海外一家做区块链即加密货币的公司最近发了一个报告,称来自朝鲜的黑客利用一个 PDF 文件,成功攻破了他们设计严密的金融系统,盗走了 5000 万美金。他们邀请了诸多安全公司甚至美国 FBI 共同参与调查,最终还原出攻击过程,确定是朝鲜黑客所为。
一直以来,区块链加密货币主打的就是安全概念,这到底是怎么回事呢?
最开始,这家公司的一名员工收到一封邮件,邮件附件是一个 PDF 文档。同时,该员工还收到之前合作过的一位外包员工的消息,大致内容是他正在进行一个新项目,刚完成项目报告,请这位同事帮忙审阅项目报告并提出意见,随后很自然地通过邮件发送了一个 PDF 文件。
这个看似普通的 PDF,图标也正常,但实际上是一个用 PDF 图标伪装的软件安装包,是一个可执行文件,跳转的网址也毫无破绽。
点击之后,你以为会打开 PDF 文档,实际上它在你的电脑上悄悄安装了一个后门程序。这个恶意后门程序能将你电脑上的信息偷偷传输给黑客,黑客便可远程控制你的电脑。
显然,这个外包员工是黑客假扮的,目的就是骗取这家区块链公司员工的信任,让其在毫无察觉的情况下,心甘情愿地下载安装后门软件。
假设这家公司在点击安装PDF文件时能够及时察觉,有杀毒软件提醒或许可以避免损失。比如,若他们电脑上安装了 360 的免费安全卫士或者安全杀毒软件,肯定能够拦截。在国内,我们已多次拦截类似攻击。
但遗憾的是,他们可能未安装杀毒软件,或者所使用的杀毒软件能力不足。
结果木马不仅未能拦截,而且这名员工还将这个 PDF 文档转发给了公司其他几人,导致其他人也安装了同样的后门程序。
或许有人会质疑,这是不是太夸张了?咱们去银行取钱都要全程验证,区块链交易操作流程安全性如此之高,怎么会因为一个小小的后门就被人截胡呢?
这就要说到黑客的高明之处了。他们对这家公司的攻击堪称量身定制。
他们应该事先派人潜入这家公司担任远程员工,然后发现这家公司使用的钱包 —— 用来管理和存入加密货币的意念钱包——存在缺乏对交易内容验证的问题。
简单来说,在电子签名验证过程中,签名者完全看不到签名内容,仅仅基于流程或信任就进行了签字。黑客抓住这个漏洞,利用木马替换了交易请求时的文件内容,即本来你要转账给张三,黑客却将张三的名字换成了自己的地址,从而大规模转移平台上用户的资金。
在成功实施盗窃后,黑客迅速展开清理工作,不到 3 分钟就删除了刚才安装的后门软件,尽可能清除所有可能暴露他们身份的痕迹。
这就是为什么即便 FBI 介入调查,也历经数月才查明黑客真面目的原因。
这种攻击被称为社会工程学攻击,精准利用网络漏洞,各个环节紧密相连,且都经过长时间精心策划。一般的小毛贼、小黑客根本无法做到,只有具备国家级力量的黑客网军才有此能力。
从这次黑客攻击的手法来看,与我过去多次提及的网络战特点高度吻合。
第一,有更高级别的力量参与其中。如今网络战的对手已转变为各个国家的国家队或专业犯罪团伙,不再是小毛贼、小黑客。
第二,网络战演变为整体战,不分军用民用。区块链加密货币交易本属个人事务,但在此次事件中却成为朝鲜黑客的突破口。当然,朝鲜黑客与其他国家情报机构的目的有所不同,其他国家情报机构主要是获取情报,而他们还想获取资金。
第三,没有攻不破的网络。因为漏洞无处不在,无法彻底消除。此次事件发生在以安全著称的区块链领域,但区块链同样存在漏洞。实际上,这是利用了浏览器和 PDF 阅读器的漏洞,发给你的 PDF 文档中已打包了诸多可自动执行的代码。
第四,网络渗透和潜伏已成为常态。许多国家的网络早已被其他国家的高级黑客长期渗透,只是未被察觉,这是网络战的新常态。
此次事件发生前毫无征兆,但显然朝鲜黑客已在这家公司长期潜伏,对其工作流程、人员情况了如指掌,从而能够有针对性地实施社会工程学攻击。
朝鲜黑客展现的,仅仅是网络安全问题的冰山一角。
这些年,360 连续捕获了全球 56 个国家情报机构的黑客组织,对我国军工、科研、政府部门的网络攻击。尤其是多次捕获美国两大顶级情报机构对我国重要部门,包括西北工业大学的网络攻击和渗透,将美西方潜伏窃取情报的间谍软件网络连根拔起。
这也是 360 成为唯一被美国双重制裁的互联网公司和安全企业的原因。
360 被制裁后,我们在国外的网络安全研究中心被迫解散,外籍专家人才流失,海外业务合作全部取消,甚至无法采购电脑服务器。
在承受如此巨大损失的情况下,360 依然每年投入数十亿资金,致力于为国家构建一套全球网络空间的预警防御体系,助力国家预警、发现并阻拦来自世界各地的高级网络攻击,打破了美西方长期以来对我国形成的单向透明优势。即他们在我们的网络中活动,我们却无法察觉,如今他们很难再做到这一点。
每年数十亿资金可不是小数目。
假设用来购买豪车,可以购置 1000 辆劳斯莱斯或者 10000 辆保时捷,相当于每天为了国家安全,要消耗几十辆保时捷。但 360 始终坚定不移,每年投入数十亿资金用于国家的高级网络攻击防御工作。360 在全国范围内建立了数百个数据中心,投入了数十万台服务器,具备上万P的自算算力。公司聘请了数千位顶级安全专家,还在民间签约了数万名红帽子黑客。360 在网络安全方面的投入超过了行业内第 2 名到第 10 名的总和。
由于在网络安全领域投入巨大,导致纳米 AI 搜索等 AI 新产品的营销推广相对克制。
前段时间,360 推出纳米 AI 搜索的发布会,还遭到同行嘲笑,被认为寒酸得如同小学生的家长会。其他企业推广新产品,通常会选在豪华的体育场,邀请一线明星代言,或者投入数亿资金购买流量。为节省开支,我选择每天自己拍摄短视频,在视频中植入纳米 AI 搜索的推广内容。
我还花费 10 来万元拍摄了一部霸道总裁题材的短剧,通过短剧播放来推广纳米 AI 搜索。所以,我衷心希望粉丝朋友们,如果认可 360 为国家所做的贡献,请多多向身边亲朋好友推荐纳米 AI 搜索。
纳米 AI 搜索的能力并不逊色于其ChatGPT,我们只是不舍得投入大量资金进行广告推广,但这并不代表我们缺乏研发实力。
实际上,我国的 AI 产品并不比美国的差,我很少夸大其词,大家只需前往手机应用市场搜索安装纳米 AI 搜索 APP 进行体验,我相信大家一旦使用,就会对它爱不释手。
纳米 AI 搜索除了拥有多个 360 自研的大模型,还接入了 16 家国内顶级 AI 公司的 50 多个大模型。这些大模型能够相互协作、优势互补,使纳米 AI 搜索的 AI 能力达到全球顶尖水平,可以用人工智能重新定义搜索,同时将普通人使用 AI 的门槛降至最低。
纳米 AI 搜索只要能发语音、能拍照就能提问,答案都是 AI 在浏览成千上万个网页、深度思考后总结生成的内容,清晰易懂,还能转换为语音和视频形式。
老人家吃药时看不懂说明书,用纳米 AI 搜索对着药盒拍照,即可询问药物的服用方法和注意事项;家长辅导孩子功课时遇到难题,用手机纳米 AI 搜索拍照,就能听到老师耐心的一步步解题讲解。
就如同手机里装了一位无所不能的超级专家,每天为你解决各种问题。
关键是,纳米 AI 搜索完全免费。最近,我们又新增了上传一张图片生成一段视频的功能,十分有趣。现在,纳米 AI 搜索的用户每天会生成 10 万来个充满创意的视频。恳请大家多多向亲朋好友推荐,谢谢大家。
