击的幕后主谋。
37、攻击载荷
最臭名昭著的一次网络钓鱼有效载荷攻击发生在2009年,FBI称之为“Phish Phry行动”,引发了当时规模最大的国际网络钓鱼调查。这次攻击的目标是数百名银行和信用卡客户,他们收到的电子邮件中有看似真实的虚假金融网站的链接。在该网站上,客户被要求在欺诈表格中输入他们的账号和密码。
38、勒索软件
根据网络安全公司Emsisoft的数据,2019年,勒索软件攻击影响了美国至少948个政府机构、教育机构和医疗机构,潜在成本超过75亿美元。例如,在医疗部门,这类攻击的潜在影响包括病人被转到其他医院,医疗记录无法访问(或永久丢失),以及紧急调度中心依靠打印的地图和纸质日志来跟踪现场的应急人员。在政府方面,当地的911服务可能会被中断。根据曼哈顿区检察官小赛勒斯-万斯的说法,勒索软件的影响可能与飓风桑迪这样的自然灾害一样具有破坏性和代价。
39、影子IT
随着软件即服务(SaaS)应用程序变得越来越快速和容易使用,员工现在可以下载解决方案到他们的工作站,以帮助他们完成工作。然而,许多人在使用这些应用程序时很少考虑安全问题。因此,2019年福布斯洞察力的一项题为 "网络复原力的认知差距 "的调查并不令人惊讶。你的盲点在哪里?"发现超过五分之一的组织经历了源于未经授权--或 "影子"--IT资源的网络事件。
40、SIM卡被劫持
2019年8月30日,Twitter首席执行官杰克-多尔西的420万名粉丝受到了一群名为 "Chuckling Squad "的黑客的严重攻击性信息。这群人利用模拟劫持技术控制了多西的电话号码,然后利用推特收购的文字转推特服务来发布这些信息。尽管这些信息在网上可见的时间不到10分钟,但仍有数百万人被暴露在这些冒犯性的推文中。
41、社工攻击
2002年的电影《有本事你就抓我》讲述了有史以来最成功的社会工程从业者之一的真实故事。在影片中,莱昂纳多-迪卡普里奥扮演了一个名叫弗兰克-W-阿巴戈内尔的人,他实施了各种高知名度的骗局,进行银行欺诈,并伪装成各种角色,包括医生和飞行员。阿巴戈内尔的成功取决于他有能力让受害者相信他的伪造品,无论是支票、文凭还是身份,都是真的。阿巴戈内尔是60年代和70年代活跃的骗子,但社会工程的做法一直在继续发展,并且仍然是黑客和欺诈者进入世界各地封闭系统的有力工具。
42、SQL注入
结构化查询语言,或SQL(有时发音为“sequel”),是用于与关系数据库通信的标准编程语言,关系数据库支持互联网上所有数据驱动的网站和应用程序。攻击者可以通过在表单中输入特定的SQL查询(将其注入数据库)来利用这个非常常见的系统,这时黑客就可以访问数据库、网络和服务器。就在2019年11月,在世界上使用最广泛的MySQL数据库管理应用程序之一phpMyAdmin中发现了一个漏洞,允许创建特定用户名的黑客访问目标网站的后端,允许他们删除服务器配置并撤销管理员对该网站的访问权限。
43、鱼叉式网络钓鱼
鱼叉钓鱼者以大鱼为目标已经不是什么秘密了。Walter Stephan是飞机零部件制造商FACC的首席执行官,他在这个职位上工作了17年,却在不知情的情况下被网络钓鱼骗局骗走了5679万美元的公司资金。在典型的鱼叉式网络钓鱼计划中,网络罪犯假装自己是公司的权威人士,向首席执行官发送电子邮件,要求进行秘密交易。斯蒂芬中了圈套,很快就因为不谨慎而被解雇了。该公司确实设法追回了约五分之一的资金,但其余的都不可挽回地流失到了斯洛伐克和亚洲的犯罪账户中。
44、间谍软件
2017年,臭名昭著的WannaCry攻击对工业和公共服务系统造成了严重破坏,包括医院、交通和制造商。联邦快递(FedEx)和西班牙Telefónica等公司,以及英国国家医疗服务体系(National Health Service)都受到了影响。可怕的是,这只是一个例子,说明了攻击可以通过悄悄感染关键城市和网络基础设施上的计算机来执行,然后窃取敏感信息以获取金钱。
45、系统错误配置
著名安全研究员克里斯-维克里透露了一个惊人的发现。他发现了一个包含近2亿美国选民个人信息的公共数据库。原来,一家保守的数据公司将选民信息托管在亚马逊S3服务器上,但在这样做时,完全搞砸了配置。服务器上的一些数据受到保护,但超过一兆字节的选民信息是公开的,任何人都可以在网上查阅。
46、盗版
迈克-罗是一个想挣钱的普通少年。2004年,他开始了一项网页设计业务,在那里他展示了他出色的营销头脑。罗意识到他的名字与微软有着惊人的相似之处。他只需要加上最后一个音节就可以完成这个把戏。微软不可避免地起诉了罗,说这个加拿大人侵犯了该公司的版权,而且他是在 "排版侵权"。微软向罗提供10美元,让他把域名转让给公司。他拒绝了,但最终以略高于Xbox的价格和解。
47、水坑攻击
“水坑攻击”之所以成功,是因为网络犯罪分子利用的是访客可能会访问热门网站的可能性——比如水坑周围的野生动物。他们通常都是对的。网络安全研究人员在2018年发现了一场网络间谍活动,利用水坑技术攻击了一个中亚国家的国家数据中心,试图获得大量政府资源。研究人员将此次攻击归因于一个名为“LuckyMouse”的中文威胁组织,该组织显然从2017年起就实施了经典的水坑攻击。虽然最初的攻击载体尚不清楚,但研究人员认为LuckyMouse可能旨在破坏国家数据中心的员工账户。
48、网络会话cookie
我们使用的几乎每一个网络应用,从社交媒体和流媒体平台到云服务和金融应用,都在认证cookie上运行。这些cookie使我们在网络上的体验更加方便,但也代表了一个漏洞,恶意行为者可以滥用它来达到巨大效果。2018年底,一个针对Mac电脑的恶意软件程序窃取了与加密货币钱包、存储的信用卡数据、短信等相关的cookies,使盗贼能够操纵加密货币的价值,制造欺诈性收费并窃取受害者的身份。
49、钓鲸鱼
如果你能钓到鲸鱼,为什么还要去钓小鱼?前总统候选人希拉里-克林顿就发现了这一点。2015年,克林顿的竞选主席约翰-波德斯塔(John Podesta)收到一封似乎来自谷歌的电子邮件。它告诉他有人试图从乌克兰登录他的Gmail账户,他需要立即更改密码。问题是,这封邮件不是真的,更改密码的链接是一个URL缩短器。一群黑客进入了波德斯塔的账户和民主党的反对派研究,剩下的就是历史了。
50、电讯攻击
诸如2016年SWIFT攻击这样的高级定向攻击永远改变了网络安全模式。在这次史无前例的网络攻击中,攻击者通过SWIFT系统向纽约联邦储备局发送欺诈性信息,试图从孟加拉银行的账户中转移近10亿美元。他们成功地将8100万美元从美国联邦储备局转移到菲律宾的非法账户。大部分的钱从未被追回。