隨著全球智能設備激增,一個隱藏的威脅正悄然逼近——你家中的每一件物聯網設備都可能成為黑客入侵加密錢包的跳板。數據顯示,全球物聯網設備總數預計達到188億,而每天平均發生約82萬次物聯網攻擊,這個數字還在不斷上升。## 被低估的威脅:家中的安全漏洞根據2023年的統計,美國普通家庭平均擁有21台互聯網連接設備。這些設備從表面看無害,但安全隱患卻無處不在——約三分之一的智能家居用戶在過去12個月內經歷過數據外洩或詐騙事件。區塊鏈安全公司Beosin的研究員Tao Pan指出,"不安全的物聯網設備(例如路由器)可能成為入侵整個家庭網路的入口。一旦黑客獲得access權限,攻擊者可以橫向移動來訪問連接的設備,包括用於加密貨幣交易的電腦或手機,還能捕獲設備與交易所之間的登入憑證。這對於使用API進行加密貨幣交易的用戶尤其危險。"## 咖啡機裡的惡意程式碼要理解這些威脅有多真實,看一個2019年的案例就足夠了。網路安全公司Avast的研究員Martin Hron成功遠端入侵了自己的咖啡機,演示了黑客的手法有多簡單。大多數物聯網設備採用預設設定,允許設備透過無密碼的WiFi連接到家庭網路。Hron解釋說:"許多物聯網設備首先透過其自身的WiFi網路連到家庭網路,該網路僅用於設定設備。理想情況下,消費者會立即用密碼保護該WiFi網路。但許多設備在出廠時都沒有設定密碼來保護WiFi網路,而且許多消費者也沒有採取行動。"在Hron的演示中,他透過替換咖啡機的韌體(作業系統),讓設備顯示勒索信——整台機器被鎖定,除非支付贖金,否則無法使用。但這只是小兒科。黑客還可能透過咖啡機打開加熱器製造火災隱患,或讓設備噴射沸水威脅受害者。最危險的是,它可能悄悄成為進入整個網路的後門,讓黑客監視銀行帳戶資訊、電子郵件,甚至竊取加密助記詞。## 賭場魚缸盜資料事件2017年發生的拉斯維加斯賭場魚缸入侵案例堪稱經典。黑客透過一個看似無害的聯網魚缸滲透了賭場網路,成功傳輸了10GB的資料。這個魚缸配備了用於調節溫度、投喂食物和清潔的傳感器,這些傳感器連接到賭場網路的電腦。黑客透過魚缸作為入口,在網路內部橫向移動,最終將資料傳送到芬蘭的遠端伺服器。即使賭場部署了常規防火牆和防毒軟體,這次攻擊仍然得手。所幸的是,安全公司Darktrace迅速識別並阻止了攻擊,沒有造成實質性損害。Darktrace首席執行官妮可·伊根當時在接受BBC採訪時表示:"我們立即阻止了它,沒有造成任何損害。"她還警告說,互聯網連接設備數量的不斷增加意味著"那裡是黑客的天堂"。## 門禁傳感器的秘密挖礦2020年,在新冠疫情導致全球辦公室關閉的時期,網路安全公司Darktrace發現了一個令人震驚的事件——黑客利用控制辦公室生物門禁的伺服器進行非法加密貨幣挖礦。這起事件的線索來自於伺服器從一個之前未曾出現過的外部IP地址下載了可疑的可執行檔。隨後,伺服器多次連接到與隱私幣門羅幣(Monero)礦池相關的外部端點。這種攻擊被稱為"加密劫持"(Cryptojacking)。到了2023年,更多此類攻擊案例浮出水面。黑客開始將目標鎖定在Linux系統和連接到互聯網的智能設備。微軟的調查發現,攻擊者會透過暴力破解互聯網接入的Linux和物聯網設備來發起攻擊。一旦進入網路,他們會安裝後門程式,隨後下載並運行加密貨幣挖礦惡意軟體。這種挖礦行為不僅導致受害者的電費飆升,還會將所有挖礦收益直接轉入黑客的錢包。某些高階的加密劫持案例甚至將挖礦程式碼嵌入偽造的404 HTML頁面中,使其更難被偵測。與手機挖礦不同,物聯網設備挖礦的特點是持久性強、隱蔽性高,黑客可以長期控制設備進行挖礦而不被發現。## 掃地機器人正在窺探你去年,美國多個地區的掃地機器人突然開始自行啟動。原來是黑客發現了中國製造的Ecovac掃地機器人存在嚴重的安全漏洞。根據報導,黑客能夠遠端操控這些設備,用它們恐嚇寵物,透過內建揚聲器對用戶大喊髒話,甚至使用內建攝像頭窺探用戶家中的環境。如果黑客掌握了你輸入密碼或記錄助記詞的影片畫面,後果將不堪設想。網路安全公司Kaspersky指出:"物聯網設備的一個嚴重問題是,許多廠商仍然對安全問題關注不足。"## 從電網到加密錢包:威脅的升級更可怕的是,普林斯頓大學的安全研究人員曾提出一種假設:如果黑客能夠控制足夠多的高耗能設備(例如21萬台空調),並讓它們同時啟動,將可能導致相當於加州人口(約3800萬人)突然大停電的後果。這些設備需要集中在電網的某一部分,同時啟動,以導致某些電力線路的電流過載,從而損壞或觸發線路上的保護繼電器,使其關閉。這會將負載轉移到剩餘的線路上,進一步加劇電網壓力,最終引發連鎖反應。不過這需要精確的惡意時間安排,因為電網波動在極端天氣(如熱浪)期間是常見現象。## 如何守護你的加密資產面對這些威脅,採取防護措施已經成為必需。網路安全專家Joe Grand採取了最激進的方法:完全避免使用智能設備。"我的手機是家裡最智能的設備,但即使如此,我也不情願使用手機,只是為了導航和與家人溝通。但智能設備?絕對不可能。"他說。但對大多數人而言,這種做法不太現實。以下是一些實用的防護建議:**更改預設設定**:為所有智能設備設定強密碼,避免使用預設設定。Avast的Hron強調,這是最基本但也是最容易被忽視的防護措施。**網路隔離**:為物聯網設備使用獨立的訪客網路,尤其是那些無需與電腦和手機共享網路的設備。這樣即使IoT設備被入侵,黑客也很難橫向移動到你的主要設備。**及時斷開連線**:在設備不使用時斷開電源或網路連線,減少攻擊窗口。**保持軟體更新**:定期更新設備韌體和作業系統,許多安全漏洞都能透過及時補丁解決。**監控設備**:使用聯網搜尋引擎(如Shodan)查看家中的聯網設備及可能存在的漏洞,定期審計你的網路安全狀況。隨著物聯網設備的普及,安全風險已經不再是遙遠的威脅,而是日常生活中真實存在的危險。保護好你的智能設備,實質上就是保護好你的加密貨幣和數位資產。
物聯網陷阱:你的智能設備如何成為加密資產的掠奪者
隨著全球智能設備激增,一個隱藏的威脅正悄然逼近——你家中的每一件物聯網設備都可能成為黑客入侵加密錢包的跳板。數據顯示,全球物聯網設備總數預計達到188億,而每天平均發生約82萬次物聯網攻擊,這個數字還在不斷上升。
被低估的威脅:家中的安全漏洞
根據2023年的統計,美國普通家庭平均擁有21台互聯網連接設備。這些設備從表面看無害,但安全隱患卻無處不在——約三分之一的智能家居用戶在過去12個月內經歷過數據外洩或詐騙事件。
區塊鏈安全公司Beosin的研究員Tao Pan指出,“不安全的物聯網設備(例如路由器)可能成為入侵整個家庭網路的入口。一旦黑客獲得access權限,攻擊者可以橫向移動來訪問連接的設備,包括用於加密貨幣交易的電腦或手機,還能捕獲設備與交易所之間的登入憑證。這對於使用API進行加密貨幣交易的用戶尤其危險。”
咖啡機裡的惡意程式碼
要理解這些威脅有多真實,看一個2019年的案例就足夠了。網路安全公司Avast的研究員Martin Hron成功遠端入侵了自己的咖啡機,演示了黑客的手法有多簡單。
大多數物聯網設備採用預設設定,允許設備透過無密碼的WiFi連接到家庭網路。Hron解釋說:“許多物聯網設備首先透過其自身的WiFi網路連到家庭網路,該網路僅用於設定設備。理想情況下,消費者會立即用密碼保護該WiFi網路。但許多設備在出廠時都沒有設定密碼來保護WiFi網路,而且許多消費者也沒有採取行動。”
在Hron的演示中,他透過替換咖啡機的韌體(作業系統),讓設備顯示勒索信——整台機器被鎖定,除非支付贖金,否則無法使用。但這只是小兒科。黑客還可能透過咖啡機打開加熱器製造火災隱患,或讓設備噴射沸水威脅受害者。最危險的是,它可能悄悄成為進入整個網路的後門,讓黑客監視銀行帳戶資訊、電子郵件,甚至竊取加密助記詞。
賭場魚缸盜資料事件
2017年發生的拉斯維加斯賭場魚缸入侵案例堪稱經典。黑客透過一個看似無害的聯網魚缸滲透了賭場網路,成功傳輸了10GB的資料。
這個魚缸配備了用於調節溫度、投喂食物和清潔的傳感器,這些傳感器連接到賭場網路的電腦。黑客透過魚缸作為入口,在網路內部橫向移動,最終將資料傳送到芬蘭的遠端伺服器。即使賭場部署了常規防火牆和防毒軟體,這次攻擊仍然得手。所幸的是,安全公司Darktrace迅速識別並阻止了攻擊,沒有造成實質性損害。
Darktrace首席執行官妮可·伊根當時在接受BBC採訪時表示:"我們立即阻止了它,沒有造成任何損害。“她還警告說,互聯網連接設備數量的不斷增加意味著"那裡是黑客的天堂”。
門禁傳感器的秘密挖礦
2020年,在新冠疫情導致全球辦公室關閉的時期,網路安全公司Darktrace發現了一個令人震驚的事件——黑客利用控制辦公室生物門禁的伺服器進行非法加密貨幣挖礦。
這起事件的線索來自於伺服器從一個之前未曾出現過的外部IP地址下載了可疑的可執行檔。隨後,伺服器多次連接到與隱私幣門羅幣(Monero)礦池相關的外部端點。這種攻擊被稱為"加密劫持"(Cryptojacking)。
到了2023年,更多此類攻擊案例浮出水面。黑客開始將目標鎖定在Linux系統和連接到互聯網的智能設備。微軟的調查發現,攻擊者會透過暴力破解互聯網接入的Linux和物聯網設備來發起攻擊。一旦進入網路,他們會安裝後門程式,隨後下載並運行加密貨幣挖礦惡意軟體。
這種挖礦行為不僅導致受害者的電費飆升,還會將所有挖礦收益直接轉入黑客的錢包。某些高階的加密劫持案例甚至將挖礦程式碼嵌入偽造的404 HTML頁面中,使其更難被偵測。與手機挖礦不同,物聯網設備挖礦的特點是持久性強、隱蔽性高,黑客可以長期控制設備進行挖礦而不被發現。
掃地機器人正在窺探你
去年,美國多個地區的掃地機器人突然開始自行啟動。原來是黑客發現了中國製造的Ecovac掃地機器人存在嚴重的安全漏洞。
根據報導,黑客能夠遠端操控這些設備,用它們恐嚇寵物,透過內建揚聲器對用戶大喊髒話,甚至使用內建攝像頭窺探用戶家中的環境。如果黑客掌握了你輸入密碼或記錄助記詞的影片畫面,後果將不堪設想。
網路安全公司Kaspersky指出:“物聯網設備的一個嚴重問題是,許多廠商仍然對安全問題關注不足。”
從電網到加密錢包:威脅的升級
更可怕的是,普林斯頓大學的安全研究人員曾提出一種假設:如果黑客能夠控制足夠多的高耗能設備(例如21萬台空調),並讓它們同時啟動,將可能導致相當於加州人口(約3800萬人)突然大停電的後果。
這些設備需要集中在電網的某一部分,同時啟動,以導致某些電力線路的電流過載,從而損壞或觸發線路上的保護繼電器,使其關閉。這會將負載轉移到剩餘的線路上,進一步加劇電網壓力,最終引發連鎖反應。不過這需要精確的惡意時間安排,因為電網波動在極端天氣(如熱浪)期間是常見現象。
如何守護你的加密資產
面對這些威脅,採取防護措施已經成為必需。網路安全專家Joe Grand採取了最激進的方法:完全避免使用智能設備。"我的手機是家裡最智能的設備,但即使如此,我也不情願使用手機,只是為了導航和與家人溝通。但智能設備?絕對不可能。"他說。
但對大多數人而言,這種做法不太現實。以下是一些實用的防護建議:
更改預設設定:為所有智能設備設定強密碼,避免使用預設設定。Avast的Hron強調,這是最基本但也是最容易被忽視的防護措施。
網路隔離:為物聯網設備使用獨立的訪客網路,尤其是那些無需與電腦和手機共享網路的設備。這樣即使IoT設備被入侵,黑客也很難橫向移動到你的主要設備。
及時斷開連線:在設備不使用時斷開電源或網路連線,減少攻擊窗口。
保持軟體更新:定期更新設備韌體和作業系統,許多安全漏洞都能透過及時補丁解決。
監控設備:使用聯網搜尋引擎(如Shodan)查看家中的聯網設備及可能存在的漏洞,定期審計你的網路安全狀況。
隨著物聯網設備的普及,安全風險已經不再是遙遠的威脅,而是日常生活中真實存在的危險。保護好你的智能設備,實質上就是保護好你的加密貨幣和數位資產。