最近你们听说了吗?
一个16岁的黑客被抓了,被判医院终身监禁。
这也不是啥大新闻,但关键是他黑的是GTA6!隶属于Lapsuss黑客组织。
一提到Lapsuss,相信大家都不陌生,这个黑客组织仅 2022 年1 、 2 月份就黑过 6 家公司,其中包括葡萄牙最大的媒体集团 IMPRESA ,英国电信集团 Vodafone ,以及大家耳熟能详的英伟达。
同年3月,这个黑客组织还攻击三星、微软等公司,导致科技公司损失高达上亿!
这次入侵GTA6的黑客名叫Arion,他患有自闭症、多动症等多种疾病。即使在被捕后,这位少年依然没有任何悔改的意思。他是Lapsuss黑客组织的一员。
Lapsuss能成为科技行业毒瘤的原因,可不单单靠电视棒神奇手段,还通过社会工程学攻击贿赂员工,搞定内部账号。
随着实名认证的广泛应用,网络上不仅有着大量企业数据,而且个人信息也变得异常丰富。有一天,我们的隐私会不会也像GTA6一样广泛泄露,被不法分子可能会趁机谋取私利,对我们和身边人的利益造成威胁?
一、Log4j2大冒险 黑客秘籍曝光,企业安全靠啥拯救?
为了解决这个问题,小ZA专访了众安保险的信息安全负责人肖衿。他向我们简单介绍了社会工程学攻击:所谓社会工程学攻击,就是一种对受害者设下心理陷阱来获取自身利益的方法。
例如大家常见的缅北电信诈骗就是很典型的一种,只不过这里骗的是内部账号。社工攻击虽然危险,但只要企业加强内部管理,提高员工安全意识,对付社工这样的攻击方式有行之有效的防御术段的。
当然,黑客可不只是这一招,他们的手段多到让人防不胜防。
Log4j2有个远程代码执行漏洞,可以在未经授权的情况下植入代码,继而植入一个代码,成功渗透企业内网。攻击时,他们首先找漏洞,探测符合漏洞利用条件的目标,然后利用攻击脚本进行自动化攻击。
他们的攻击规模往往是数亿甚至几十亿级别,所以很容易取得成功。一旦成功,这些攻击者往往会化身勒索者,加密数据,并要求受害企业支付比特币赎金。因为加密货币的特性,警方可追查性不大。所以,企业预防黑客攻击真的太重要了!
二、信息安全攻略在此
肖衿介绍:“为了防范黑客攻击,最直接有效的方法是实施纵深防御体系。就像个洋葱,企业核心数据在中心,外围是一层层的防御机制。就算有一层被攻破,其他手段还能堵住漏洞。总结成四个词:进不来、拿不走、跑不掉、用不了。”
进不来:也就是防,通过网络划分、网络准入、访问控制等策略,拒绝一切非法访问。
拿不走:相当于审,相当于采用3A机制(鉴权、授权、审计),确保黑客进入后,除验证身份外,还要验证资源访问资格。
跑不掉:相当于阻,通过权限最小化原则,限制黑客入侵的范围,并设置入侵发现和阻断机制。
用不了:也就是掩,在数据拖走的过程中,使用数据防泄漏系统DLP,根据流量或内容异常发现并阻断不正常行为。
此外,对敏感数据采用加密或者碎片化处理,即使数据被窃取,黑客也难以直接使用。
不仅企业,黑客们还会通过攻击个人的方式间接获取数据。有人可能觉得自己信息不值得黑客费心攻击,但信息泄露的后果在身边就有发生。比如那些烦人的骚扰电话,其中一大来源就是互联网信息泄露。
2011年,某Q、某博等常用软件就泄露了近10亿多条信息。
信息一旦泄露,难以挽回。那么在现在,我们怎么保护自己的隐私呢?
肖衿给了些建议:
“首先,我们要用强密码。至少8位,包括大小写字母、数字和字符,至少选择3种。如果担心记不住,可以把一首诗或一句话通过谐音或象形的方式转化为密码。
其次,一定要仔细检查发布在网上的照片,确保图片中没有暴露自己身份的信息,例如手机号、身份证之类的。毕竟曾有黑客说过:互联网上有你的人生。
最后,大家一定要提高反诈意识,因为黑客总是喜欢利用我们的恐惧、贪婪等心理来欺骗我们。”
在大环境不变的情况下,无论我们个人防护的再好,保护信息安全这事都好像在潮水中游泳,退潮的时候才发现,我们可能是在裸泳。
— E N D —
文/ZA技术社区
60
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
