總結2022年威脅隱私和安全的6大“罪魁禍首”

隨著對技術的依賴不斷增加，我們對技術的信任也在隨之增加。如今，我們習慣將自己的私人數據委托給各種在線平臺，如銀行賬戶、電子商務零售商、加密貨幣交易所和電子郵件服務提供商。但我們的隱私也繼續以各種形式處于危險之中。那么，接下來，我們就來總結一下2022年威脅用戶隱私和安全的“罪魁禍首”。

1. 間諜軟件

間諜軟件是一種惡意軟件，用于監控受害者的活動，并訪問他們的私人數據。如果網絡犯罪分子成功地在受害者的設備上長期使用間諜軟件，那么他們就可以獲得數不盡的數據。

借助間諜軟件，威脅行為者可以記錄擊鍵信息，這意味著他們可以看到您鍵入的所有內容，無論是搜索引擎輸入、文本消息還是支付信息。當然，這會極大地暴露您的隱私，因為您可能會在不知不覺中將高度敏感的信息交給攻擊者。

現在有很多間諜軟件可供犯罪分子使用，包括CloudMensis、CoolWebSearch、HawkEye和Pegasus。Pegasus是一種常見的間諜軟件，不過它并非由網絡犯罪分子開發，而是由以色列網絡安全公司NSO創造的。NSO表示，Pegasus間諜軟件僅用于反恐和執法，因此只出售給合法方。但這一點一直存在爭議，因為在過去發生過許多濫用Pegasus實施非法監控的案例。

2. 暗網市場

有時，惡意行為者在獲取您的數據后，并不會直接利用它，而是轉手通過暗網市場將信息出售給其他網絡犯罪分子。您可以把這些市場想象成一種出售被盜數據的購物平臺。犯罪分子愿意為他們可以利用的敏感信息——如護照號碼、支付卡詳細信息、電子郵件地址和社會安全號碼——支付高額費用。

假設攻擊者設法獲取了您的信用卡信息。在暗網上，此類信息可能是一個熱門類別，特別是如果還包含某些附加信息（如CVV）那就更搶手了。如果網絡犯罪分子知道與這張卡關聯的銀行賬戶有一大筆錢，他們可以把價格定得更高。

這類信息通常來自大規模的泄露，比如WhatsApp的泄露導致近5億條數據記錄被試圖出售。這些數據收集自84個國家的用戶，近5億人身陷危險之中，其智能手機號碼也落入危險的網絡犯罪分子手中。

3. 惡意廣告

調查數據顯示，數字廣告行業價值已超過6000億美元。您喜歡的許多應用程序和網站都會顯示數字廣告，但這個新興市場也以惡意廣告的形式為網絡犯罪分子提供了一個利基市場。

惡意廣告（malicious ads）的使用也被稱為“病毒廣告（malvertising）”，包括在看似無害的廣告中插入惡意代碼。這類廣告甚至可以進入合法網站，進一步擴大其影響范圍。這意味著即便使用信譽良好的平臺，您也可能遇到惡意廣告。如果您與它們互動，就會有被惡意軟件感染的風險。

但良性廣告和有害廣告很難區分，這使得惡意廣告成為危害隱私和安全的重要類別。

4. 網絡釣魚

網絡釣魚是一種非常普遍的網絡威脅，已造成數百萬人受害。網絡釣魚可以在大范圍內進行，不需要太多的技術專業知識。如果您使用電子郵件提供商，就很有可能在某個時候收到過釣魚郵件，尤其是如果您沒有使用反垃圾郵件或郵件過濾工具的話。

在網絡釣魚攻擊中，網絡犯罪分子會冒充合法方，誘騙受害者泄露敏感信息。釣魚通信通常會附帶一個鏈接，指向惡意網頁，該網頁會記錄受害者的擊鍵情況。然而，攻擊者會簡單地聲明這是一個無害的頁面，用戶需要打開該頁面來完成某個操作，例如登錄帳戶或輸入贈品。

例如，假設您收到來自Facebook的電子郵件，要求您登錄帳戶以驗證身份、檢查可疑活動或回復來自其他用戶的報告。這封郵件可能會給您灌輸一種緊迫感，進一步說服您立即采取行動。您還會收到一個相關網頁的鏈接，看起來很像合法的Facebook登錄頁面。在這個頁面上，您需要輸入登錄憑證。但因為這個網頁實際上是惡意的，所以當您輸入憑證時，攻擊者將能夠看到它們。一旦他們獲得了您的憑證，就可以訪問您的Facebook賬戶，實施惡意操作。

反欺詐和反身份盜竊公司APWG在其《網絡釣魚活動趨勢報告》中指出，僅在2022年第一季度就記錄了1,025,968起網絡釣魚事件。

5. 云存儲漏洞

云存儲平臺，如谷歌Drive、Dropbox和OneDrive，通常被用作硬件存儲選項的替代方案，因為它們更方便。更重要的是，用戶可以在任何時候使用登錄詳細信息訪問云存儲，這意味著用戶不必依賴于單個設備來查看和使用數據。

但是云存儲平臺很容易受到遠程攻擊，因為它們依賴軟件來運行。雖然云存儲提供商使用各種安全層來保護用戶數據，但它們仍然是網絡犯罪分子的主要目標。畢竟，任何有互聯網連接的平臺都有被黑客攻擊的風險，云存儲服務也不例外。

以Dropbox為例。由于網絡釣魚攻擊，這家云存儲提供商在2022年底遭受了數據泄露，導致130個GitHub存儲庫被盜。但這種攻擊也可能導致私人用戶數據被盜，如銀行文件和醫療記錄。如果給定的云存儲平臺存在特別危險的安全漏洞，那么網絡犯罪分子就很容易進行黑客攻擊。

6. 物聯網（IoT）攻擊

物聯網(IoT)是指配備了軟件、傳感器和其他工具的硬件，可以與其他設備通信。但這項技術正成為網絡犯罪分子的目標，用于尋找私人數據。

如果這樣的設備（如智能手機或智能手表）感染了惡意軟件，那么它所連接的物聯網系統也可能會被破壞，以發送或接收數據。惡意行為者可以通過多種方式進行物聯網攻擊，包括竊聽、暴力破解密碼攻擊和物理設備篡改。老舊的物聯網設備經常成為攻擊的目標，因為它們通常缺乏或需要更新安全措施。

如今，智能設備日益普遍，這也使得物聯網攻擊比過去更有可能發生。

結語

人們總是僥幸地認為沒人會對自己的私人數據感興趣，但事實卻并非如此。任何一個普通人都可能淪為網絡攻擊的受害者，無論是通過網絡釣魚、惡意廣告、間諜軟件還是其他任何方式。因此，在即將邁入2023年之際，我們必須要采取一切必要的安全措施來保護數據免受惡意實體的侵害。