智慧家電設備容易被駭客入侵,記錄密碼或助記詞,進而竊取你的加密貨幣。下面揭露各種物聯網裝置的安全風險。本文源自 Felix Ng 所著文章,由 TechFlow 整理、編譯及撰稿。
(背景補充:笑死!UXLINK駭客偷1130萬美「卻被釣魚攻擊」,幣圈黑吃黑防不勝防 )
掃地機器人以及其他智慧家電設備很容易被駭客入侵,用來記錄你的密碼輸入或助記詞。想像一下,有一天早晨醒來發現掃地機器人失控,冰箱開始向你索要贖金,而你的加密貨幣和銀行帳戶資金已被洗劫一空。
這不是史蒂芬.金 1986 年的恐怖電影《火魔戰車》(Maximum Overdrive)裡的情節,那部電影講述了一顆流浪彗星引發全球機器殺人狂潮的故事。
相反,如果駭客通過你家中的智慧設備入侵你的電腦可能導致的現實風險。隨著全球 IoT 設備數量預計達到 188 億,每天平均發生約 82 萬次 IoT 攻擊,這種場景的可能性正在增加。
「不安全的物聯網設備(例如路由器)可能成為入侵家庭網路的入口,」區塊鏈安全公司 Beosin 的研究員 Tao Pan 在接受採訪時表示。
截至 2023 年,美國普通家庭平均擁有 21 台聯網設備,其中三分之一的智慧家庭設備消費者在過去 12 個月內經歷過資料外洩或詐騙事件。
「一旦被駭客入侵,攻擊者可以橫向移動來存取連接的設備,包括用於加密貨幣交易的電腦或手機,還可以捕獲設備與交易所之間的登入憑證。這對於使用 API 進行加密貨幣交易的使用者尤其危險,」他補充道。
那麼,駭客究竟能竊取您家裡的哪些資訊,又能造成哪些損害呢?
《Magazine》收集了過去幾年發生的一些最離奇的駭客事件,其中包括一起門禁感測器被駭客入侵以挖掘加密貨幣的案例。我們還整理了一些保護資料和加密貨幣安全的實用建議。
入侵咖啡機
2019 年,網路安全公司 Avast 的研究員 Martin Hron 展示了駭客如何輕鬆存取家庭網路及其設備的方法。
他選擇了一個簡單的目標:遠端入侵自己的咖啡機。
Hron 解釋說,與大多數智慧設備一樣,咖啡機採用預設設定,無需密碼即可將設備連接到 WiFi,這使得將惡意程式碼上傳到機器中變得很容易。
「許多物聯網設備首先通過其自身的 WiFi 網路連接到家庭網路,該網路僅用於設定設備。理想情況下,消費者會立即使用密碼保護該 WiFi 網路,」Hron 解釋道。
「但許多設備在出廠時都沒有設定密碼來保護 WiFi 網路,而且許多消費者也沒有設定密碼,」他補充道。
「我可以為所欲為,因為我可以替換韌體,也就是操作咖啡機的軟體。而且我可以用任何我想要的東西替換它。我可以新增功能,刪除功能,還可以攻破內建的安全措施。所以,我可以為所欲為,」他在 Avast 發布的影片中說道。
在他的演示中,Hron 通過咖啡機顯示了一封勒索信,設備被鎖定,除非支付贖金,否則無法使用。
然而,除了顯示勒索信,咖啡機還可能被用來執行更惡意的操作,比如打開加熱器製造火災隱患,或者噴射沸水以威脅受害者。
更可怕的是,它可能悄悄地成為進入整個網路的入口,讓駭客可以監視你的銀行帳戶資訊、郵件甚至加密助記詞。
入侵賭場魚缸
最著名的案例之一發生在 2017 年,駭客通過入侵拉斯維加斯一家賭場大廳內的聯網魚缸,傳輸了 10GB 的資料。
魚缸配備了用於調節溫度、餵食和清潔的感測器,這些感測器連接到賭場網路上的一台電腦。駭客通過魚缸進入網路的其他區域,並將資料發送到芬蘭的遠端伺服器。
儘管賭場部署了常規的防火牆和防毒軟體,攻擊仍然成功進行。幸運的是,攻擊迅速被識別並處理。
網路安全公司 Darktrace 執行長 Nicole Eagan 當時告訴BBC:「我們立即阻止了它,沒有造成任何損害。」她還補充說,網際網路連接設備數量的不斷增長意味著「那裡是駭客的天堂」。
門感測器還可以偷偷挖礦
2020 年,在全球因新冠疫情而關閉的辦公室裡,網路安全公司 Darktrace 發現了一起秘密加密貨幣挖礦事件——駭客利用控制辦公室生物門禁的伺服器進行非法挖礦。
這起事件的線索來源於伺服器從一個未曾在網路中出現過的外部 IP 位址下載了可疑的可執行檔案。隨後,伺服器多次連接到與隱私代幣門羅幣(Monero)礦池相關的外部端點。
這種攻擊被稱為「加密劫持」(Cryptojacking),微軟威脅情報團隊在 2023 年發現了更多此類攻擊案例,駭客將目標鎖定在 Linux 系統和連接到網際網路的智慧設備。
微軟調查發現,攻擊者會通過暴力破解接入網際網路的 Linux 和物聯網設備來發起攻擊。一旦進入網路,他們會安裝後門程式,隨後下載並運行加密貨幣挖礦惡意軟體。這不僅會導致電費飆升,還會將所有挖礦收益直接轉入駭客的錢包。
這種加密劫持的案例層出不窮,其中一個最新案例涉及將加密劫持程式碼嵌入偽造的 404 HTML 頁面中。
駭客入侵智慧設備:摧毀電網
更可怕的是,普林斯頓大學的安全研究人員曾提出一種假設:如果駭客能控制足夠多的高耗能設備,比如 21 萬台空調,並讓它們同時開啟,將可能導致相當於加州人口,約 3800 萬人突然斷電。
這些設備需要集中在電網的某一部分,同時開啟,以導致某些電力線路的電流過載,從而損壞或觸發線路上的保護繼電器,使其關閉。這會將負載轉移到剩餘的線路上,進一步加劇電網壓力,最終引發連鎖反應。
不過,這種情況需要精確的惡意時間安排,因為電網波動在特殊天氣(如熱浪)期間是常見現象。
掃地機器人正在看著你
去年,美國多地的掃地機器人突然開始自行啟動。原來,駭客發現了一款中國製造的 Ecovac 掃地機器人存在嚴重的安全漏洞。
據報導,駭客可以遠端操控這些設備,用它們恐嚇寵物,通過內建揚聲器對使用者大喊髒話,甚至使用內建攝影機窺探使用者家中環境。
一張來自被駭的 Ecovac 掃地機器人即時畫面的圖片(ABC 新聞)
「物聯網設備的一個嚴重問題是,許多廠商仍然對安全問題關注不足,」網路安全公司 Kaspersky 表示。
顯而易見,如果駭客掌握了你輸入密碼或記錄助記詞的影片畫面,後果將不堪設想。
如何保護自己免受智慧設備駭客攻擊?
環顧四周,你可能會發現家中幾乎所有設備都連接了網際網路——掃地機器人、數位相框、門鈴攝影機。那麼你該如何保障你的比特幣安全呢?
一種選擇是採用專業駭客 Joe Grand 的方法:徹底避免使用任何智慧設備。
「我的手機是家裡最智慧的設備,但即使如此,我也不情願使用手機,只是為了導航和與家人溝通,」他曾告訴《Magazine》,「但智慧設備?絕對不可能。」
Avast 的 Hron 表示,最好的辦法是確保為智慧設備設定密碼,並避免使用預設設定。
其他專家建議,為物聯網設備使用獨立的訪客網路,尤其是那些無需與電腦和手機共享網路的設備;在設備不使用時斷開連接;並保持軟體及時更新。
此外,還有一種聯網收費搜尋引擎,可以幫助使用者查看家中聯網設備及可能存在的漏洞。
📍相關報導📍
BTC 跌破 11 萬美元:山寨季還沒來,市場資金已經要跑了?
