網絡犯罪三大趨勢：警惕手機后端、物聯網和語音攻擊

通過手機進行支付

一款Nest智能恒溫器

亞馬遜的Alexa智能音箱。

黑客攻擊方法和技術不斷精進。

維護網絡安全就像一場貓捉老鼠的游戲——隨著網絡安全專家一次次地進行安全升級，黑客也在不斷精進攻擊方法和技術。如果想要了解黑客網絡犯罪的策略演變和發展趨勢，那就絕不能錯過每年的黑帽大會和DefCon黑客大會。這兩場一年一度的行業盛會堪稱信息安全領域的風向標，看客能從中一窺網絡安全犯罪的新趨勢。

今年，智能手機后端攻擊、物聯網攻擊和聲音偽裝攻擊成為三大熱點安全話題。知己知彼，才能更好地防范網絡攻擊，下面讓我們來看看黑客的最新招數。

廣州日報全媒體記者溫俊華 實習生田甜 編譯

圖片來源：網絡

美國當地時間8月4日-9日，一年一度的2018黑帽大會于拉斯維加斯拉開帷幕。在這場公認頂級的全球信息安全行業盛會上，來自世界各地的信息安全專家、黑客、政府人員、安全廠商齊聚一堂，共同分享最新的網絡安全技術資訊、攻防手法以及網絡安全產品與方案。

DefCon黑客大會緊隨其后于10日召開，大會云集全球知名網絡安全機構專家、黑客及政府官員，集中展示最前沿的網絡攻擊方式和漏洞防護技術。

在這兩個盛會上，參會者不僅可以一睹最新出現的攻擊手法，還能及時了解到防范這些攻擊的最新技術。

今年，智能手機后端攻擊、物聯網攻擊和聲音偽裝攻擊成為三大熱點安全話題。

維護智能手機安全

防范后端攻擊

如今，移動設備安全變得尤為重要。隨著手機智能化程度的提高，我們的生活仿佛與智能手機綁定在一起——智能手機可以變身銀行卡、公交卡、門禁卡；通過智能手機，我們可以監測步數、心跳、進行移動支付、遠程遙控車輛等等。

隨著智能手機在用戶的生活中占據越來越重的分量，它們也逐漸引起了黑客的關注。近年來，最常見的一種攻擊方法相當簡單——在第三方應用程序商店中植入假應用程序，使用戶在不經意間安裝惡意軟件。

然而，攻擊智能手機的技術也正日漸升級。今年，黑帽大會有超過12場關于新的智能移動設備威脅的演講，正如演講所述，黑客們正在開發一系列新技術來攻擊智能手機，特別是通過攻擊后端網絡和服務器，比如攻擊4G網絡、基帶、移動設備管理、移動操作系統、移動銷售點系統等，來實現對智能手機的攻擊。

想要防范這些后端攻擊，難度要大得多，這意味著企業和個人很容易在不知情的情況下受到損害。

萬物互聯時代 警惕惡意軟件

黑帽大會

創辦于1997年，被公認為世界信息安全行業的最高盛會，也是最具技術性的信息安全會議。會議引領安全思想和技術走向，參會人員包括企業和政府的研究人員，甚至還有一些民間團隊。

隨著電子化、智能化發展，人們進入萬物互聯時代。如圖中的Nest智能恒溫器，這款恒溫器整合了ipod、手機以及互聯網中先進且炫酷的科技元素，它可以自動控制暖氣、通風及空氣調節設備（如空調、電暖器等），通過記錄用戶的室內溫度數據，智能識別用戶習慣，并將室溫調整到最舒適的狀態。

但是，隨著物聯網連接設備數量激增，黑客也越來越多地將注意力轉移到這一領域。首先，物聯網設備內置的安全性薄弱，安全更新時有時無，一些規模較小的制造商生產的設備更是如此。其次，用戶往往不會主動更新設備。此外，物聯網設備存在于網絡外圍，導致用戶和企業經常忽視它們。

上述幾點原因為黑客植入惡意軟件提供了可乘之機，通過安裝僵尸惡意軟件，降低設備處理能力，網絡罪犯就可以借此牟利。

目前，還有很多人沒有認識到這一問題的嚴重性。他們認為惡意軟件只能制造小麻煩，不是真正的威脅。畢竟，惡意軟件沒有試圖竊取信息，只是減慢它們的速度，降低它們的性能。但事實上，這一觀點是錯誤的，因為這些惡意軟件很可能成為啟動其他攻擊的后門，威脅更多設備安全。

語音服務興起

小心聲音偽裝

DefCon黑客大會

誕生于1992年，又稱電腦黑客秘密大派對，參會者除來自世界各地黑客，還有全球許多大公司的代表以及美國國防部、聯邦調查局、國家安全局等政府機構的官員。

與易丟失、易遺忘且不具備唯一性的傳統密碼不同，隨著語音生物識別技術的愈發成熟，如今，語音已經開始逐步替代傳統密碼，成為身份驗證的重要手段。

比如，用戶可以使用語音指令為自己的銀行賬號進行雙重加密；智能音箱的出現，使用戶可以通過語音指令點播歌曲、上網購物，或是了解天氣預報；同時，它也可以控制智能家居設備，比如打開窗簾、設置冰箱溫度、提前讓熱水器升溫等。

然而，對于網絡犯罪者而言，語音服務的興起也為他們提供了一塊便利的灘頭陣地。如果黑客可以克隆或偽裝用戶的聲音，他就可以輕易竊取其銀行賬戶；如果黑客可以向智能音箱發出隱藏的語音命令，他就可以享受其提供的技術服務，完全控制該設備，并可能控制連接同一網絡的其他設備。

在黑帽大會上，網絡安全專家也就此主題分享了最新研究，包括微軟語音助手“微軟小娜”（Cortana，微軟發布的全球第一款個人智能語音助理）的漏洞利用和語音偽裝等。