热门话题
查看更多2.17万 热度
3973 热度
601 热度
1429 热度
1115 热度
置顶
马年大吉,抽奖行大运!成长值新年抽奖第 1️⃣6️⃣ 期盛大来袭!
抓住新年的好运,立即参与👉 https://www.gate.com/activities/pointprize?now_period=16
🌟 如何参与?
1️⃣ 在广场发帖、评论、点赞,完成任务赚取成长值
2️⃣ 每积攒 300 积分,即可参与超值抽奖!
🎁 新年好运等你拿!奖品包括 iPhone 17、新年周边、代币等心动大礼!
活动时间:1 月 21 日 16:00 -- 1 月 31 日 24:00 (UTC+8)
活动详情: https://www.gate.com/announcements/article/49388
#BTC #ETH #GT晒单有“金”喜,在 Gate 广场晒单晒图,瓜分 $10,000!
TradFi 黄金福袋活动震撼上线,每 10 分钟狂送 1g 真金,交易不停,抽奖不断!
👉 https://www.gate.com/announcements/article/49357
🎁 50 位幸运用户 * 每人 $200 仓位体验券($10 × 20 倍)
参与方式:
1️⃣ 在 Gate 广场带话题 #Gate每10分钟送1克黄金 晒单,需包含:
交易或抽奖截图+简单体验分享
2️⃣ 或在广场创作相关图片(可使用 AI 创作),并附一句宣传语,如:
上 Gate App 抢黄金,每 10 分钟送 1g!
⏰ 1 月 20 日 17:00 – 1 月 25 日 23:59(UTC+8)
Gate TradFi 我看行,黄金福袋冲冲冲!Gate 广场创作者新春激励正式开启,发帖解锁 $60,000 豪华奖池
如何参与:
报名活动表单:https://www.gate.com/questionnaire/7315
使用广场任意发帖小工具,搭配文字发布内容即可
丰厚奖励一览:
发帖即可可瓜分 $25,000 奖池
10 位幸运用户:获得 1 GT + Gate 鸭舌帽
Top 发帖奖励:发帖与互动越多,排名越高,赢取 Gate 新年周边、Gate 双肩包等好礼
新手专属福利:首帖即得 $50 奖励,继续发帖还能瓜分 $10,000 新手奖池
活动时间:2026 年 1 月 8 日 16:00 – 1 月 26 日 24:00(UTC+8)
详情:https://www.gate.com/announcements/article/49112每天看行情、刷大佬观点,却不发声?你的观点可能比你想的更有价值!
广场新人 & 回归福利进行中!首次发帖或久违回归,直接送你奖励!
每月 $20,000 奖金等你瓜分!
在广场带 #我在广场发首帖 发布首帖或回归帖即可领取 $50 仓位体验券
月度发帖王和互动王还将各获额外 50U 奖励
你的加密观点可能启发无数人,开始创作之旅吧!
👉️ https://www.gate.com/postGate 广场「创作者认证激励计划」优质创作者持续招募中!
立即加入,发布优质内容,参与活动即可瓜分月度 $10,000+ 创作奖励!
认证申请步骤:
1️⃣ 打开 App 首页底部【广场】 → 点击右上角头像进入个人主页
2️⃣ 点击头像右下角【申请认证】,提交申请等待审核
立即报名:https://www.gate.com/questionnaire/7159
豪华代币奖池、Gate 精美周边、流量曝光等超 $10,000 丰厚奖励等你拿!
活动详情:https://www.gate.com/announcements/article/47889
为什么公司无法阻止社会工程攻击? | 观点
来源:CryptoNewsNet 原文标题:为什么公司无法阻止社会工程攻击?| 观点 原文链接: 在过去的一年中,加密领域的大部分重大漏洞都源于同一个根源:人。在过去几个月里,Ledger 在 npm 维护者被欺骗并传播恶意软件包后,敦促用户暂停链上操作;Workday披露了一场社会工程攻击,访问了第三方CRM中的数据;以及与国家有关的操作人员继续对加密团队进行假工作诱骗,以传播恶意软件。
摘要
尽管在网络安全上投入了数十亿美元,公司仍然频繁被简单的社会工程攻击击败。团队在技术防护、审计和代码审查上投入大量资金,却忽视了运营安全、设备卫生和基本的人类因素。随着越来越多的金融活动迁移到链上,这一盲点已成为数字基础设施的系统性风险。
遏制社会工程攻击激增的唯一途径,是对运营安全进行广泛且持续的投资,从而降低这些策略的收益。
社会工程是网络安全的致命弱点
Verizon的2025年数据泄露调查报告将网络安全中的“人为因素”(钓鱼、被盗凭证和日常错误)大致归因于60%的数据泄露。
社会工程之所以有效,是因为它针对的是人,而非代码,利用信任、紧迫感、熟悉感和习惯。这类攻击无法通过代码审查消除,也难以用自动化的网络安全工具防御。代码审查和其他常见的网络安全措施无法阻止员工批准看似来自管理者的虚假请求,或下载看似合法的假软件更新。
即使是技术水平很高的团队也会被攻破;人类的弱点是普遍且顽固的。因此,社会工程仍在推动现实世界的事件发生。
加密提高了风险
可编程货币集中风险。在Web3中,泄露助记词或API令牌可能等同于闯入银行金库。加密交易的不可逆性放大了错误:一旦资金转移,通常无法逆转交易。设备安全或密钥管理中的一次疏忽就可能导致资产全部丧失。Web3的去中心化设计意味着通常没有客服可以求助,用户只能自力更生。
包括国家支持的操作人员在内的黑客已注意到社会工程攻击的有效性,并相应调整策略。操作中大量依赖社会工程:假工作邀请、毒化的PDF、恶意软件包和针对人类弱点的定制钓鱼。
这些攻击令人震惊地有效且易于执行,科技公司似乎无法防御。不同于快速修补的零日漏洞(迫使黑客寻找新漏洞策略),黑客可以反复利用相同的社会工程策略,自动化攻击,减少研发时间,增加攻击频率。
公司需要加大运营安全投入
太多组织仍将安全视为合规任务——这种态度由宽松的监管标准强化。公司常在通过审计、发布完美报告的同时,隐藏明显的运营风险:管理员密钥存放在个人笔记本上、凭证通过聊天和邮件共享、过时的访问权限未轮换、出差用的笔记本被改作开发机。
解决这一纪律失范的问题,需要明确且强制执行的运营安全措施。团队应使用托管设备、强大的端点保护和全盘加密;公司登录应采用密码管理器和抗钓鱼的多因素认证(MFA);系统管理员应严格管理权限和访问。虽然这些措施不能一劳永逸,但能增加社会工程攻击的难度,减轻潜在漏洞的影响。
最重要的是,团队需要投资运营安全培训;员工(而非网络安全团队)才是抵御社会工程攻击的第一线。公司应花时间培训团队识别潜在钓鱼攻击、养成良好的数据卫生习惯,并理解运营安全实践。
关键是,我们不能指望组织自愿采取强化的网络安全措施;监管机构必须介入,制定可强制执行的运营基线,使真正的安全成为必然。合规框架应超越文档,要求提供安全实践的可验证证据:验证的密钥管理、定期访问审查、端点强化和模拟钓鱼演练。没有监管的“牙齿”,激励总是偏向表面功夫而非实际效果。
社会工程只会变得更糟
现在就投资运营安全至关重要,因为攻击速度正呈指数增长。
生成式AI改变了欺骗的经济学。攻击者现在可以个性化、本地化并自动化钓鱼攻击,规模化进行。曾经只针对单一用户或企业的攻击,现在可以用极低的成本针对数千个企业。钓鱼攻击只需几次点击,就能融入个人细节,让伪造的邮件看起来更真实。
AI还加快了侦察速度。公开足迹、泄露的凭证和开源情报可以被挖掘和整合成“简报”,帮助黑客开发出深度可信的攻击方案。
放缓攻击速度
社会工程在隐性信任和便利优先于验证和谨慎的环境中繁荣。组织需要采取更具防御性的姿态,(正确)假设自己始终面临社会工程攻击的威胁。
团队应在日常操作中采用零信任原则,并在整个公司中融入运营安全原则。他们应培训员工识别早期钓鱼攻击,实践安全的数据管理,并保持对最新社会工程策略的了解。
最重要的是,企业需要识别运营中仍存在哪些信任点(无论攻击者何时冒充员工、软件或客户),并增加额外的安全措施。
社会工程不会消失,但我们可以让它变得更难以得逞,发生时造成的破坏也更小。随着行业不断强化防御,社会工程对黑客的吸引力将减弱,攻击频率将下降,最终结束这场没有尽头的漏洞循环。