Gate 廣場|2/27 今日話題: #BTC能否重返7万美元?
🎁 帶話題發帖,抽 5 位幸運兒送出 $2,500 仓位體驗券!
Jane Street 被起訴後,持續多日的“10 點砸盤”疑似消失。BTC 目前在 $67,000 附近震盪,這波反彈能否順勢衝回 $70,000?
💬 本期熱議:
1️⃣ 你認為訴訟與“10 點拋壓”消失有關嗎?市場操縱阻力是否減弱?
2️⃣ 衝擊 $70K 的關鍵壓力區在哪?
3️⃣ 你會在當前價位分批布局,還是等待放量突破再進場?
分享觀點,瓜分好禮 👉️ https://www.gate.com/post
📅 2/27 16:00 - 3/1 12:00 (UTC+8)
為什麼公司無法阻止社會工程攻擊? | 意見
資料來源:CryptoNewsNet 原文標題:為何企業無法阻止社會工程攻擊? | 意見 原文連結: 在過去一年中,加密貨幣領域的最大漏洞大多源於人為因素。僅在過去幾個月,Ledger 就曾敦促用戶暫停鏈上活動,因 npm 維護者被騙並散布惡意套件;Workday 公布了一場社會工程攻擊,該攻擊訪問了第三方 CRM 的數據;而與國家有關的操作者則持續對加密團隊進行假工作誘騙,以傳播惡意軟件。
摘要
儘管在網絡安全上投入數十億,企業仍屢屢被簡單的社會工程攻擊擊敗。團隊將資金投入技術防護、審計和程式碼審查,卻忽視了運營安全、設備衛生和基本的人性因素。隨著越來越多的金融活動轉移到鏈上,這個盲點已成為數字基礎設施的系統性風險。
唯一能減緩社會工程攻擊激增的方法,是在運營安全上進行廣泛且持續的投資,以降低這些策略的收益。
社會工程是網絡安全的阿喀琉斯之踵
Verizon 2025 年數據外洩調查報告將網絡安全中的「人為因素」(釣魚、被盜憑證和日常錯誤) 與約 60% 的數據外洩相關。
社會工程之所以有效,是因為它針對人而非程式碼,利用信任、緊迫感、熟悉感和例行公事。這些類型的攻擊無法僅靠程式碼審查消除,也難以用自動化的網絡安全工具防禦。程式碼審查和其他常見的網絡安全措施無法阻止員工批准看似來自管理者的欺詐請求,或下載看似合法的假軟件更新。
即使是高度技術團隊也會中招;人性弱點是普遍且頑固的。因此,社會工程仍在推動現實世界的事件。
加密貨幣提高了風險
可程式化資金集中風險。在 Web3 中,洩露種子短語或 API 金鑰等同於闖入銀行金庫。加密交易的不可逆性放大了錯誤:一旦資金轉移,往往無法逆轉交易。設備安全或金鑰管理上的一個疏忽就可能抹掉所有資產。Web3 的去中心化設計意味著通常沒有客服可以求助,讓用戶只能自力更生。
包括國家支持的操作者在內的黑客已注意到社會工程攻擊的有效性,並相應調整策略。操作上大量依賴社會工程:假工作邀約、毒化的 PDF、惡意套件和量身定制的釣魚攻擊,利用人類脆弱點。
這些漏洞令人震驚地有效且易於執行,科技公司似乎無法防禦。與零日漏洞(快速修補,迫使黑客尋找新漏洞策略)不同,黑客能反覆利用相同的社會工程策略,自動化攻擊,花更多時間在駭入上,較少在研發。
企業需要投資運營安全
太多組織仍將安全視為合規任務——這種態度受到寬鬆監管標準的強化。企業常在通過審計、發布完美報告的同時,卻隱藏明顯的運營風險:管理員金鑰存放在個人筆記本電腦上、憑證在聊天和電子郵件中共享、過時的存取權限未定期調整、出差用的筆記本被改作開發機器。
解決這種紀律失衡,需明確且強制執行運營安全措施。團隊應使用管理設備、強化端點保護和全盤加密;公司登入應採用密碼管理器和抗釣魚的多重驗證(MFA);系統管理員應謹慎管理權限和存取。這些控制措施不是萬靈藥,但能增加社會工程攻擊的難度,並幫助降低潛在漏洞的影響。
最重要的是,團隊必須投資於運營安全培訓;員工(而非專業的網絡安全團隊),才是抵禦社會工程攻擊的第一線。公司應花時間訓練團隊識別潛在釣魚攻擊、實踐安全資料管理,並理解運營安全實務。
關鍵是,我們不能指望組織自願採取強化的網絡安全措施;監管機構必須介入,制定可執行的運營基準,使真正的安全成為非選擇。合規框架應超越文件記錄,要求提供可驗證的安全實踐證明:經過驗證的金鑰管理、定期存取審查、端點硬化和模擬釣魚測試。沒有監管的約束,激勵將永遠偏向表面功夫而非實質成效。
社會工程只會越來越糟
現在投資運營安全至關重要,因為攻擊速度正呈指數級增長。
生成式 AI 改變了欺騙的經濟學。攻擊者現在可以個性化、在地化並自動化釣魚攻擊,規模化進行。曾經針對單一用戶或企業的攻擊,現在可以用極低的成本針對數千家企業。只需幾次點擊,釣魚郵件就能融入私密細節,使假冒郵件看起來更可信。
AI 也加速了偵察過程。公開足跡、泄露的憑證和開源情報可以被挖掘並整合成「簡報」,幫助黑客打造深度可信的攻擊。
放緩攻擊速度
社會工程在隱含信任與便利超越驗證與謹慎的地方繁榮。組織需要採取更具防禦性的姿態,(正確)假設自己時刻面臨社會工程攻擊威脅。
團隊應在日常運營中採用零信任原則,並將運營安全原則融入整個公司。他們應訓練員工識別潛在釣魚攻擊、早期阻止攻擊,並讓團隊掌握最新的社會工程策略。
最重要的是,企業需要找出運營中仍存在哪種信任(無論攻擊者何時冒充員工、軟體或客戶),並加強額外的防護措施。
社會工程不會完全消失,但我們可以讓它的效果大大降低,造成的破壞也更小。隨著行業逐步強化防禦,社會工程對黑客的吸引力將降低,攻擊頻率也會下降,最終結束這個令人窒息的漏洞循環。