如若转载本文请在文章顶部标注“本文转载自51CTO(ID:weixin51cto),作者:熊小妹”
2016年是黑客们“大显身手”的一年,各种信息安全事件层出不穷,今天熊小妹就给大家盘点一下这一年的黑客和安全事件吧。
说实话,这一年的每时每刻,世界各地的黑客们都没有闲着,每个月都会闹出不少事,熊小妹也只能挑一些重点的给大家说说了。
熊小妹把快播案排在第一位并不是说它和黑客技术有多大的关系,主要是它是2016年中国互联网开年第一案,不仅闹得沸沸扬扬,而且把“技术无罪”变成了全民热议的话题。快播案审理整整跨越一年,就在年底前完成了二审判决,快播主管团队集体认罪,在年初出尽风头的律师大姐和那些在网络上推波助澜的大v们也没有人再敢发声。
△话说年初的庭审还是相当精彩的,只是然~并~卵~△
当然,除了涉嫌淫秽物品牟利,快播也有一条涉嫌传播黑客病毒的罪名。大家应该还记得,在快播火爆时,有非常多的视频网站用快播做为专用播放器,在安装时捆绑了各种各样的木马和流氓软件。我相信很多“欠快播一个会员”的朋友都中过招,也包括本姑娘(此处声明,熊小妹是很纯洁的,用快播只是看看剧而已哟~~),快播和这些网站的关系并非是那么简单的,其实构成了一个黑产业链条,所以欠的会员费请大家不用愧疚了吧。
快播案在国内的影响确实是非常巨大。熊小妹也认为:每个编程高手的心里都住着一个白帽子和一个黑帽子,所以技术究竟是不是无罪还是要取决于人们自己的内心。
阿桑奇这个名字随着今年美国大选的进程而变得家喻户晓。一年前,没有人会认为一个被软禁在厄瓜多尔驻伦敦大使馆的澳大利亚黑客能够改变美国总统的竞选结果,然而事情竟然真的就这样发生了。
随着阿桑奇的维基解密一批又一批的爆料民主党和希拉里竞选阵容的丑闻邮件,希拉里生生的被阿桑奇从几乎钦定的总统宝座上拉了下来。
这部直播了半年的好莱坞真人大片的情节跌宕起伏,阿桑奇和希拉里的交锋达到了白热化,民主党邮件泄露门的几位当事人在几个月内离奇死亡,阿桑奇本人也遭受了死亡威胁,甚至一度传出了死讯。
阿桑奇和他的维基解密和美国政府尤其是民主党交恶已久,阿桑奇的胜利不仅拯救了自己,也让黑客以正义的形象在全世界走上了前台,为整个黑客世界赢得了尊严和荣誉。
相比于米特尼克这样的上古传奇,阿桑奇更是一个活生生的黑客英雄。
△一头银发的阿桑奇现在已经成为了熊小妹的男神△
说到阿桑奇,就一定要提到俄罗斯黑客和邮件攻击,比如希拉里和美国政府就一再指责阿桑奇所爆料的丑闻邮件就是由俄罗斯黑客提供的。
在黑客世界中,俄罗斯黑客一直是一股神秘而异常强大的力量存在。和其他国家的黑客不同,俄罗斯的黑客确实是有军方背景的,组织严密,行动明确。
除了说不清的民主党邮件泄密事件之外,2016年,由于俄罗斯体育代表团被禁止参加里约奥运会,俄罗斯黑客以匿名者的身份,对美国和澳大利亚等国家控制的奥委会进行了连续不断的报复。他们攻破了国际反兴奋剂组织的数据库和奥委会官员的邮件,将很多体坛名将的药检不合格报告一批批公之于众。
俄罗斯黑客组织用两头熊的名字出来抛头露面:奇幻熊和温暖熊。这两头熊有时单独行动,有时联手出击,一个主要攻击美国的军事机构,一个主要攻击政府机构,把美国政府搞得鸡犬不宁。
熊小妹开始看到这两头熊时非常的高兴,尤其是看到奇幻熊不断的爆出澳大利亚游泳队员的涉嫌禁药名单。但调查以后结果却很吓人,这两头熊的背后竟然是前苏联的两个杀人不眨眼的特工组织克格勃和格勒乌!
所以虽然俄罗斯黑客们现在揭发各种丑闻让人看着挺解气的,但是对他们还是少惹为妙啊……
以前我们一说到黑客攻击,总是先想到僵尸网络、DDos攻击或者是木马病毒这些。但是从2016年开始,电子邮件攻击变成了最大的威胁。
虽然今年重大的泄密事件比如民主党邮件门还是用钓鱼邮件干的,但是用钓鱼邮件窃取用户名和密码,然后再贩卖用户信息已经慢慢变成过去时了。
△钓鱼邮件△
今年最奇怪的和最赚钱的是企业电子邮件攻击 (Business Email Compromise, BEC)。BEC的攻击者会假装成企业高管,向财务部门发送邮件,邮件内容很简单明了,直接要求员工向某个特定账户转账,这个账户显然就是黑客的账户了。
根据网安机构的分析数据,黑客最喜欢伪装的邮件发送者是企业CEO,占了三分之一,而接收人大多是CFO、财务主管及财务部员工,占了一半以上。
这就好像是网络世界里的“我是你领导,明天来我办公室一趟。”
这时候大家可能要奇怪了,这不是很低级的骗局吗,我打电话问问领导不就行了吗?但是要知道现在的黑客技术已经非常发达,黑客在给你发邮件的时候很可能已经查过了领导的社交网络比如朋友圈等等,知道领导正在国外休假,是不太可能接到你的电话的。
一是精确打击,二是大量发送总会碰到傻帽,就这样,看似糊弄傻子一样的BEC欺诈,每个月都会有大公司被骗走几百万甚至几千万美元,小公司更是无法统计。
看好,1月份,飞机零件制造商FACC遭BEC欺诈损失5000万欧元,比利时Crelan银行遭BEC攻击损失7000万欧元。8月份,全球第四大的电线电缆厂商Leoni AG遭BEC欺诈被骗4460万美元。11月份美国得州某市政府成为BEC攻击受害者,损失320万美元。
最简单的往往就是最有效的。
通过邮件在计算机系统里植入勒索软件也是今年的流行趋势,黑客会用勒索软件锁定计算机系统,然后直接和中招受害者谈赎金。今年最典型也是影响最大的一次勒索软件事件是在感恩节期间,美国旧金山的地铁系统由于中了勒索软件被黑客控制,让旧金山人民免费坐了好几天地铁,最终的处理结果没有透露,但旧金山市政府估计应该没少花钱吧。
△地铁闸门开着,不花钱随便坐哦~△
疯狂的电子邮件攻击在国内发生的并不太多,所以有时候我们还是可以适当感谢一下天朝建造的长城的。
今年发生在国内的账户泄密事件,轰动比较大的算是年底京东的泄密门。京东被曝有12G的用户数据在黑市被交易,据说数据多达上千万条,姓名密码邮箱手机身份证qq号应有尽有。花几万块钱买了数据的人已经开始提供收费的“查询服务”,这产业化的速度也是惊人。
△泄密数据截图△
根据京东声称,泄密是源于2013年的一起互联网企业大范围的信息泄露,意思是不关我事,不是从我们这儿泄露出去的。作为在京东网购十多年的钻石用户,本姑娘真想呵呵你一脸。
管它哪年呢,反正大公司也不保险啊,吓得本姑娘赶紧把密码统统换了一遍。
当然了,京东并不孤独,放眼世界,雅虎的账户泄密事件更加吓人。在9月,雅虎有5亿账户信息泄露,12月,雅虎更是被公开在2013年泄露了10亿个邮箱账户信息。
对于雅虎这个衰落的互联网巨头来说,很多人老早就放弃了雅虎邮箱,网上对这件事最多的评论是“谢谢黑客,帮我把密码发回来吧,我早就忘掉了”。
10月底,美国西海岸突然出现大规模断网,包括Twitter、Spotify、Netflix、Github、Airbnb、Visa、CNN、华尔街日报等上百家网站都无法访问登录。从没见识过这种状况的美国群众惊慌失措,后来发现,原因是域名服务商Dyn遭遇DDoS攻击。这次攻击让大半个美国“断网”了好几个小时,攻击行为来自上千万个IP,堪称史上最严重DDoS攻击。
而比较有意思的是,这次DDoS攻击除了惯常的僵尸网络,有很大一部分攻击是从中国大陆发起的,而执行攻击的竟然是大批网络监控摄像头,根据报告有十几万之多,由于出厂时的默认密码没有修改,这些摄像头轻松被黑客搞定,这次攻击也称得上物联网黑客攻击的历史性一刻了。
△咱小区的监控摄像头怎么就攻击美国了?保安小哥感到很无辜~△
调侃归调侃,这件事也对物联网的安全性敲响了警钟,因为物联网缺少专有的安全保护,设备陈旧,漏洞多,更容易被黑客利用。智能家居、摄像头、手机、可穿戴设备等智能硬件的普及,人们的生活方式都会网络化,因此信息和数据泄露会随着物联网的发展变得越发的危险。
好了,最后来段花絮吧,就在本姑娘准备截稿发文的时候,忽然瞥到了一个标题:
韩国军事司令部谴责朝鲜黑客攻击
一看到这个,熊小妹非常吃惊
首先想到的是
朝鲜竟然也有黑客?
紧接着
韩国竟然也有军事司令部?
本姑娘脑补出这样的画面
查证以后,发现韩国媒体还真的煞有其事的认定朝鲜黑客具有世界顶级水平,而且总部就设在中国辽宁的一家酒店里。
胡诌也得有个限度吧,看到这些信口开河的说辞,本姑娘也真是醉了。
2016年,朝鲜确实搞出了一次互联网事件,在9月份的一天不小心开放了国内域名访问权,结果被人发现全朝鲜只有28个网站,而且当天立刻就被全世界蜂拥而至的观光团挤爆了。
至于前两年因为电影《刺杀金正恩》引发的攻击索尼事件,更是捕风捉影。金正恩元帅早就表示了,这个锅我们不背。
△金正恩元帅视察朝鲜的计算机中心,话说金元帅的耳机是不是带反了呢?△