信息安全威胁如夏日的苍蝇一样无穷无尽。经常有这种情况,已经做好了准备措施,并针对安全风险做好了完全保护,但突然又有一个新的漏洞利用伎俩粉墨登场了。
不管你是正在保护企业信息资产的安全管理人员,还是努力保持个人数据安全的普通员工,各种新旧威胁都会给你带来潜在的巨大风险。下面我们分析一些新兴的安全威胁及其应对措施。
文本消息恶意软件
虽然智能手机的病毒仍很少见,但文本通信攻击已经开始兴风作浪。如今的PC都已经做好了良好的防范措施,所以黑客已开始转向移动设备。其动机当然是为了金钱。文本通信为这些不法之徒提供了赚钱的途径。
人们日益依赖于移动设备,针对智能电话操作系统的文本消息攻击已经不再是“有可能的事情”,不仅消费者会面临这些风险,任何使用公司智能电话的员工,如果他滥用文本消息,都有可能将企业的网络和数据置于风险之中,并有可能导致违反规范的问题。
这种攻击与针对普通电脑的攻击非常类似。有时,一个包含SMS或MMS附件的消息会伪装成一张有趣的或性感的图片,吸引用户打开。一旦用户打开或下载此图片,就会将恶意软件安装到设备上。在加载时,它会要求访问特权,并通过手机中可以获得此用户消息的联系人进行传播。
通过这种方式,黑客会构建一个可以发送文本消息垃圾邮件(此邮件拥有到达黑客欲销售产品的链接)的僵尸网络,而且每条消息都要向用户收费。
还有一种伎俩,即一个链接到某应用程序下载的文本消息,实际上却会下载一个木马,通过智能手机发送海量的SMS。
此外,对于雇员的愚蠢行为或错误,许多单位并没有采取什么预防措施。例如,某安全专家在对公司雇员进行培训过程中,用一个携带有虚假蠕虫的消息给用户发送了文本消息。在培训结束后,调查发现,许多雇员已单击了其中的链接。
为使恶意软件远离用户的手机,建议企业制定实施严格的策略,限制哪些雇员可以使用公司的网络和手机使用文本消息,并限制通过文本可以进行的操作。另外一个选择是完全禁用文本通信,至少在业界制定出应对这种威胁之前可以是这样。
对普通用户来说,理智和常识是最佳防御。不要单击来自并不认识的人所发送的文本消息链接或附件。即使对于熟悉的联系人所发送的消息也要格外当心,因为他们也会在无意中成为僵尸网络的一部分。
社交网络账户欺骗
越来越多的人使用频繁社交网络,因此易于受到社交网络账户欺骗这种新技术的攻击。其要点在于,欺诈者将自己扮演成用户认识的朋友或亲戚,然后接近用户,并欺骗用户泄露个人信息。欺诈者使用此信息访问用户的其它账户,最终窃取用户的身份。
在一次典型的欺诈中,黑客通过某种服务联系你,将自己扮演成一位朋友或同事或是你信任的任何人。然后,这位新“朋友”会通过文本消息或电邮直接联系你。在社交网络之外,有位新“朋友”来联系你,这看似奇怪但又似乎在情理之中,因为你相信他与你信任的某个人有密切关系。
还有一种情况,欺诈者有可能“变成”你已经认识的某个人,例如,宣称自己是来自某学校的老校友。欺诈者可以跟踪你的公共新闻订阅或查找你在某网站上的同事的姓名来找出你的社会关系。
一旦欺诈者与你建立了联系,他就可以使用隐蔽方式来窃取你的个人数据,如查明家庭成员的名字、喜欢的品牌、爱好以及其它看似不重要的信息,然后根据这些信息来猜测你的银行网站安全问题。
社交网络账户欺骗背后的观念根本不是什么新东西。让你透露个人信息是也是一种老伎俩。当今的社交网络仅仅为网络犯罪提供了接近普通用户的一种新途径。这种伎俩之所以起作用,在于一般没有什么方法知道你在网络上信任的那个人是否真是他所宣称的身份。
社交网络的一个问题是普通用户都使用Web界面,并且无法检查IP地址或报头信息。一切都显得那么美好。
但社交网络上的黑客们日益狡诈。他们首先要确定一个目标,然后调查:这是怎样的一个人,他在干什么,他喜欢做什么?
而且,社交网络攻击有时与电邮及网站欺骗相结合。你可能会与某人建立了友谊,然后收到了他的邮件,但实际这是一个骗局。在你单击了邮件中的一个链接时,你就会被带到一个虚假的网站,登录此网站会泄露你的用户名和口令。
还有一种可针对公司和个人的攻击。骗子可能会建立一个社交网站网页,宣称自己是公司的官方网页。为了显得更可信,骗子还可能宣称,此网页是联系公司的一种正式方法。
该网页还可能提供免费(当然是虚假)的优惠信息吸引着人们加入,在人们与社交网络上的其它人共享时,其危害就更大。一旦大量的人员加入,骗子就会诱骗他们提供个人信息,例如,欺骗他们说可以提供其它优惠。
这种攻击具有双重危害:一是消费者受到危害,因为其个人数据受到损害,二是公司受到损害,因为客户将这个假冒的社交网站与真实的公司联系起来,进而决定不再购买其服务和产品。
黑客们通常不会不辞辛劳地模仿一个人或公司,他们更倾向于发送链接,用钓鱼伎俩来欺骗你。有时,通过电邮的报头或IP地址就可以跟踪这种攻击,而且很多这类攻击太概括,没有针对性,对于稍微谨慎的人来说,是不容易上当的。
还有一些看似明显却常被忽略的预防措施。,如果有人说他是一位朋友的朋友或同事,务必要用你的常用联系方式来确认他的身份。而且,锁定你在社交网站的私密设置也是一个不错的办法,因为此时你的联系人信息、帖子、照片等内容对任何人都是不可见的。
对公司而言,没有什么办法可以阻止黑客建立一个假冒的社交网页,但公司可以监视其公司的名字在网络上的使用情况。如果出现了一个未经授权的网页,公司就应当要求社交网站清除这些假冒的东西。
GPS干扰和欺骗
还有一种干扰GPS信号的新兴犯罪伎俩。其实,从源头上干扰GPS信号几乎是不可能的。阻断来自GPS卫星的无线电信号需要大量的反传输。
然而,用一种低成本的干扰设备就可以干扰GPS接收器。这种设备可以用一种类似的信号来使GPS的接收设备过载,接收器无法找到稳定的卫星传输,就会陷于混乱。
这种混乱不仅讨厌,更会带来严重的安全威胁。例如,黑客可以在路口设置一个干扰器,临时禁用过往车辆的GPS。当然,这种攻击目前相对少见。
欺诈性的GPS信号是更大的危险,GPS接收器一般是低功率的设备,它可以接收任何强信号。曾有专家试验过给过路车发送GPS欺骗信号。在测试过程中,错误的GPS信息被发送给临近的接收器,干扰了其正常运行。
但安全业界往往是反应性的:直至出现了一种灾难性的漏洞利用才对此采取措施。因为GPS欺骗还是新生伎俩,目前没有哪个机构愿意开发安全项目。
当然,任何个人都无法采取措施来应对GPS干扰或欺骗。如果你开车时或使用掌上电脑时,有人发送了干扰信号,接收器会出故障或被欺骗。但当你远离干扰或欺骗设备的范围时,设备又会正常工作了。#p#
攻击进入智能电网
一种常见的误解是,只有开放的网络,如公司给来宾访问的无线网络,易于遭受攻击。但实际上,找到一个接入点,进入所谓的封闭系统并没有那么难。
例如,Stuxnet在去年就感染过成千上万的Windows电脑,其重要特点是很多电脑都运行着西门子SCADA系统。它主要是通过USB闪盘传播的。这证明,要给一个行业的控制网络带来潜在的巨大灾难,还是相当简单的。
另一个新攻击点是智能电网,这种电网使用电子计量来简化电力管理。全世界的公用事业公司都已经开始对智能电表进行测试,并部署到消费者的家里和企业中。该技术可以从一个中央系统发送数据,也可以由此系统接收数据,它对于IT而言,是很有好处的,比如,你可以打开一个控制台,查看某大楼的某部分的电力耗用情况。
但智能电网也易于遭受攻击,因为黑客有可能切断到家庭和企业的电流,并制造其它破坏。一种可能的攻击媒介是智能电网的通信基础设施。如果公司使用客户智能电网系统,其传感器会借助于用户的家用无线Wi-Fi网络将能耗的使用反馈给中央服务器。
正因如此,终端用户有可能利用自己的网络,访问用于提供电力的变电站。而且,这些类型的网络还有正确分段或受到保护。攻击者一旦进入,就会被当作一个可信用户,可以访问其它区域。攻击者有没有可能破坏变电站或城市呢?完全可能。他们可以植入一个后门,使电网在特定的时间瘫痪。
另外一个值得关注的漏洞在于智能电表本身,此问题同样会影响到智能电网。例如,安全服务厂商IOActive发现了智能电网设备中的几个缺陷,黑客可以利用这些缺陷访问智能电网网络,并切断客户的电力。
黑客可以利用新闻来发现用于智能电网中的技术,然后返回到基础设施并找到漏洞。例如,如果某公司宣称使用了某项技术,黑客就可以找到能够发现相关控制器和突破进入系统的方法。
最有效的防御措施是严格的隔离。智能电网不应当联接其它网络。因而,公司迫切需要渗透测试,以确保封闭网络中的防火墙是安全有效的。
“严格的隔离”规则也适用于家庭用户。客户绝对不应当将智能电网网络与其家用网络桥接起来。建议家庭用户熟悉其智能量表,以确认用户能够识别他们是否受到了利用和损害,并要求其公用事业供应商部署相关的安全措施,以保护电表和网络。
网络恐吓
社交网络改变了人们的交流和工作方式,许多人对此津津乐道。然而,有些人却通过社交网络让别人的生活变得更糟。
有一个叫做网络恐吓或网络侵扰的新概念,它是涉及到对个人或单位进行网络攻击的一种行为,如对你做出各种否定性的评论,或对你在社交网站上的的照片进行恶搞。而作恶者有可能躲在别名之后,隐藏其身份。
我们可能听说过未成年人在网络上恶搞别人的案例,但成年人也可以在其工作场所连接到社交网络,这时,与工作场所有关的攻击有可能会涉及到其它雇员,或是试图窃取公司信息的其它人。
网络恐吓很难定义,因为其威胁形式太多,而且其行为背后的动机也千差万别。网络恐吓可来自人际关系破裂,或者是由于竞争者试图破坏公司形象而实施的不法行为。
为使网络恐吓远离公司网络,企业需要实施所有常见的公司安全工具,如防火墙和加密等。此外,公司应当建立社交媒体策略,要清晰地规定雇员可以将哪些信息粘贴到公共网站上,不应当粘贴哪些信息。
如果雇员受到了网络恐吓或网络侵扰,应当立即将其向执法部门报告。如果恐吓发生在工作中,还应将其报告给人力资源部门。不要删除这些非法的帖子,或其它的恶意通信,应当保留事件的所有文档,这样做不仅是为了保留证据,更是为了执法部门可以根据电邮和论坛的帖子来跟踪冒犯者。
最佳的防御是尽可能认真地保护个人信息。例如,千万不要在网络上泄露自己的生活细节,如现住地和工作地、动向(例如,在度假或在家生病等),这都会使你易于遭受攻击。
小结
对于本文所讨论的多数威胁而言,采用如下预防措施就足够了:
1、采用强健的加密技术。
2、在社交网络上仅与可信任的人员交互。
3、在公司网络上经常进行渗透测试,这有助于减轻恐惧。
