總結2022年威脅隐私和安全的6大“罪魁禍首”

随着對技術的依賴不斷增加，我們對技術的信任也在随之增加。如今，我們習慣将自己的私人數據委托給各種在線平台，如銀行賬戶、電子商務零售商、加密貨币交易所和電子郵件服務提供商。但我們的隐私也繼續以各種形式處于危險之中。那麼，接下來，我們就來總結一下 2022 年威脅用戶隐私和安全的 " 罪魁禍首 "。

1.   間諜軟件

間諜軟件是一種惡意軟件，用于監控受害者的活動，并訪問他們的私人數據。如果網絡犯罪分子成功地在受害者的設備上長期使用間諜軟件，那麼他們就可以獲得數不盡的數據。

借助間諜軟件，威脅行為者可以記錄擊鍵信息，這意味着他們可以看到您鍵入的所有内容，無論是搜索引擎輸入、文本消息還是支付信息。當然，這會極大地暴露您的隐私，因為您可能會在不知不覺中将高度敏感的信息交給攻擊者。

現在有很多間諜軟件可供犯罪分子使用，包括 CloudMensis、CoolWebSearch、HawkEye 和 Pegasus。Pegasus 是一種常見的間諜軟件，不過它并非由網絡犯罪分子開發，而是由以色列網絡安全公司 NSO 創造的。NSO 表示，Pegasus 間諜軟件僅用于反恐和執法，因此隻出售給合法方。但這一點一直存在争議，因為在過去發生過許多濫用 Pegasus 實施非法監控的案例。

2.   暗網市場

有時，惡意行為者在獲取您的數據後，并不會直接利用它，而是轉手通過暗網市場将信息出售給其他網絡犯罪分子。您可以把這些市場想象成一種出售被盜數據的購物平台。犯罪分子願意為他們可以利用的敏感信息——如護照号碼、支付卡詳細信息、電子郵件地址和社會安全号碼——支付高額費用。

假設攻擊者設法獲取了您的信用卡信息。在暗網上，此類信息可能是一個熱門類别，特别是如果還包含某些附加信息（如 CVV）那就更搶手了。如果網絡犯罪分子知道與這張卡關聯的銀行賬戶有一大筆錢，他們可以把價格定得更高。

這類信息通常來自大規模的洩露，比如 WhatsApp 的洩露導緻近 5 億條數據記錄被試圖出售。這些數據收集自 84 個國家的用戶，近 5 億人身陷危險之中，其智能手機号碼也落入危險的網絡犯罪分子手中。

3.   惡意廣告

調查數據顯示，數字廣告行業價值已超過 6000 億美元。您喜歡的許多應用程序和網站都會顯示數字廣告，但這個新興市場也以惡意廣告的形式為網絡犯罪分子提供了一個利基市場。

惡意廣告（malicious ads）的使用也被稱為 " 病毒廣告（malvertising）"，包括在看似無害的廣告中插入惡意代碼。這類廣告甚至可以進入合法網站，進一步擴大其影響範圍。這意味着即便使用信譽良好的平台，您也可能遇到惡意廣告。如果您與它們互動，就會有被惡意軟件感染的風險。

但良性廣告和有害廣告很難區分，這使得惡意廣告成為危害隐私和安全的重要類别。

4.   網絡釣魚

網絡釣魚是一種非常普遍的網絡威脅，已造成數百萬人受害。網絡釣魚可以在大範圍内進行，不需要太多的技術專業知識。如果您使用電子郵件提供商，就很有可能在某個時候收到過釣魚郵件，尤其是如果您沒有使用反垃圾郵件或郵件過濾工具的話。

在網絡釣魚攻擊中，網絡犯罪分子會冒充合法方，誘騙受害者洩露敏感信息。釣魚通信通常會附帶一個鍊接，指向惡意網頁，該網頁會記錄受害者的擊鍵情況。然而，攻擊者會簡單地聲明這是一個無害的頁面，用戶需要打開該頁面來完成某個操作，例如登錄帳戶或輸入贈品。

例如，假設您收到來自 Facebook 的電子郵件，要求您登錄帳戶以驗證身份、檢查可疑活動或回複來自其他用戶的報告。這封郵件可能會給您灌輸一種緊迫感，進一步說服您立即采取行動。您還會收到一個相關網頁的鍊接，看起來很像合法的 Facebook 登錄頁面。在這個頁面上，您需要輸入登錄憑證。但因為這個網頁實際上是惡意的，所以當您輸入憑證時，攻擊者将能夠看到它們。一旦他們獲得了您的憑證，就可以訪問您的 Facebook 賬戶，實施惡意操作。

反欺詐和反身份盜竊公司 APWG 在其《網絡釣魚活動趨勢報告》中指出，僅在 2022 年第一季度就記錄了 1,025,968 起網絡釣魚事件。

5.   雲存儲漏洞

雲存儲平台，如谷歌 Drive、Dropbox 和 OneDrive，通常被用作硬件存儲選項的替代方案，因為它們更方便。更重要的是，用戶可以在任何時候使用登錄詳細信息訪問雲存儲，這意味着用戶不必依賴于單個設備來查看和使用數據。

但是雲存儲平台很容易受到遠程攻擊，因為它們依賴軟件來運行。雖然雲存儲提供商使用各種安全層來保護用戶數據，但它們仍然是網絡犯罪分子的主要目标。畢竟，任何有互聯網連接的平台都有被黑客攻擊的風險，雲存儲服務也不例外。

以 Dropbox 為例。由于網絡釣魚攻擊，這家雲存儲提供商在 2022 年底遭受了數據洩露，導緻 130 個 GitHub 存儲庫被盜。但這種攻擊也可能導緻私人用戶數據被盜，如銀行文件和醫療記錄。如果給定的雲存儲平台存在特别危險的安全漏洞，那麼網絡犯罪分子就很容易進行黑客攻擊。

6.   物聯網（IoT）攻擊

物聯網 ( IoT ) 是指配備了軟件、傳感器和其他工具的硬件，可以與其他設備通信。但這項技術正成為網絡犯罪分子的目标，用于尋找私人數據。

如果這樣的設備（如智能手機或智能手表）感染了惡意軟件，那麼它所連接的物聯網系統也可能會被破壞，以發送或接收數據。惡意行為者可以通過多種方式進行物聯網攻擊，包括竊聽、暴力破解密碼攻擊和物理設備篡改。老舊的物聯網設備經常成為攻擊的目标，因為它們通常缺乏或需要更新安全措施。

如今，智能設備日益普遍，這也使得物聯網攻擊比過去更有可能發生。

結語

人們總是僥幸地認為沒人會對自己的私人數據感興趣，但事實卻并非如此。任何一個普通人都可能淪為網絡攻擊的受害者，無論是通過網絡釣魚、惡意廣告、間諜軟件還是其他任何方式。因此，在即将邁入 2023 年之際，我們必須要采取一切必要的安全措施來保護數據免受惡意實體的侵害。