“请问WiFi的密码是什么?”、“这里有免费WiFi耶,快连!快连!”上网已经成为我们的生活习惯,不论走到哪都想要连接WiFi,只是,你确定你连到的是“正牌”公共WiFi吗?
中国网友在论坛上分享,自己在外面连接公共WiFi,没几分钟居然收到银行讯息,表示帐户内逾6000元人民币(约3535令吉)存款被盗领。事件经过报导后引起当地民众热议,有专业网友跳出来呼吁大众,千万不要使用公共WiFi,因为危险程度几近“裸奔”,毫无隐私可言。
针对此事,网络安全公司LGMS首席执行员冯宗福解释,骇客透过建立造假的网络热点,便能偷窥连接者的浏览记录,甚至盗取帐号密码等等。他呼吁:“尽量不要用公共WiFi或尽量少在公共地方上网。”值得注意的是,基于造假的网络热点几可乱真,让人无法识别它的真伪,冯宗福甚至打趣说:“骇客甚至能做得比‘正牌’的更美。”
虽然他一再强调要尽量使用移动数据,但移动数据也仅供手机使用,当分享热点予笔记电脑时,骇客仍有可能会建立属于手机的造假热点,让人防不胜防。对于目前的防范措施,他坦言,除了尽量不使用公共WiFi,也要时刻记得关闭手机自动连接WiFi功能。他解释,因为当周围存在免费开放且无需密码的WiFi热点时,手机就会自动连接,进而让你堕入陷阱。
骇客入侵手法多 提高警惕 防骇未然
根据工作人员的现场示范,建立一个造假热点只需区区3分钟。之后,只要有人上钩,骇客便能潜入上钩者的电脑,监视对方的一举一动,就连输入银行网站的帐号及密码都一览无遗!
从事网络安全工作将近15年的冯宗福直言:“网络世界越来越可怕。”他分享,过往骇客攻击人的目标多半是满足好胜心,但现在已经演变成为了钱。“很多骇客都是以组织性的模式经营,非常专业。”
今年6月,一款名为“GandCrab”的勒索病毒运营团队宣称在一年半的时间里获利20亿美元(约83.8亿令吉),这一消息震惊全球。这个案例也将大大刺激更多不法分子继续经营勒索病毒业务。
说到勒索病毒,不可不提两年前“WannaCry”在全球大爆发,封锁超过10万台电脑,并要求受害者支付300至600美元(约1250至2500令吉)赎金。
冯宗福强调,在这个年代,只要有上网,人人都有可能成为骇客的攻击对象。“很多中小型企业或个人用户常会觉得自己不可能是骇客的对象。”但他说,大部分骇客基本上是采用撒网捕鱼的方式,看谁不幸上钩。
冯宗福认为,相比起大机构,无论是中小型企业或个人用户其实都更为吃亏一些,因为大机构每年都投放了不少资源在网络安全上,甚至定期进行安全检测。相反的,中小型企业和个人用户却经常忽略这一块。
他分享,LGMS提供的安全检测,除了检查网络漏洞,还包括了现实操作中的漏洞。他举例:“如果接到银行的案子,我们可能会在凌晨时间假扮总行人员并宣称要进入内部进行检查,以此试探银行保安人员的反应。”
对于至今面对最大的挑战,他笑言:“要时刻和骇客斗智斗力。”他解释,骇客是人不是机器,对付他们没有一个既定的方案,需要时刻见招拆招。
骇客惯用手法:
1. 洪水攻击(Flood Attack)
洪水式攻击指的是利用计算机网络技术向目的主机发送大量无用数据报文,使得目的主机忙于处理无用的数据报文而无法提供正常服务的网络行为。攻击者一般针对重要服务进行攻击,如银行,信用卡支付网关,甚至根域名服务器。这种攻击常被用予表达抗议,同时也见于部分游戏,被心怀不满的玩家或是竞争对手广泛使用。
2. 网络钓鱼(Phishing)
网络钓鱼攻击通常会利用欺诈性电子邮件诱使用户在欺诈性网站中输入敏感信息。这些电子邮件通常会通过要求用户重置密码或确认信用卡信息,致使他们登入与原始网站非常相似的虚假网站。
网络钓鱼的主要类型是复制式网络钓鱼、鱼叉式网络钓鱼和域欺骗。
3. 勒索病毒(Ransomware)
勒索病毒是一种特殊的恶意软体,让你失去对自己系统或资料的控制,而且如果不付钱给这攻击的背后黑手也就无法拿回来。就像是你的系统或资料成为了人质,让你被迫去支付赎金。这也就是它被称为“勒索软体”的原因。
截至目前为止,勒索病毒散播超过10年,第一个版本早在2005年就在俄罗斯现身。从那时候起,勒索软体传遍了全球,发展出许多不同的版本。
备份资料 对抗勒索软体
为了避免勒索软体的恶意攻击,必要措施不外乎让电脑作业系统永远保持在最新的状态以及安装合适的防毒软体。但冯宗福强调,至今仍没有任何一家防毒软体敢保证能100%防范勒索病毒的入侵,因此除了良好的使用习惯,多版本备份才是对抗勒索软体的最佳武器。“根据过往经验,电脑遭受攻击后,一般都‘救’不回。”
他同时补充,企业也应该定时为员工进行培训,提高网络安全知识,包括不随意下载可疑档案或点击可疑连接等。
盘点不可思议的骇客攻击手法:
1. 透过键盘余温窃取密码
你可知道?如果输入密码后立刻离开座位,密码很有可能会被人窃走。
加州大学艾尔文分校(University of California,Irvine)研究人员研发出以热感摄影机量测手指留在键盘上的馀温,借此窃取密码。此攻击手法可在输入密码后一分钟内,利用中阶热感式摄影机搜集到键帽上被按压过的温度。
2. 劫持SIM卡
骇客透过劫持SIM卡让用户手机无法打电话或上网,甚至窜改帐号密码。
骇客藉著掌握一些身份证明资讯,假冒受害人向电信业者谎报手机遗失,需申请新的SIM卡。
取得了受害者的SIM卡之后,透过简讯存取包括受害者的电邮、加密货币帐号甚至电子钱包。
3. 海豚攻击(Dolphin Attack)
此技术能向智能语音助理包括Siri、Alexa或谷歌助理等等发送人耳接收不到的声音,并暗地里向它们下命令,比如打电话、下单或打开含有病毒的网站等等。
4. 自动贩卖机App免费储值
随著时代的演变,市场上的自动贩卖机已从传统的投币模式进展到可用App中的虚拟钱包来付款,却也替骇客开辟了一个新乐园。
意大利的安全研究人员马泰奥(Matteo Pisani)最近骇进了当地著名的咖啡自动贩卖机品牌Argenta,让自己能够于App上无限免费储值。
