昨天,有相关机构发布了一份2018年数字货币盗窃研究报告,其中的数据让人触目惊心。下面让我们来看看报告的关键信息:
- 2018年至今,被盗的数字货币总额已经超过了11亿美元(2016年全年为13亿美元)。
- 暗网上出售的与数字货币有关的恶意软件有3.4万多个,其中65%都与盗窃数字货币有关,价格在1~1000美元不等,平均售价为224美元。这些工具是迎合“市场需求”的产物,即使是菜鸟也能很快上手,把受害人的数字货币钱包快速掏空,然后不露痕迹地转移到罪犯的钱包。这反映出很多犯罪分子(包括菜鸟级新手)都想从不受安全身份保护的受害者身上低成本“赚”快钱。
- 与上一条相对应的是,窃取加密货币钱包的恶意软件,的确最受犯罪分子欢迎,有41%的事件都与此有关。
- 数字货币交易所是最脆弱、也是最主要的攻击目标。在所有事件中,有27%是直接攻击交易所导致的。这些黑客还能在后续的攻击中,对窃取的用户信息(账户密码、支付信息等)重复利用,这种情况的盗窃事件竟然也能达到14%。
报告建议使用端点保护软件,个人用户则不要安装不受信任的应用或点击钓鱼链接。同时,报告还建议将数字货币存储在冷钱包中。
保护身份安全是关键
当然,没有任何一种防护措施可以做到百分百安全,比如即使是离线的冷钱包,黑客也能通过数学公式倒推私钥;再比如,在高超的社工下,没有人能确保完全避开钓鱼攻击。因此,谁也不能保证身份信息不会被泄漏,信息泄漏之后的身份保护措施就显得非常有必要。
从这份报告中也可以看出,数字货币交易所和个人用户都是黑客攻击的薄弱环节,而窃取身份是最主要的手段。也就是说,区块链业务在账户准入方面的安全问题非常严重。
因此,除了以上报告中提到的建议之外,还应该采用仅能识别用户本人的身份认证技术,防止身份冒用,此外,还要进行持续性的安全监测,防范新型安全攻击。这两方面正是锦佰安科技的专长。
精确识别用户本人的身份认证技术:锦佰安科技自主研发的SecIDAI行为识别身份认证,基于每个人独特、不可复制的操作行为特征精确识别用户本人。黑客即使窃取密码,也会因为其行为特征与真实用户不匹配,而无法登陆,从而保障了数字货币钱包的安全。因此,SecID可以应用于敏感性操作(注册、登录、支付、转账等)的身份鉴别,以及大额交易时的身份识别与授权,防止身份被冒用的情况发生。
数字货币交易所内部:对内网办公环境中涉及的网络准入(VPN/WiFi)、办公PC登陆、访问电子邮件系统、访问其他Web类办公系统等登陆操作,集成SecID多因素身份认证,在静态密码的基础上,增加了一个黑客也无法绕过的二次强身份认证环节,从而确保只有合法可信的人进入对应系统,有效防止钓鱼、弱口令、账户职权混乱和内部恶意人员导致的安全隐患,同时又能安全审计、责任到人。
持续性的安全监测:锦佰安科技提供每月两次的高频次安全检测,贯穿软件系统整个生命周期的安全服务,上线前360度全方位安全检测等,防范复杂多维、手段变化多样、隐藏技术运用多的新型安全攻击。
结 语
9年前,比特币还是一个名不见经传的新词,到了今天,数字货币已经开启了一个投资的新时代——以数字货币形式出现的“淘金热”。但随之而来的数字货币窃贼也越来越猖獗,使数字货币被盗事件数量和金额呈现猛增的趋势。
从中长期来看,数字货币盗窃事件还会持续增加,而相关交易平台的安全建设却严重滞后。网络攻防是一场永不停歇、没有硝烟的战争,攻击手段在进化,防御手段也应进化并及时应用。否则,以数字货币的火爆程度,更大的损失还在后面。
674
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
