駭客可以透過各種系統或軟體漏洞,搭配許多技術和工具進行 漏洞攻擊 。這些網路攻擊種類繁多,防不勝防。如果您想保護上網的安全,應該要了解這些駭客手法,並使用正確的工具進行防範,如此將能識別漏洞並避免攻擊。
在全世界擁有多個加密貨幣 ATM 的製造商與軟體商 GENERAL BYTES 於 8/18 公告,表示其加密貨幣應用伺服器 (CAS) 漏洞遭到利用,截至 8/22 為止已回報損失 16000 美元價值加密資產。官方呼籲營運 BATM 廠商盡快按照官方指導步驟更新軟體與重置用戶密碼。
官方表示,攻擊者發現一個 CAS 管理介面中的安全漏洞 ; 透過該漏洞,攻擊者創建了一個預設的管理者用戶,更改了某些雙向 BTM 裝置的設定,並將攻擊者的地址設為「無效支付地址」。當用戶發送無效支付的時候,這些雙向 BTM 就會將資金轉到攻擊者的錢包。
這個漏洞從 2020 年 12 月 8 日起的版本就存在,在當時至今多次的代碼審計都沒有警示該漏洞 ; 這些攻擊是在官方聲援烏克蘭之後的第三天開始發生。
網路釣魚 Phishing
與大多數駭客攻擊不同,網路釣魚的目標是設備的用戶,而不是設備本身。這種攻擊經由一封精心設計的電子郵件來欺騙受害者,誘導受害者打開郵件上的惡意網站連結或郵件上的附件,讓受害者的設備受到感染,進而竊取設備上的機密資訊。
網路釣魚有非常多的攻擊手法,其特徵是偽裝成來自可信任來源的郵件或訊息,誘騙受害者上當。最簡單的預防方法是對電子郵件保持懷疑的態度,如果一封看起來正常的電子郵件附帶可疑的連結,請檢查網址的正確性。也不要隨意開啟電子郵件上的附件,除非您確定附件是安全的。
勒索軟體日益猖獗,贖金金額持續上升
據統計,洩密網站上平均每四個小時就會出現一個新的勒索軟體受害者。因此,及早識別勒索軟體攻擊對企業至關重要。普遍情況下,勒索軟體攻擊者只有在文件加密後才會被發現,同時受害企業會收到勒索訊息。 Unit 42發現,勒索軟體攻擊的停留時間中位數(即攻擊者被偵測到之前,在目標環境中花費的時間)為 28 天。最高勒索贖金為3,000萬美元,最高實際支付贖金800 萬美元,相較於《2022年勒索軟體報告》的結果相比,正穩步增長。而且越來越多的攻擊者開始使用雙重勒索,強迫企業支付贖金,否則公開企業的敏感訊息。
小心電子郵件寄送的指示
有些網路釣魚電子郵件聲稱來自電腦支援部門或技術公司,並要求您回傳密碼、允許「電腦維修人員」遠端存取您的電腦,或停用裝置上的某些安全功能。這樣的電子郵件可能會提供一個為何有此必要的說明,例如聲稱您的電子郵件空間已滿,或您的電腦已被駭客入侵。不幸的是,遵守這些虛假的指示可能會對您的資訊安全不利。在提供任何技術資料或遵循技術指示之前要特別小心,除非您可以絕對確定請求來源是真實的。
如果您對別人發送給您的電子郵件或連結存疑,請不要打開或點擊該連結,直到您使用上述的提示排除疑慮,並確信收到的內容並非惡意。
Comments are closed, but trackbacks and pingbacks are open.