我不清楚你们是否会这样,但[讽刺] 我最喜欢做的事情就是打开信箱寻找来路不明的信件。也就是垃圾广告宣传品[挖苦]。
你们中间一定也有人和我有同样的”爱好”吧。
好了,言归正传,没人希望自己的电子邮箱或家中信箱塞满了各种垃圾。尽管如此,营销专家们依然不遗余力地直接寄送各种广告—大部分都没有目标性—但仍能赢得不少客户。
这里,有些人可能会问,为什么要在安全博客上讨论广告营销问题呢?
很高兴你能问这个问题。如你所见,澳大利亚墨尔本警方最近向市民发出警告:千万不要将寄到自家信箱的U盘插入计算机。
“这些U盘被认为极具危害,因此强烈要求公众避免插入计算机或其它设备。”警方警告道。
我猜犯罪分子当时的想法是:决心不再依赖从传统网络犯罪方法,利用AOL快递寄送U盘,诱使受害人在计算机上安装恶意软件。
尽管这一策略看似有些老套,在停车场捡拾网络攻击者有意丢弃的恶意U盘,导致企业遭受有针对性恶意软件感染的情况时有发生。今年年初,我们报告了一项由研究人员Elie Bursztein实施的类似试验,故意在大学校园周边丢弃U盘。结果不禁令人大吃一惊:在所有被丢弃的U盘中,有48%被插入了计算机。
通过大量撒网,犯罪分子成功案例不少。我们衷心希望警方的警告还算来得及时。
尽管这一事件只发生在墨尔本一座城市,但仍然凸显出个人安全亟仍待增强的问题,因此千万不要将来路不明的设备插入自己的计算机。
当然,人们往往认为倾向于将未知U盘插入自己设备的往往都是些教育程度低、年纪大或者缺乏基本网络安全知识的人。但真实情况并非如此。Bursztein的试验结果显示,即使是对计算机精通的大学生,也容易受到诱惑并将捡到的U盘插入毫无安全防范的设备。
Autorun设置可能会将USB恶意软件推向一个新高度。如果计算机被设置成自动运行U盘内程序,那一旦插入就会启动连锁反应。举个例子,如果载入的是勒索软件,就会自动锁定文件,而用户不得不寻找勒索软件解密器或被迫支付赎金。
其它类型的恶意软件,比如键盘记录器会盗取敏感信息,或偷偷下载广告软件。这些可以说都是系统杀手。
除了上述不良影响外,那些捡来的设备还可能损坏计算机,从而让受害人付出一大笔修理费。
听上去有点像科幻小说,但事实是:U盘的确可能损坏计算机。本月就报道了 USB Killer 2.0造成计算机的物理损坏。从原理上讲,设备通过USB端口接电,然后再将电射回计算机,从而导致电路故障。尽管如今计算机价格相对便宜,但应该没人希望被迫买一台新的吧。
我安装了反病毒程序,能够扫描设备是否安全…
毫无疑问,反病毒软件能提供针对恶意软件的关键防范。但这并不能成为随意插入U盘的借口:恶意软件可能并不是潜伏在可移动媒介中的唯一危险。
有句老话说得好:”现实占有, 败一胜九”。U盘还可能对捡到的人具有潜在危害性。可移动媒介可能含有非法获取的文档、非法图片和银行账户信息等。尽管有时只是因为好奇而看看里面的内容,而一旦将里面的文件占为己有的话很可能会使自己成为”从犯”。
那么:请重新作答。谁还喜欢打开垃圾广告宣传品?谁还会对捡到移动媒介的秘密感到兴奋?
问题应该改成:这一切值得吗?
如果你有朋友、家人或同事有可能将来路不明的U盘插入自己的计算机,请将本篇博文与他们分享。否在很可能他们就会向你求助以修复系统。