信息來源：FreeBuf

本文是對2016年上半年網(wǎng)絡(luò)安全威脅TOP6的回顧，對這方面有興趣的有朋友可以仔細看看。

無處不在的勒索軟件

勒索軟件是一種惡意軟件，感染后它會阻止你訪問文件系統(tǒng)，以此來要挾你支付贖金。

而勒索軟件的類型大概有兩種：

加密型勒索軟件，它會運用先進的加密算法加密你的文件系統(tǒng)，如果你想要獲得解密密鑰，你就需要支付相應(yīng)的金錢。

鎖定型勒索軟件，它會鎖定你的操作系統(tǒng)，這樣你根本沒法訪問任何應(yīng)用程序或者文件，也就是說不付錢壓根就沒法訪問系統(tǒng)了。

這類的軟件通常要求使用比特幣支付，要是你在一定的時間內(nèi)沒有進行支付，它會自動將贖金加倍。而且在你支付之前，這個循環(huán)會無限滾雪球下去。

下面是一個簡單的勒索軟件感染鏈：

 

雖然這并不是一個新興威脅，但卻是影響力最大的威脅。這種攻擊的強度和頻率會持續(xù)增加，而它給受害者造成的損失也會一路狂飆。

下面是部分數(shù)據(jù)統(tǒng)計：

“勒索軟件受害者的數(shù)量在上升，在2015年4月到2016年3月之間有大概718536位受害者，這相當于2014-2015年同期的5.5倍?！?/span>

（參考來源：ITSecurityGuru）

當然，我們不可能知道勒索軟件攻擊的準確數(shù)量，或者列出所有勒索軟件的類型，因為大多數(shù)攻擊是沒有被報道出來的。

但我們所知道的是，勒索軟件的創(chuàng)造者們正向著更大的目標前進，比如開始攻擊企業(yè)和公共機構(gòu)組織。

沒錯，他們這樣做當然是為了錢。只有從普通家庭用戶轉(zhuǎn)移到更高的目標，才能掙到更多的錢。勒索軟件的創(chuàng)造者們對待這些軟件，就像對待正常的產(chǎn)品一樣用心。

 

醫(yī)療行業(yè)是勒索軟件在世界范圍內(nèi)最投入的行業(yè)，這占了第二季度勒索軟件統(tǒng)計總量的88%（參考來源：DarkReading）。

今年醫(yī)療行業(yè)的首次大型攻擊，是那場Hollywood Presbyterian醫(yī)療中心的案件。他們的系統(tǒng)在感染了勒索軟件后，不得不在工作中暫時使用普通紙張進行辦公。在十天后，醫(yī)院實在沒辦法還是支付了贖金，這才拿回了對系統(tǒng)和病人數(shù)據(jù)庫的訪問權(quán)。

當然，這只是許多次攻擊的其中一場。我們建議您平時備份好所有的重要數(shù)據(jù)，使用云服務(wù)儲存您的重要文件。這樣，即使您的系統(tǒng)感染了勒索軟件，也不會失去太多有價值的數(shù)據(jù)。

FreeBuf擴展閱讀：

什么是勒索軟件，15個簡單步奏保護您系統(tǒng)的安全

為什么醫(yī)院是勒索軟件的理想目標

Motherboard：勒索軟件一年獲利150萬美元

大型數(shù)據(jù)泄露

今年春天是大型數(shù)據(jù)泄露事件的多發(fā)期，LinkedIn, MySpace, Tumblr幾家大公司的數(shù)據(jù)，大約有5億已經(jīng)在暗網(wǎng)兜售。

LinkedIn是第一個被黑的社交網(wǎng)絡(luò)，這件事發(fā)生在2012年，當時泄露了大約有650萬賬戶（官方說法）。

然而泄露的庫在暗網(wǎng)出售時，真實數(shù)目至少是上面數(shù)字的25倍（1.67億）。

更多在售的數(shù)據(jù)：

MySpace：3.6億賬戶

Tumblr：6500萬賬戶

Fling（一個約會型社交網(wǎng)絡(luò)）:4000萬賬戶

當然，黑客也會利用賬戶密碼去其他大型網(wǎng)站撞庫，從而獲得更多的受益，畢竟不少普通人采用的是相同的賬戶密碼的。

即使是Facebook老總扎克伯格也沒能幸免，他LinkedIn的密碼與其他賬戶相同，黑客利用密碼進入了他的Twitter、interest和Instagram賬戶。

當然，還有Katy Perry、Drake、ana del Rey等社會名流的賬戶也被黑了。

此外，Twitter的CEO Jack Dorsey、 Google的CEO undar Pichai、Oculus VR的聯(lián)合創(chuàng)始人Brendan Iribe，他們的Twitter賬戶也慘遭黑手。

所以，在某個在線服務(wù)網(wǎng)站淪陷后，你需要盡快更改你的密碼，并確保口令足夠強勁且未重復(fù)。

這里有50多個網(wǎng)絡(luò)安全博客的列表清單，你可以關(guān)注一下。

同時，社交網(wǎng)絡(luò)不是唯一的突破口，下面是世界上最大的數(shù)據(jù)泄露事件統(tǒng)計圖：

 

今年我們也經(jīng)歷了以下的大事件：

菲律賓選舉記錄數(shù)據(jù)泄露

維基解密泄露美國民主黨通信和錄音以及email

土耳其Erdogan的郵件泄露

美國政府宣布自2009年來，約1.21億人的健康信息被黑客竊取

 這里還有一些來自最新的Verizon數(shù)據(jù)泄露行業(yè)報告的統(tǒng)計：

在93%的攻擊里，黑客花費很少的時間就攻陷了系統(tǒng)

五個受害者里有四個人，會在事件發(fā)生后很久才意識到被攻擊了

在7%案例中，可能數(shù)據(jù)泄露后一年之內(nèi)都不會被發(fā)現(xiàn)

63%的數(shù)據(jù)泄露可能是由于弱口令

 這里有一些資源，可以幫助你做好安全工作：

第一步：如同安全專家一樣，學(xué)習(xí)如何管理你的認證信息

第二步：盡可能使用雙因子認證

第三步：避免曾經(jīng)泄露的數(shù)據(jù)帶來的二次危害

Motherboard也給出了圖表，向大家展示越來越多的數(shù)據(jù)泄露事件：

身份認證盜竊依然嚴重

當黑客竊取了你的數(shù)據(jù)，他們會利用它做一些金融方面的惡意操作。比如，他們會開設(shè)新的銀行賬戶，以你的名義取出貸款，毀掉信用卡和信用評級等等。

除了可能給你造成經(jīng)濟損失外，還會導(dǎo)致其他額外的后果。比如有一天，你可能莫名其妙就幫人背了一系列犯罪的指控。

大部分的身份認證盜竊的受害者，其實并不知道當初發(fā)生了什么。

最近的統(tǒng)計結(jié)果表明：

大約有70%的受害者，其實并不知道黑客是如何獲取他們的信息的

92%的受害者甚至不知道被竊取了個人信息

（來源：IdentityForce）

這些是由于黑客們大多都能很耐心地潛伏等待，直到獲取合適信息的時機。

當然，你可能會產(chǎn)生一種錯覺，覺得這些身份盜竊事件不會影響到你，但其實它是最嚴重的欺詐行為之一。

這里還有更令人頭疼的統(tǒng)計數(shù)據(jù)：

在2015年，身份盜竊成為了第二熱門的欺詐類型，比之2014年增加了47%以上，而在2016年這個數(shù)字應(yīng)該還會上升。

（參考來源：聯(lián)邦貿(mào)易委員會的年度報告）。

在美國，每年大概有1200萬左右的身份欺詐受害者，總經(jīng)濟損失約263.5億美元（來源：StatisticBrain）。

你可以從我們的安全指導(dǎo)中，找出確保自身信息安全的方法：

簡單20步避免身份信息失竊

 

移動安全

大家可能知道，今年媒體的熱門話題之一，便是FBI和蘋果公司的解鎖撕逼大戰(zhàn)。

讓我們回顧下這件事：

FBI想要獲得San Bernardino射擊案件中某嫌疑人的iphone控制權(quán)，所以聯(lián)邦法官要求蘋果公司提供工具幫助他們解鎖手機，但蘋果拒絕了。

在蘋果公司的一封公開信中，庫克表示，他們未曾在系統(tǒng)中插入后門，只因為害怕這會成為不法之徒的利器。

當然，F(xiàn)BI最終發(fā)現(xiàn)了另一種方法來突破該手機，這個案件后來被駁回了。

當然，我這里不會過分強調(diào)這些東西，相信大家都很清楚智能手機安全的重要性。

手機這種便攜設(shè)備占用了我們大部分時間，而且正在變得越來越強大，我們也越來越依賴它們。

 

在未來，我們希望看到更多類似于FBI和蘋果的安全討論大戰(zhàn)，然而我們需要思考：

我們應(yīng)該怎樣在隱私和安全之間畫一條線？

我們應(yīng)該如何實現(xiàn)隱私安全之間的平衡？

如果黑客打算進入我們加密的系統(tǒng)，訪問我們的隱私數(shù)據(jù)，我們應(yīng)該如何應(yīng)對？

那么，如何保持我們的智能手機安全呢？這里是智能手機安全指南：

最簡單的保持手機和數(shù)據(jù)安全的方式

物聯(lián)網(wǎng)

物聯(lián)網(wǎng)的威脅來得比以前任何時候都真切，這不僅是關(guān)乎到我們的隱私，也關(guān)系到我們的物理安全。

想象一下這樣的情形：

竊賊正在想法子從你家里打開一個突破口，而你家的智能家居系統(tǒng)其實并不符合網(wǎng)絡(luò)安全標準

你在開車時，可能會失去車子的控制然后出現(xiàn)意外，因為智能汽車也會被黑

國家的發(fā)電廠也可能受到網(wǎng)絡(luò)攻擊

恐怖分子可能會控制你所在的火車

不幸的是，這些事件都是可能發(fā)生的，而且它們已經(jīng)影響到了我們的生活。如果真的會因此發(fā)生一場大災(zāi)難，也只是時間問題。

現(xiàn)在產(chǎn)品供應(yīng)商不得不尋求安全性和數(shù)據(jù)隱私之間的完美平衡，盡管現(xiàn)在技術(shù)已經(jīng)有了進步，我們也無法想象幾年前物聯(lián)網(wǎng)安全的窘?jīng)r。

相關(guān)閱讀：

物聯(lián)網(wǎng)會導(dǎo)致有史以來最大的網(wǎng)絡(luò)災(zāi)害

歡迎來到隱私地獄：物聯(lián)網(wǎng)

增強現(xiàn)實游戲（AR）

現(xiàn)如今口袋妖怪（Pokemon Go）已經(jīng)成為世界性的流行寵兒，我們也開始意識到增強現(xiàn)實游戲會給我們帶來的新興威脅。

我們當前的技術(shù)是先進而讓人欣慰的，但游戲的創(chuàng)造者和國家當局必須解決新出現(xiàn)的安全問題。

首先，是關(guān)于物理安全方面的問題。我們肯定都聽過那些受傷、搶劫和自殺的案例。他們太沉迷于增強現(xiàn)實這塊兒，卻不太關(guān)注真實的世界。

還有就是在真實世界中，有關(guān)網(wǎng)絡(luò)安全和隱私問題。大家想想，如果咱們都玩這類游戲，我們智能手機中的圖像和音頻、定位跟蹤和其他信息肯定會因此泄露。

如果這些數(shù)據(jù)最終落入了不法之徒的手中會怎么樣？

拓展閱讀：

新興增強現(xiàn)實游戲帶來的威脅

美國中情局、海外國家和數(shù)據(jù)安全專家對于Pokemon Go的風(fēng)險分析

增強現(xiàn)實和網(wǎng)絡(luò)安全的未來

結(jié)論

雖然可能有些多余，但是我必須重復(fù)一下上面所述的要點，保證大家有自我安全保護的意識：

了解網(wǎng)絡(luò)安全的新聞

對于新的技術(shù)，大家可以嘗試，但也需要知道它存在的潛在威脅

任何時候都需要設(shè)身處地，想象可能發(fā)生的事和應(yīng)對方法

采取所有可能的措施，減少網(wǎng)絡(luò)攻擊帶來的危害

不要任何威脅讓你措手不及

 *參考來源：HS，F(xiàn)B小編dawner編譯，轉(zhuǎn)載請注明來自FreeBuf（FreeBuf.COM）