澳物業公司SSKB遭網絡攻擊，黑客勒索46萬澳元

澳物業公司SSKB遭網絡攻擊，黑客勒索46萬澳元




據報道，澳大利亞物業管理公司SSKB遭網絡攻擊。黑客稱，已經盜取該公司200GB的數據，并欲勒索贖金46萬澳元。這是澳洲近期發生的又一起網絡安全事件。

該公司總部位于黃金海岸，在昆州和墨爾本有分支機構。有跡象表明，該公司的運行系統似乎遭到攻擊，電話無法接通，公司網站發布了一條通告，稱公司正在經歷一些“電話和技術問題”。

黑客已經在暗網公布了進行網絡攻擊的“證據”，并要求8天內付款贖金，否則將把數據公布。黑客稱，被盜內容包括建設項目、金融文件、高管郵件、合同以及協議等。SSKB尚未對該報道做出回應。

如果你是一名黑客，你會從事些什么樣的工作？

第一個問題：我需要學習哪些技能才能成為一名計算機黑客？

- 編程：這是最重要的。了解如何解決問題和自動化任務。

- 操作系統：不僅（僅）了解如何使用它們，還了解它們的工作原理、存儲（重要）信息的方式和位置，以及如何訪問其 API。

- 網絡：了解網絡是如何工作的，不僅是概念，還有內部工作原理，每種類型的數據包是如何形成的，以及你可以使用哪些技巧來操作它的位。并學習如何將這些知識與一些編程語言一起使用。

- 網站黑客：有很多技術可以做到這一點，只需谷歌 OWASP。

在我看來，這 4 個是主要的，你可以成為一個普通到優秀的黑客。

要成為忍者，您將需要更多：

- 密碼學：深入的知識，如何使用，如何實現常見的密碼以及如何破解它們。（我所說的普通密碼是指今天使用的密碼，比如 RSA，而不是凱撒的密碼和其他類似的密碼）。

- 逆向工程（和調試）：如何調試或反匯編和分析軟件以查看軟件處理其信息的內容和方式，以及如何在運行時從內存中提取此信息。

- （反）取證：有罪信息的存儲位置以及如何安全地刪除它們。

- 利用寫作：您需要了解調試和計算機內存才能做到這一點。

PS：如果您只是為了知識而學習，請不要嘗試成為黑客。您將花費數千小時成為一名黑客，只有在您想賺錢（合法）時才這樣做。我花了幾年的時間從計算科學（包括黑客和破解）中學習廣泛的主題，有些很有用，比如編程和前端開發，有些則沒有。經過 6 年的“學習”（從我 16 歲到今天的 22 歲），我能告訴你的最好的事情是：學習一些東西來賺錢，而不僅僅是擁有知識。這就是創業思維。

黑客攻擊有許多不好的光環，因為人性似乎會故意挑戰他人的安全性，并且不能僅僅在安全性被破壞時就離開它。黑客似乎需要弄臟他人的財產，只是為了證明他們曾經去過那里。因此，當您使用“黑客”一詞時，您也會接受這種反社會觀念。這只是關于其他人如何看待您的意圖的評論。

如果您了解黑客攻擊，您可能會研究計算機安全公司及其需求。如果你想涉足企業，你最好與一些計算機公司合作，只是為了建立證書和經驗。將自己作為黑客進行營銷并不好賣。


我認識一位網絡調查員，你們中的大多數人會稱他為每年賺取數百萬美元的黑客，Harper Intelligence Services HIS 的 Harper Jeff Zoellers，我在 quora 上閱讀了他的答案，我們成為了長期的朋友和商業伙伴所以我覺得我知道關于黑客如何賺錢的一兩件事。80% 的人類努力都致力于賺錢，剩下的 20% 用于尋找有趣的方式來花錢。這些是我剛剛捏造出來的數字，但我在防彈辦公室說出來了，每個人都點了點頭，這要么意味著它說的是一定的事實，要么是再次，每個人都在盡力無視我?？紤]到這一點，可以公平地說，人們往往不會在某件事上付出太多努力，除非他們知道他們會因此而獲得經濟回報。這包括黑客攻擊。

雖然毫無疑問，有些人只是為了好玩而進行黑客攻擊，但毫不奇怪，大多數惡意黑客行為都是為了經濟利益。黑客可以通過多種方式將他們的不當行為貨幣化。

從簡單、古老的策略到巧妙的新策略，有很多東西可以讓黑客的經濟保持運轉。請記住，大多數黑客都會同時嘗試所有這些，因此您需要保持警惕。

黑客可以盜取你的信用卡

從顯而易見的開始，網絡犯罪分子可以只刷你的信用卡，或者更確切地說是你的信用卡數據。在整個 2018 年，出現了許多偷卡事件。一次備受矚目的攻擊涉及超過 300,000 名英國航空公司的客戶，他們的信用卡詳細信息被黑客竊取。罪魁禍首是邪惡的 JavaScript 代碼 Magecart。如果將此腳本放置在嵌入式支付頁面中，那么黑客可以在輸入和提交信用卡詳細信息時竊取它們。無需費心破壞數據庫本身。

去年，像 Ticketmaster（和前面提到的 BA）這樣的大牌都受到了這種類型的攻擊。雖然可以說遵守諸如 PCI DSS 之類的合規包可以防止這些類型的攻擊，但最近的事件表明情況并非如此

在暗網上出售數據

破壞機密的公司數據庫通常是一種具有挑戰性的黑客行為，那么黑客為什么要這樣做呢？好吧，對于包含個人信息的數億條記錄。雖然這些信息可用于進行身份盜竊，但盜取此類數據的人往往會在暗網上出售這些信息。

暗網聽起來像是一本廉價奇幻書中的東西，但那里有很多狡猾的活動?？梢猿鍪蹚氖軗p數據庫（尤其是電子郵件地址）中提取的個人數據。個人數據很有價值，因為它可以被知情者用來進行身份盜竊。這可以通過萬豪黑客竊取的大量數據輕松完成，因為其中包含包括護照號碼在內的廣泛數據。

除此之外，可以出售電子郵件地址以使欺詐者能夠進行網絡釣魚活動，這反過來可能導致身份盜用或惡意軟件傳播以用于其他貨幣化流，例如捕鯨（我們稍后會談到）。有問題的惡意軟件可能是廣告軟件、加密軟件，甚至是我們的老朋友勒索軟件。說到這個……

永遠不要忘記經典

勒索軟件可能在 2017 年巡回演出售罄后人氣暫時下降，但它肯定仍然是黑客賺錢的有效方式。我們在年度網絡安全報告中詳細談到了這個標志性的網絡惡棍。從理論上講，這是通過黑客獲利的最簡單方法。通過復雜的網絡釣魚系統或在獲得對網絡的訪問權后簡單地丟棄惡意軟件，黑客可以開始加密關鍵文件并收取巨額費用（通常以比特幣形式）來解密它們。

如果這還不夠糟糕的話，很多公司發現當他們支付贖金（這是你永遠不應該做的）時，他們實際上并沒有取回他們的文件。這些天你不能相信黑客。令人擔憂的是，勒索軟件正在演變。一些菌株故意減慢加密和傳播的速度，以保持在警報閾值以下，因此更長時間不被發現。有些人甚至展示了一些狡猾的策略，比如直接加密硬盤的主引導記錄，這意味著沒有必要浪費所有時間從一個文件到另一個文件。

眾所周知，僅 WannaCry 就為黑客贏得了至少 108,000 英鎊的比特幣。一旦計算了銷售損失和恢復成本，企業的成本當然要高得多。這是一個很好的收獲，所以黑客不太可能放過它。


嗨嗨嗨嗨，讓我們來點門羅幣吧

正如有人在 2019 年 Bulletproof 年度網絡報告中敏銳地指出的那樣，與 2017 年的勒索軟件趨勢相比，加密劫持在網絡環境中變得更加突出。由于我仍然不明白的原因，比特幣成為一種東西，開創了導致數字“貨幣”上升的先例。多數派

其中 y 是通過使用 CPU 或最近的 GPU 能力為其“挖掘”而獲得的。如前所述，比特幣是最受歡迎的貨幣，但開采難度越來越大，因此利潤也越來越低。門羅幣似乎是大多數黑客的首選貨幣。

在為 Monero (XMR) 進行挖礦時，您實際上是更廣泛的礦池的一部分，該礦池使用您的資源來維護記錄交易的公共分類賬。對于記錄的每筆交易，您都會獲得少量 XMR 獎勵。如果所有這些聽起來都是胡說八道，那是因為它是，但這就是我們現在生活的世界。

加密貨幣的價值可能會大幅波動，而開采它們的盈利能力很大程度上受運行采礦設備的成本影響。單臺計算機在宏偉的計劃中無濟于事，因此自然而然地，要從挖掘門羅幣中賺到真正的錢，人們將需要大量的 CPU。大量的 CPU 將不可避免地消耗相當多的電費。因此，與家庭采礦設備相比，黑客發現使用其他人的 CPU 為他們進行采礦更具成本效益。

這種方法導致了加密劫持流行。服務器機架顯然是多汁的目標，因此企業一直受到這一趨勢的無情打擊。Monero 的不同之處在于用于挖掘它的算法可以注入網站或瀏覽器的代碼中，這意味著任何碰巧訪問受影響網站的人都會在不知不覺中將其 CPU 提供給礦池。XMR 的當前價值（在撰寫本文時）為 42.90 美元。顯然，生成 1 個 XMR 需要很長時間（或大量 CPU），但一些黑客組織已經找到了從這些活動中賺取數千美元的方法。

由構成網絡的受感染設備組成的僵尸網絡正在變得越來越大。這部分是由于最近物聯網設備的爆炸式增長。特別是便宜的變體，如果他們采取任何方法的話，他們會采取草率的安全方法。如果將計算機、服務器或物聯網設備添加到僵尸網絡，您可能永遠不會知道，因為使用的惡意軟件不會造成任何明顯的中斷。黑客組織一直在努力擁有最大的僵尸網絡，因為在這種情況下，規模真的很重要。

然后，這些僵尸網絡可用于實施有針對性的 DDoS 攻擊。這是一個站點或服務被大量請求轟炸的地方，服務器無法足夠快地處理它們，導致它崩潰并使服務脫機?？梢园阉胂蟪梢粋€酒吧，只有一個人負責酒吧，但有成千上萬的顧客大聲叫賣。最終，可憐的酒吧人會蜷縮在地板上哭泣，然后沒人能喝到一杯。

黑客組織可以按小時收費以使用他們的僵尸網絡。人們想要下線服務的原因有很多，從網絡勒索到出于自己的原因對網站感到憤怒的人。

抓住你的魚叉

我們之前談到了網絡釣魚。這種做法很容易給企業帶來無窮無盡的惡作劇。一個更極端的版本是捕鯨。與網絡釣魚一樣，捕鯨是發送電子郵件以誘騙用戶做某事的做法，只是它專門針對那些處于指揮鏈上層的人。這是一種實施 CFO（或 CEO）欺詐的簡單方法，方法是欺騙用戶授權付款以響應虛假發票或簡單地聲明必須進行電匯。


一個可愛的勒索

雖然從技術上講不是“黑客攻擊”，但最近出現了性勒索電子郵件。這些通常是這樣說的：

“親愛的用戶，我們成功入侵了您的郵箱。為了證明我們已經這樣做了，您的密碼是 PASSWORD。通過這種方式，我們設法在您的計算機上安裝了惡意軟件，讓我們可以看到您的屏幕并控制您的網絡攝像頭。我們已經看到你訪問成人內容，所以請向我們發送大量比特幣，否則我們會將我們擁有的視頻發送給你的所有聯系人?！?br />
雖然語法通常會更糟。雖然這表明對惡意軟件如何進入您的計算機明顯缺乏了解，但包含您的實際密碼（或更可能是以前的密碼）使其具有真實感。如果他們知道這一點，他們還能做什么？

黑客會從以前的數據泄露事件中收到此密碼，不幸的是，您已經參與其中。您可以在 Troy Hunt 的一流（且免費）haveibeenpwnd 服務中查看有多少泄露事件包括您的電子郵件地址。如果少于三個，您要么不經常使用電子郵件，要么非常挑剔。

令人驚訝的是，據說其中一些性勒索活動在一周內賺了 5 萬。對于一些簡單的垃圾郵件來說還不錯。這只是表明，額外的信息可以為電子郵件增添可信度?；蛘哂行┤擞欣⒕胃?。違規中出現的數據越多，這些電子郵件就越有說服力。

讓我們談談學術界以外的話題。

我的一個朋友最近為他的論文“西方超級大國對東盟國家社會經濟穩定的地緣政治影響”進行了答辯。

坦率地說，這是我經歷過的最不可思議的博士防御之一。

一位聽眾是印度外交政策制定的杰出人物，他說：“我們相當依賴像您這樣的院士和研究人員來起草新政策。像這樣的論文有助于與我們擁有既得利益的國家建立牢固、健康和穩定的關系。感謝您出色的工作，Vignesh。

Vignesh 現在經營著自己的咨詢公司，為處理外交政策的多個政府和半政府機構和辦公室提供服務。他的一個同事，加入了印度外交部。他的另一位同事最近移居歐洲，為一家從事氣候變化研究的機構工作，他的論文題為“從印度的角度看環境安全的軍事維度”。她非常擅長自己的工作，并被邀請參加世界各地的氣候變化峰會。

我擁有材料科學博士學位，就在提交論文之前，我收到了孟買一家工業廢水凈化廠的邀請，加入他們的團隊擔任研發主管，領導一個團隊，為紫外線/太陽能光催化設計光催化材料有毒工業廢物。我還收到了 Reliance Industries 的邀請，加入他們的團隊，擔任無機化學部門的主管。我還通過了一個印度 LED 巨頭加入他們研究團隊的面試。除了工業研究，我對出版業很感興趣，并申請了 Elsevier 和 Springer 的編輯團隊。雖然我沒有通過我在歐洲申請的任何職位，但我確實通過了作為愛思唯爾印度辦事處之一的內容主管。我不喜歡這個提議，也不喜歡我提供的職位。我和我一起上學的一個朋友在麻省理工學院獲得了統計學博士學位并加入了谷歌。我的另一個同學，在德國獲得了理論天體物理學博士學位，并加入了倫敦的一家投資公司。（不要問我怎么做?。┪业呐笥?，他的博士學位是使用飛秒激光器制造衍射光學器件，已被提供在一家設計超快飛秒和阿托秒激光器的羅馬尼亞公司擔任激光工程師。請記住，這些不是博士后職位。這些是行業中的常規職位。我的大多數同事最終都以講師的身份加入了學術界。他們中的一些人加入了當地的工程學院以及他們自己的部門擔任助理教授。不過，不確定這是一項成就！每個研究學者，在他們攻讀博士學位的某個時候，都會找出最適合他們的行業——外交部、氣候變化、金融、咨詢、半導體、人工智能，沒關系！學生們最終弄清楚了這一點。我所敘述的只是我個人認識的人的一些例子以及他們所做的選擇。

為大多數在業務中運行計算機的公司提供 IT 安全。

道德黑客=白帽子。值得？取決于你對價值的定義。有知識。您還可以獲得涉及互聯網設計的法律學位。想象一下，成為引領互聯網進入下一件大事的人。昔日的科幻小說開始成為現實。自動駕駛汽車、機器人、人工智能，這些都是你祖父母夢寐以求的東西。無現金社會，植入射頻芯片，不再有信用卡，不再有假身份證，你的簡歷一直隨身攜帶。天網就像電影終結者。一切都是相連的。星際旅行。而你是其中一些的創造者。

世界上有數以千萬計的軟件工程師，其中很大一部分（數百萬，也許超過一千萬）可以成為偉大的白帽黑客，他們會發現漏洞并將其報告給系統的所有者。最棒的是，您可以通過出色的漏洞報告獲得漏洞賞金。

大多數人不會雇傭真正的黑客，但最終會雇傭把自己宣傳為“黑客”的騙子。Quora 有很多，你肯定會看到“黑客”的條目在這個答案下方提供他們的“能力”。

真的，如果您擁有所有瘋狂的技能，那么您已經有了一份工作，充分的就業和非常繁忙的工作日程，可以為一些不知名的人投入大量時間，而這只是為了乞求幫助。任何聽起來像這樣的人要么是傻瓜，要么是等待因欺詐和陰謀而把你拖進來的警察。