澳物业公司SSKB遭网络攻击，黑客勒索46万澳元

黑客已经在暗网公布了进行网络攻击的“证据”，并要求8天内付款赎金，否则将把数据公布。黑客称，被盗内容包括建设项目、金融文件、高管邮件、合同以及协议等。SSKB尚未对该报道做出回应。

如果你是一名黑客，你会从事些什么样的工作？

第一个问题：我需要学习哪些技能才能成为一名计算机黑客？



- 编程：这是最重要的。了解如何解决问题和自动化任务。



- 操作系统：不仅（仅）了解如何使用它们，还了解它们的工作原理、存储（重要）信息的方式和位置，以及如何访问其 API。



- 网络：了解网络是如何工作的，不仅是概念，还有内部工作原理，每种类型的数据包是如何形成的，以及你可以使用哪些技巧来操作它的位。并学习如何将这些知识与一些编程语言一起使用。



- 网站黑客：有很多技术可以做到这一点，只需谷歌 OWASP。



在我看来，这 4 个是主要的，你可以成为一个普通到优秀的黑客。



要成为忍者，您将需要更多：



- 密码学：深入的知识，如何使用，如何实现常见的密码以及如何破解它们。（我所说的普通密码是指今天使用的密码，比如 RSA，而不是凯撒的密码和其他类似的密码）。



- 逆向工程（和调试）：如何调试或反汇编和分析软件以查看软件处理其信息的内容和方式，以及如何在运行时从内存中提取此信息。



- （反）取证：有罪信息的存储位置以及如何安全地删除它们。



- 利用写作：您需要了解调试和计算机内存才能做到这一点。



PS：如果您只是为了知识而学习，请不要尝试成为黑客。您将花费数千小时成为一名黑客，只有在您想赚钱（合法）时才这样做。我花了几年的时间从计算科学（包括黑客和破解）中学习广泛的主题，有些很有用，比如编程和前端开发，有些则没有。经过 6 年的“学习”（从我 16 岁到今天的 22 岁），我能告诉你的最好的事情是：学习一些东西来赚钱，而不仅仅是拥有知识。这就是创业思维。



黑客攻击有许多不好的光环，因为人性似乎会故意挑战他人的安全性，并且不能仅仅在安全性被破坏时就离开它。黑客似乎需要弄脏他人的财产，只是为了证明他们曾经去过那里。因此，当您使用“黑客”一词时，您也会接受这种反社会观念。这只是关于其他人如何看待您的意图的评论。



如果您了解黑客攻击，您可能会研究计算机安全公司及其需求。如果你想涉足企业，你最好与一些计算机公司合作，只是为了建立证书和经验。将自己作为黑客进行营销并不好卖。





我认识一位网络调查员，你们中的大多数人会称他为每年赚取数百万美元的黑客，Harper Intelligence Services HIS 的 Harper Jeff Zoellers，我在 quora 上阅读了他的答案，我们成为了长期的朋友和商业伙伴所以我觉得我知道关于黑客如何赚钱的一两件事。80% 的人类努力都致力于赚钱，剩下的 20% 用于寻找有趣的方式来花钱。这些是我刚刚捏造出来的数字，但我在防弹办公室说出来了，每个人都点了点头，这要么意味着它说的是一定的事实，要么是再次，每个人都在尽力无视我。考虑到这一点，可以公平地说，人们往往不会在某件事上付出太多努力，除非他们知道他们会因此而获得经济回报。这包括黑客攻击。



虽然毫无疑问，有些人只是为了好玩而进行黑客攻击，但毫不奇怪，大多数恶意黑客行为都是为了经济利益。黑客可以通过多种方式将他们的不当行为货币化。



从简单、古老的策略到巧妙的新策略，有很多东西可以让黑客的经济保持运转。请记住，大多数黑客都会同时尝试所有这些，因此您需要保持警惕。



黑客可以盗取你的信用卡



从显而易见的开始，网络犯罪分子可以只刷你的信用卡，或者更确切地说是你的信用卡数据。在整个 2018 年，出现了许多偷卡事件。一次备受瞩目的攻击涉及超过 300,000 名英国航空公司的客户，他们的信用卡详细信息被黑客窃取。罪魁祸首是邪恶的 JavaScript 代码 Magecart。如果将此脚本放置在嵌入式支付页面中，那么黑客可以在输入和提交信用卡详细信息时窃取它们。无需费心破坏数据库本身。



去年，像 Ticketmaster（和前面提到的 BA）这样的大牌都受到了这种类型的攻击。虽然可以说遵守诸如 PCI DSS 之类的合规包可以防止这些类型的攻击，但最近的事件表明情况并非如此



在暗网上出售数据



破坏机密的公司数据库通常是一种具有挑战性的黑客行为，那么黑客为什么要这样做呢？好吧，对于包含个人信息的数亿条记录。虽然这些信息可用于进行身份盗窃，但盗取此类数据的人往往会在暗网上出售这些信息。



暗网听起来像是一本廉价奇幻书中的东西，但那里有很多狡猾的活动。可以出售从受损数据库（尤其是电子邮件地址）中提取的个人数据。个人数据很有价值，因为它可以被知情者用来进行身份盗窃。这可以通过万豪黑客窃取的大量数据轻松完成，因为其中包含包括护照号码在内的广泛数据。



除此之外，可以出售电子邮件地址以使欺诈者能够进行网络钓鱼活动，这反过来可能导致身份盗用或恶意软件传播以用于其他货币化流，例如捕鲸（我们稍后会谈到）。有问题的恶意软件可能是广告软件、加密软件，甚至是我们的老朋友勒索软件。说到这个……



永远不要忘记经典



勒索软件可能在 2017 年巡回演出售罄后人气暂时下降，但它肯定仍然是黑客赚钱的有效方式。我们在年度网络安全报告中详细谈到了这个标志性的网络恶棍。从理论上讲，这是通过黑客获利的最简单方法。通过复杂的网络钓鱼系统或在获得对网络的访问权后简单地丢弃恶意软件，黑客可以开始加密关键文件并收取巨额费用（通常以比特币形式）来解密它们。



如果这还不够糟糕的话，很多公司发现当他们支付赎金（这是你永远不应该做的）时，他们实际上并没有取回他们的文件。这些天你不能相信黑客。令人担忧的是，勒索软件正在演变。一些菌株故意减慢加密和传播的速度，以保持在警报阈值以下，因此更长时间不被发现。有些人甚至展示了一些狡猾的策略，比如直接加密硬盘的主引导记录，这意味着没有必要浪费所有时间从一个文件到另一个文件。



众所周知，仅 WannaCry 就为黑客赢得了至少 108,000 英镑的比特币。一旦计算了销售损失和恢复成本，企业的成本当然要高得多。这是一个很好的收获，所以黑客不太可能放过它。





嗨嗨嗨嗨，让我们来点门罗币吧



正如有人在 2019 年 Bulletproof 年度网络报告中敏锐地指出的那样，与 2017 年的勒索软件趋势相比，加密劫持在网络环境中变得更加突出。由于我仍然不明白的原因，比特币成为一种东西，开创了导致数字“货币”上升的先例。多数派



其中 y 是通过使用 CPU 或最近的 GPU 能力为其“挖掘”而获得的。如前所述，比特币是最受欢迎的货币，但开采难度越来越大，因此利润也越来越低。门罗币似乎是大多数黑客的首选货币。



在为 Monero (XMR) 进行挖矿时，您实际上是更广泛的矿池的一部分，该矿池使用您的资源来维护记录交易的公共分类账。对于记录的每笔交易，您都会获得少量 XMR 奖励。如果所有这些听起来都是胡说八道，那是因为它是，但这就是我们现在生活的世界。



加密货币的价值可能会大幅波动，而开采它们的盈利能力很大程度上受运行采矿设备的成本影响。单台计算机在宏伟的计划中无济于事，因此自然而然地，要从挖掘门罗币中赚到真正的钱，人们将需要大量的 CPU。大量的 CPU 将不可避免地消耗相当多的电费。因此，与家庭采矿设备相比，黑客发现使用其他人的 CPU 为他们进行采矿更具成本效益。



这种方法导致了加密劫持流行。服务器机架显然是多汁的目标，因此企业一直受到这一趋势的无情打击。Monero 的不同之处在于用于挖掘它的算法可以注入网站或浏览器的代码中，这意味着任何碰巧访问受影响网站的人都会在不知不觉中将其 CPU 提供给矿池。XMR 的当前价值（在撰写本文时）为 42.90 美元。显然，生成 1 个 XMR 需要很长时间（或大量 CPU），但一些黑客组织已经找到了从这些活动中赚取数千美元的方法。



由构成网络的受感染设备组成的僵尸网络正在变得越来越大。这部分是由于最近物联网设备的爆炸式增长。特别是便宜的变体，如果他们采取任何方法的话，他们会采取草率的安全方法。如果将计算机、服务器或物联网设备添加到僵尸网络，您可能永远不会知道，因为使用的恶意软件不会造成任何明显的中断。黑客组织一直在努力拥有最大的僵尸网络，因为在这种情况下，规模真的很重要。



然后，这些僵尸网络可用于实施有针对性的 DDoS 攻击。这是一个站点或服务被大量请求轰炸的地方，服务器无法足够快地处理它们，导致它崩溃并使服务脱机。可以把它想象成一个酒吧，只有一个人负责酒吧，但有成千上万的顾客大声叫卖。最终，可怜的酒吧人会蜷缩在地板上哭泣，然后没人能喝到一杯。



黑客组织可以按小时收费以使用他们的僵尸网络。人们想要下线服务的原因有很多，从网络勒索到出于自己的原因对网站感到愤怒的人。



抓住你的鱼叉



我们之前谈到了网络钓鱼。这种做法很容易给企业带来无穷无尽的恶作剧。一个更极端的版本是捕鲸。与网络钓鱼一样，捕鲸是发送电子邮件以诱骗用户做某事的做法，只是它专门针对那些处于指挥链上层的人。这是一种实施 CFO（或 CEO）欺诈的简单方法，方法是欺骗用户授权付款以响应虚假发票或简单地声明必须进行电汇。





一个可爱的勒索



虽然从技术上讲不是“黑客攻击”，但最近出现了性勒索电子邮件。这些通常是这样说的：



“亲爱的用户，我们成功入侵了您的邮箱。为了证明我们已经这样做了，您的密码是 PASSWORD。通过这种方式，我们设法在您的计算机上安装了恶意软件，让我们可以看到您的屏幕并控制您的网络摄像头。我们已经看到你访问成人内容，所以请向我们发送大量比特币，否则我们会将我们拥有的视频发送给你的所有联系人。”



虽然语法通常会更糟。虽然这表明对恶意软件如何进入您的计算机明显缺乏了解，但包含您的实际密码（或更可能是以前的密码）使其具有真实感。如果他们知道这一点，他们还能做什么？



黑客会从以前的数据泄露事件中收到此密码，不幸的是，您已经参与其中。您可以在 Troy Hunt 的一流（且免费）haveibeenpwnd 服务中查看有多少泄露事件包括您的电子邮件地址。如果少于三个，您要么不经常使用电子邮件，要么非常挑剔。



令人惊讶的是，据说其中一些性勒索活动在一周内赚了 5 万。对于一些简单的垃圾邮件来说还不错。这只是表明，额外的信息可以为电子邮件增添可信度。或者有些人有愧疚感。违规中出现的数据越多，这些电子邮件就越有说服力。



让我们谈谈学术界以外的话题。



我的一个朋友最近为他的论文“西方超级大国对东盟国家社会经济稳定的地缘政治影响”进行了答辩。



坦率地说，这是我经历过的最不可思议的博士防御之一。



一位听众是印度外交政策制定的杰出人物，他说：“我们相当依赖像您这样的院士和研究人员来起草新政策。像这样的论文有助于与我们拥有既得利益的国家建立牢固、健康和稳定的关系。感谢您出色的工作，Vignesh。



Vignesh 现在经营着自己的咨询公司，为处理外交政策的多个政府和半政府机构和办公室提供服务。他的一个同事，加入了印度外交部。他的另一位同事最近移居欧洲，为一家从事气候变化研究的机构工作，他的论文题为“从印度的角度看环境安全的军事维度”。她非常擅长自己的工作，并被邀请参加世界各地的气候变化峰会。



我拥有材料科学博士学位，就在提交论文之前，我收到了孟买一家工业废水净化厂的邀请，加入他们的团队担任研发主管，领导一个团队，为紫外线/太阳能光催化设计光催化材料有毒工业废物。我还收到了 Reliance Industries 的邀请，加入他们的团队，担任无机化学部门的主管。我还通过了一个印度 LED 巨头加入他们研究团队的面试。除了工业研究，我对出版业很感兴趣，并申请了 Elsevier 和 Springer 的编辑团队。虽然我没有通过我在欧洲申请的任何职位，但我确实通过了作为爱思唯尔印度办事处之一的内容主管。我不喜欢这个提议，也不喜欢我提供的职位。我和我一起上学的一个朋友在麻省理工学院获得了统计学博士学位并加入了谷歌。我的另一个同学，在德国获得了理论天体物理学博士学位，并加入了伦敦的一家投资公司。（不要问我怎么做！）我的女朋友，他的博士学位是使用飞秒激光器制造衍射光学器件，已被提供在一家设计超快飞秒和阿托秒激光器的罗马尼亚公司担任激光工程师。请记住，这些不是博士后职位。这些是行业中的常规职位。我的大多数同事最终都以讲师的身份加入了学术界。他们中的一些人加入了当地的工程学院以及他们自己的部门担任助理教授。不过，不确定这是一项成就！每个研究学者，在他们攻读博士学位的某个时候，都会找出最适合他们的行业——外交部、气候变化、金融、咨询、半导体、人工智能，没关系！学生们最终弄清楚了这一点。我所叙述的只是我个人认识的人的一些例子以及他们所做的选择。



为大多数在业务中运行计算机的公司提供 IT 安全。



道德黑客=白帽子。值得？取决于你对价值的定义。有知识。您还可以获得涉及互联网设计的法律学位。想象一下，成为引领互联网进入下一件大事的人。昔日的科幻小说开始成为现实。自动驾驶汽车、机器人、人工智能，这些都是你祖父母梦寐以求的东西。无现金社会，植入射频芯片，不再有信用卡，不再有假身份证，你的简历一直随身携带。天网就像电影终结者。一切都是相连的。星际旅行。而你是其中一些的创造者。



世界上有数以千万计的软件工程师，其中很大一部分（数百万，也许超过一千万）可以成为伟大的白帽黑客，他们会发现漏洞并将其报告给系统的所有者。最棒的是，您可以通过出色的漏洞报告获得漏洞赏金。



大多数人不会雇佣真正的黑客，但最终会雇佣把自己宣传为“黑客”的骗子。Quora 有很多，你肯定会看到“黑客”的条目在这个答案下方提供他们的“能力”。



真的，如果您拥有所有疯狂的技能，那么您已经有了一份工作，充分的就业和非常繁忙的工作日程，可以为一些不知名的人投入大量时间，而这只是为了乞求帮助。任何听起来像这样的人要么是傻瓜，要么是等待因欺诈和阴谋而把你拖进来的警察。