前员工可能企图通过暗网出售前雇主的帐户凭据。现任员工可能录下首席执行官的机密演讲内容，然后将录音链接发送给外部媒体。现有员工可能与第三方共享客户名单，然后客户名单被出售给竞争对手。这些是员工队伍安全提供商DTEX在2022年调查的其中几起数据盗窃和内部威胁事件。

DTEX近日发布了《2023年内部风险调查报告》，报告分析了2022年员工流失和数据盗窃的范围。为了撰写这份报告，DTEX查阅了其内部情报和调查团队去年进行的数百项调查。结果表明，企业知识产权和数据盗窃案有所增加。

员工在盗窃哪些公司数据？

内部情报和调查团队调查了近700起离职员工盗窃数据的案件，案件数量是2021年的两倍。DTEX基于这些事件确定，12%的员工在离开雇主时带走了敏感信息。盗窃的信息包括客户数据、员工数据、健康记录和销售合同。

但是，12%这个比例并没有考虑非敏感数据，比如模板和演示文稿。从坊间传闻来看，DTEX表示它认为超过一半的离职员工走人时都带走这类数据。

员工如何盗窃数据？

员工使用几种不同的方法来盗取公司数据，包括屏幕截图、录音以及同步到个人设备或帐户。举个例子，向媒体发送首席执行官演讲内容链接的员工使用屏幕记录工具来捕获机密数据，然后将录音内容上传到个人帐户。

哪些因素导致员工数据盗窃事件？

员工解雇是去年导致数据盗窃和系统破坏的主要原因。在DTEX团队调查的许多案例中，被解雇的员工即使在被公司开除后，仍拥有某种类型的渠道来访问公司帐户。在一些情况下，现任员工向前同事提供了公司数据或帐户凭据，而他们甚至不知道自己已被解雇。

除了离职员工外，现有员工也会构成威胁。一些员工还在做兼职，却使用公司的设备。去年，在此类设备上未经批准使用第三方内容的事件数量猛增近200%。在影子IT场景中，使用未经批准的应用程序在同期增加了55%。

员工数据盗窃的警告标志

为了逮住可能企图记录或复制敏感信息的员工，DTEX建议需要留意某些早期预警风险迹象。这些迹象包括如下：

在视频会议中不正常地使用屏幕或视频录制软件。

开展关于如何绕过安全控制措施的任何研究。

使用个人文件服务，比如谷歌云盘（Google Drive）或Dropbox。

将敏感的演示文稿保存为图像。

为了阻止员工可能滥用公司设备或应用程序，DTEX建议留意一些警告信号。这些信号包括如下：

不寻常的浏览器活动访问不被普通员工使用的网站。

登录到个人社交媒体帐户来隐藏活动。

使用多个非公司邮箱帐户。

对于与其工作无关的会计系统拥有管理员权限。

不寻常地使用个人文件共享网站。

如何防止员工数据盗窃事件？

为了保护贵组织免受数据盗窃和类似威胁，DTEX提供以下建议：

制定政策，明确定义个人使用与公司使用数据、设备、网络及其他资产之间的区别。确保这些政策清晰地传达给员工，无论他们是新员工、现有员工还是即将离职的员工。

在取消离职员工的数据访问权限时，奉行零信任理念。始终假定在员工离职后，对敏感数据和系统的访问权仍然存在。万一出现问题，应使用可以创建完整审计跟踪记录的工具。

要明白，技术并不能百分之百有效地阻止数据盗窃。这就是为什么你需要关注你在这方面的政策，并不断评估离职员工的现有程序。

保持积极主动的态势，观察表明恶意企图的早期预警信号，而不仅仅观察实际事件。

与员工保持信任的内部关系。尊重他们的隐私，传达数据访问访问的政策，并提供支持而不是怀疑。

前员工可能企图通过暗网出售前雇主的帐户凭据。现任员工可能录下首席执行官的机密演讲内容，然后将录音链接发送给外部媒体。现有员工可能与第三方共享客户名单，然后客户名单被出售给竞争对手。这些是员工队伍安全提供商DTEX在2022年调查的其中几起数据盗窃和内部威胁事件。

DTEX近日发布了《2023年内部风险调查报告》，报告分析了2022年员工流失和数据盗窃的范围。为了撰写这份报告，DTEX查阅了其内部情报和调查团队去年进行的数百项调查。结果表明，企业知识产权和数据盗窃案有所增加。

员工在盗窃哪些公司数据？

内部情报和调查团队调查了近700起离职员工盗窃数据的案件，案件数量是2021年的两倍。DTEX基于这些事件确定，12%的员工在离开雇主时带走了敏感信息。盗窃的信息包括客户数据、员工数据、健康记录和销售合同。

但是，12%这个比例并没有考虑非敏感数据，比如模板和演示文稿。从坊间传闻来看，DTEX表示它认为超过一半的离职员工走人时都带走这类数据。

员工如何盗窃数据？

员工使用几种不同的方法来盗取公司数据，包括屏幕截图、录音以及同步到个人设备或帐户。举个例子，向媒体发送首席执行官演讲内容链接的员工使用屏幕记录工具来捕获机密数据，然后将录音内容上传到个人帐户。

哪些因素导致员工数据盗窃事件？

员工解雇是去年导致数据盗窃和系统破坏的主要原因。在DTEX团队调查的许多案例中，被解雇的员工即使在被公司开除后，仍拥有某种类型的渠道来访问公司帐户。在一些情况下，现任员工向前同事提供了公司数据或帐户凭据，而他们甚至不知道自己已被解雇。

除了离职员工外，现有员工也会构成威胁。一些员工还在做兼职，却使用公司的设备。去年，在此类设备上未经批准使用第三方内容的事件数量猛增近200%。在影子IT场景中，使用未经批准的应用程序在同期增加了55%。

员工数据盗窃的警告标志

为了逮住可能企图记录或复制敏感信息的员工，DTEX建议需要留意某些早期预警风险迹象。这些迹象包括如下：

在视频会议中不正常地使用屏幕或视频录制软件。

开展关于如何绕过安全控制措施的任何研究。

使用个人文件服务，比如谷歌云盘（Google Drive）或Dropbox。

将敏感的演示文稿保存为图像。

为了阻止员工可能滥用公司设备或应用程序，DTEX建议留意一些警告信号。这些信号包括如下：

不寻常的浏览器活动访问不被普通员工使用的网站。

登录到个人社交媒体帐户来隐藏活动。

使用多个非公司邮箱帐户。

对于与其工作无关的会计系统拥有管理员权限。

不寻常地使用个人文件共享网站。

如何防止员工数据盗窃事件？

为了保护贵组织免受数据盗窃和类似威胁，DTEX提供以下建议：

制定政策，明确定义个人使用与公司使用数据、设备、网络及其他资产之间的区别。确保这些政策清晰地传达给员工，无论他们是新员工、现有员工还是即将离职的员工。

在取消离职员工的数据访问权限时，奉行零信任理念。始终假定在员工离职后，对敏感数据和系统的访问权仍然存在。万一出现问题，应使用可以创建完整审计跟踪记录的工具。

要明白，技术并不能百分之百有效地阻止数据盗窃。这就是为什么你需要关注你在这方面的政策，并不断评估离职员工的现有程序。

保持积极主动的态势，观察表明恶意企图的早期预警信号，而不仅仅观察实际事件。

与员工保持信任的内部关系。尊重他们的隐私，传达数据访问访问的政策，并提供支持而不是怀疑。

今年2月，来自俄罗斯BlackCat勒索软件组织的攻击者攻击了美国宾夕法尼亚州拉克万纳县的一家医生诊所，这家医生诊所隶属利哈伊谷健康网络（LVHN）。当时LVHN表示，攻击“涉及”一套与放射肿瘤治疗相关的患者照片系统。这家医疗保健集团表示，BlackCat已经提出了赎金要求，但LVHN拒绝向这个犯罪团伙支付赎金。

几周后，BlackCat扬言要公布从该系统窃取的数据。BlackCat在其暗网勒索网站上写道：“我们的博客备受全球媒体界的关注，这起案子将被广泛报道，将对你们的业务造成重大损害。你们所剩的时间不多了。我们已准备好向你们展示我们的全部力量！”攻击者随后发布了三张接受放射治疗的癌症患者的屏幕截图以及七个含有患者信息的文件。

这些医疗照片图文并茂，从不同的角度和姿势描绘了患者裸露的乳房。虽然众多医院和医疗机构长期以来是勒索软件团伙最喜欢攻击的目标，但研究人员表示，LVHN的情况可能表明，随着勒索软件目标越来越多地拒绝支付赎金，攻击者的态度会发生转变，愿意无情地走向极端。

安全公司Recorded Future专门研究勒索软件的分析师Allan Liska说：“随着支付赎金的受害者越来越少，勒索软件威胁分子敲诈勒索的手段随之变得越来越激进。我想我们会看到更多这样的事情。这与绑架案的模式非常相似，当受害者的家人拒绝支付赎金后，绑架者可能会寄来受害者的耳朵或其他身体部位。”

研究人员表示，这种无情升级的另一个案例发生在周二，当时新涌现出来的勒索软件团伙Medusa公布了在2月份的一次攻击中从明尼阿波利斯公立学校窃取的样本数据，当时索要100万美元的赎金。泄露的屏幕截图包括描述性侵犯指控的手写笔记的扫描件以及涉及该事件的一名男学生和两名女学生的名字。

明尼苏达州学区在3月初的一份声明中说：“请注意，明尼阿波利斯公立学校并没有支付赎金。”该学区招收36000多名学生，但这些数据显然含有与学生、教职员工和家长有关的记录，记录时间可以追溯到1995年。上周，Medusa发布了一段50分钟长的视频，在视频中攻击者似乎在滚动浏览他们从学校窃取的所有数据，这种不同寻常的技术用于宣传他们目前到底掌握了哪些信息。Medusa在其暗网网站上提供了三个按钮，一个按钮用于让任何人支付100万美元购买窃取的明尼阿波利斯公立学校数据，一个按钮用于让学区自己支付赎金、到时被盗数据会被删除，还有一个按钮用于是支付5万美元将赎金期限延长一天。

反病毒公司Emsisoft的威胁分析师Brett Callow说：“我认为，这方面值得注意的是，在过去，这些团伙总是必须不得不在迫使受害者支付赎金与不干这种令人发指的、可怕的、邪恶的事情（以至于受害者不想与他们打交道）之间取得平衡。但由于攻击对象现在不经常支付赎金，犯罪团伙现在使出更狠的手段。遭到勒索软件攻击对受害者的公关形象不利，但遭遇攻击不像过去那么可怕——真正对公关形象不利的是被发现向一家从事令人发指的活动的组织付钱。”

公众的压力当然越来越大。比如说，针对本周泄露的患者照片，LVHN在一份声明中表示：“这种不合情理的犯罪行为针对接受癌症治疗的患者下手，LVHN谴责这种卑鄙的行为。”

美国联邦调查局互联网犯罪投诉中心（IC3）本周在其《年度互联网犯罪报告》中表示，该中心在2022年接到了2385起关于勒索软件攻击的报告，总计损失3430万美元。这组数字低于2021年的3729起勒索病毒投诉和4900万美元的总损失。报告特别指出：“联邦调查局很难确定勒索软件受害者的真实数量，因为许多感染事件并没有上报给执法部门。”

但该报告特别指出了不断演变的、更加激进的勒索行为。美国联邦调查局写道：“在2022年，IC3发现用于助长勒索软件活动的额外的勒索策略有所增加。威胁分子对受害者施加压力要求支付赎金，声称如果他们不支付赎金，扬言公布被盗数据。”

从某些方面来看，这番变化是一种积极的迹象，表明打击勒索软件的努力收到了成效。如果足够多的组织拥有相应的资源和工具来拒绝支付赎金，攻击者最终可能无法获得他们想要的收入，理想情况下他们会完全放弃勒索软件。但这使得攻击者有可能转而采取更激进的策略。

今年2月，来自俄罗斯BlackCat勒索软件组织的攻击者攻击了美国宾夕法尼亚州拉克万纳县的一家医生诊所，这家医生诊所隶属利哈伊谷健康网络（LVHN）。当时LVHN表示，攻击“涉及”一套与放射肿瘤治疗相关的患者照片系统。这家医疗保健集团表示，BlackCat已经提出了赎金要求，但LVHN拒绝向这个犯罪团伙支付赎金。

几周后，BlackCat扬言要公布从该系统窃取的数据。BlackCat在其暗网勒索网站上写道：“我们的博客备受全球媒体界的关注，这起案子将被广泛报道，将对你们的业务造成重大损害。你们所剩的时间不多了。我们已准备好向你们展示我们的全部力量！”攻击者随后发布了三张接受放射治疗的癌症患者的屏幕截图以及七个含有患者信息的文件。

这些医疗照片图文并茂，从不同的角度和姿势描绘了患者裸露的乳房。虽然众多医院和医疗机构长期以来是勒索软件团伙最喜欢攻击的目标，但研究人员表示，LVHN的情况可能表明，随着勒索软件目标越来越多地拒绝支付赎金，攻击者的态度会发生转变，愿意无情地走向极端。

安全公司Recorded Future专门研究勒索软件的分析师Allan Liska说：“随着支付赎金的受害者越来越少，勒索软件威胁分子敲诈勒索的手段随之变得越来越激进。我想我们会看到更多这样的事情。这与绑架案的模式非常相似，当受害者的家人拒绝支付赎金后，绑架者可能会寄来受害者的耳朵或其他身体部位。”

研究人员表示，这种无情升级的另一个案例发生在周二，当时新涌现出来的勒索软件团伙Medusa公布了在2月份的一次攻击中从明尼阿波利斯公立学校窃取的样本数据，当时索要100万美元的赎金。泄露的屏幕截图包括描述性侵犯指控的手写笔记的扫描件以及涉及该事件的一名男学生和两名女学生的名字。

明尼苏达州学区在3月初的一份声明中说：“请注意，明尼阿波利斯公立学校并没有支付赎金。”该学区招收36000多名学生，但这些数据显然含有与学生、教职员工和家长有关的记录，记录时间可以追溯到1995年。上周，Medusa发布了一段50分钟长的视频，在视频中攻击者似乎在滚动浏览他们从学校窃取的所有数据，这种不同寻常的技术用于宣传他们目前到底掌握了哪些信息。Medusa在其暗网网站上提供了三个按钮，一个按钮用于让任何人支付100万美元购买窃取的明尼阿波利斯公立学校数据，一个按钮用于让学区自己支付赎金、到时被盗数据会被删除，还有一个按钮用于是支付5万美元将赎金期限延长一天。

反病毒公司Emsisoft的威胁分析师Brett Callow说：“我认为，这方面值得注意的是，在过去，这些团伙总是必须不得不在迫使受害者支付赎金与不干这种令人发指的、可怕的、邪恶的事情（以至于受害者不想与他们打交道）之间取得平衡。但由于攻击对象现在不经常支付赎金，犯罪团伙现在使出更狠的手段。遭到勒索软件攻击对受害者的公关形象不利，但遭遇攻击不像过去那么可怕——真正对公关形象不利的是被发现向一家从事令人发指的活动的组织付钱。”

公众的压力当然越来越大。比如说，针对本周泄露的患者照片，LVHN在一份声明中表示：“这种不合情理的犯罪行为针对接受癌症治疗的患者下手，LVHN谴责这种卑鄙的行为。”

美国联邦调查局互联网犯罪投诉中心（IC3）本周在其《年度互联网犯罪报告》中表示，该中心在2022年接到了2385起关于勒索软件攻击的报告，总计损失3430万美元。这组数字低于2021年的3729起勒索病毒投诉和4900万美元的总损失。报告特别指出：“联邦调查局很难确定勒索软件受害者的真实数量，因为许多感染事件并没有上报给执法部门。”

但该报告特别指出了不断演变的、更加激进的勒索行为。美国联邦调查局写道：“在2022年，IC3发现用于助长勒索软件活动的额外的勒索策略有所增加。威胁分子对受害者施加压力要求支付赎金，声称如果他们不支付赎金，扬言公布被盗数据。”

从某些方面来看，这番变化是一种积极的迹象，表明打击勒索软件的努力收到了成效。如果足够多的组织拥有相应的资源和工具来拒绝支付赎金，攻击者最终可能无法获得他们想要的收入，理想情况下他们会完全放弃勒索软件。但这使得攻击者有可能转而采取更激进的策略。

随着更多的联网车辆上路，网络攻击也随之增多。德勤估计，如果联网汽车的人气继续以目前的势头保持增长，到2025年全球投入使用的联网汽车将超过4.7亿辆。由于每辆联网汽车每小时生成约25 GB的数据，它们对网络犯罪分子和怀有恶意的不法分子来说无疑是诱人的目标。

联网汽车配备增强的功能和部件，让驾驶者更喜欢自己青睐的汽车品牌，但汽车行业的网络安全还有很长一段路要走。如果你驾驶联网汽车或正考虑购买一辆，就需要知道如何保护新车免受潜在的网络攻击。

本文将讨论黑客如何渗入到你的联网汽车、可以采取什么措施保护自己和车辆免受严重攻击。

你的车辆会被黑入吗？

今天的汽车使用数百个连接到计算机的传感器来帮助监测汽车的运行情况、增添互联网功能，并启用连接的应用程序。虽然这些技术对驾驶员来说很有帮助、也很方便，但它们也可能导致数据被盗，甚至威胁到驾驶员的安全。比如说，远程操控、身份盗窃和车辆盗窃就是不法分子利用联网汽车安全漏洞的几种方式。

电动汽车热潮也对联网汽车车主构成了独特的威胁。最近的一项调查显示，79%的拥有两辆车的家庭考虑下次购买电动汽车，但道德黑客的活动表明，电动汽车很容易被远程黑客耗尽电量。如果驾驶员面临没有办法给汽车充电的困境，这可能会让他们岌岌可危。

不法分子有很多方法可以黑入汽车。他们可以操纵遥控钥匙上的信号打开车门，篡改应用程序中的代码来创建后门以窃取数据，了解车主的驾驶习惯，控制车辆的安全响应系统等等。今天的汽车实际上是人工辅助计算机，这意味着它们就像任何其他物联网设备一样很容易被黑入。

如何保护联网车辆免受网络攻击？

联网汽车在用户外出旅行或日常通勤时提供了方便，让用户很安心。但当不法分子实施攻击以窃取数据、操控车辆甚至跟踪车主的位置时，它们也会构成重大威胁。如果你打算充分享用联网汽车的功能，就需要知道如何保护自己避免成为汽车网络攻击的受害者。

下面是保护联网汽车免受攻击的五个贴士：

1. 移除端口适配器

端口适配器是插入诊断端口的小巧设备，让厂商可以出于各种原因监控车主的驾驶习惯。它可以用来监测车辆性能、改善汽油里程数，并根据车主的驾驶活动设定更准确的保险费率。

许多人选择使用适配器来省钱，并确保汽车以最佳性能运行，但这种设备很容易成为黑客的入口点。如果你想在联网车辆中使用适配器，最好在不开车时将其取出，那样黑客就无法在你不知情的情况下利用这条攻击途径。

2. 保管好遥控钥匙

现在遥控钥匙已取代传统钥匙，成为打开汽车车门的标配。许多汽车都配备了安全功能，除非遥控钥匙靠近车辆，否则车门无法打开，或者需要靠近车辆才能启动。但黑客可以截获遥控钥匙发出的信号，通过放大信号，让汽车误以为遥控钥匙离车更近。为了防止这种类型的攻击，当你不打算开车时，就要把遥控钥匙卡放在金属抽屉或冰箱里，以减弱遥控钥匙发出的信号。

3. 禁用车内无线服务

无线系统在较新的车辆中也相当常见，比如用于车载Wi-Fi、卫星无线电、车载通讯和蓝牙。这些无线服务允许用户在驾驶时获得联网体验，从而使他们的出行更安全，操作起来更方便，但它们也是黑客趁虚而入的完美入口点。

如果你不确定汽车有什么功能，不妨翻阅车主手册，看看有没有你平常不用、可以禁用的功能。这将有助于缩小攻击面，并限制黑客可以干扰车辆的途径。

4. 安装未经授权的软件和系统须谨慎

许多联网汽车都提供了下载其他应用程序的选项，那些不能下载的应用程序仍然可以“越狱”，以便用户安装配套软件和系统。虽然完全定制的汽车是不错的想法，但安装未经授权的软件和系统会严重威胁车主的人身和数字安全。

务必确保只从值得信赖的品牌使用安全网络下载官方软件，并了解越狱新系统、安装到汽车上面临的潜在漏洞。

5. 如果怀疑车子被黑入，立马联系客户部门

如果你认为自己的车子已被黑入，应该及时送到客服部门，这样专业人员就能查明车子是被黑了还是存在另外的故障。

如果汽车客服人员不进行全面的检查，就无法确定你的联网车辆是否被黑入了。如果你的系统开始出现异常，或者你注意到车子有异样，认真检查一番至关重要，即使根源只是一个bug或配置问题。

结语

联网汽车使我们的日常驾驶更安全、更轻松、更方便，但它们也可能对我们的数字和物理安全构成严重威胁。如果你计划购买一辆联网汽车或已经在驾驶联网汽车，就有必要了解相关的网络风险，这样就可以积极主动地防止车辆攻击。

除了要了解保护联网车辆免受黑客攻击的这五个贴士外，一旦厂商发布新版本，建议你更新车辆的软件，并修补安全漏洞。这通常是经销商或汽车厂商自己会做的工作，但如果你试图自己这么做，就要确保远离所有漏洞。

平时应关注这项新兴技术方面的新闻，并了解如何在上路驾驶和停车保管时确保联网车辆的安全。

随着更多的联网车辆上路，网络攻击也随之增多。德勤估计，如果联网汽车的人气继续以目前的势头保持增长，到2025年全球投入使用的联网汽车将超过4.7亿辆。由于每辆联网汽车每小时生成约25 GB的数据，它们对网络犯罪分子和怀有恶意的不法分子来说无疑是诱人的目标。

联网汽车配备增强的功能和部件，让驾驶者更喜欢自己青睐的汽车品牌，但汽车行业的网络安全还有很长一段路要走。如果你驾驶联网汽车或正考虑购买一辆，就需要知道如何保护新车免受潜在的网络攻击。

本文将讨论黑客如何渗入到你的联网汽车、可以采取什么措施保护自己和车辆免受严重攻击。

你的车辆会被黑入吗？

今天的汽车使用数百个连接到计算机的传感器来帮助监测汽车的运行情况、增添互联网功能，并启用连接的应用程序。虽然这些技术对驾驶员来说很有帮助、也很方便，但它们也可能导致数据被盗，甚至威胁到驾驶员的安全。比如说，远程操控、身份盗窃和车辆盗窃就是不法分子利用联网汽车安全漏洞的几种方式。

电动汽车热潮也对联网汽车车主构成了独特的威胁。最近的一项调查显示，79%的拥有两辆车的家庭考虑下次购买电动汽车，但道德黑客的活动表明，电动汽车很容易被远程黑客耗尽电量。如果驾驶员面临没有办法给汽车充电的困境，这可能会让他们岌岌可危。

不法分子有很多方法可以黑入汽车。他们可以操纵遥控钥匙上的信号打开车门，篡改应用程序中的代码来创建后门以窃取数据，了解车主的驾驶习惯，控制车辆的安全响应系统等等。今天的汽车实际上是人工辅助计算机，这意味着它们就像任何其他物联网设备一样很容易被黑入。

如何保护联网车辆免受网络攻击？

联网汽车在用户外出旅行或日常通勤时提供了方便，让用户很安心。但当不法分子实施攻击以窃取数据、操控车辆甚至跟踪车主的位置时，它们也会构成重大威胁。如果你打算充分享用联网汽车的功能，就需要知道如何保护自己避免成为汽车网络攻击的受害者。

下面是保护联网汽车免受攻击的五个贴士：

1. 移除端口适配器

端口适配器是插入诊断端口的小巧设备，让厂商可以出于各种原因监控车主的驾驶习惯。它可以用来监测车辆性能、改善汽油里程数，并根据车主的驾驶活动设定更准确的保险费率。

许多人选择使用适配器来省钱，并确保汽车以最佳性能运行，但这种设备很容易成为黑客的入口点。如果你想在联网车辆中使用适配器，最好在不开车时将其取出，那样黑客就无法在你不知情的情况下利用这条攻击途径。

2. 保管好遥控钥匙

现在遥控钥匙已取代传统钥匙，成为打开汽车车门的标配。许多汽车都配备了安全功能，除非遥控钥匙靠近车辆，否则车门无法打开，或者需要靠近车辆才能启动。但黑客可以截获遥控钥匙发出的信号，通过放大信号，让汽车误以为遥控钥匙离车更近。为了防止这种类型的攻击，当你不打算开车时，就要把遥控钥匙卡放在金属抽屉或冰箱里，以减弱遥控钥匙发出的信号。

3. 禁用车内无线服务

无线系统在较新的车辆中也相当常见，比如用于车载Wi-Fi、卫星无线电、车载通讯和蓝牙。这些无线服务允许用户在驾驶时获得联网体验，从而使他们的出行更安全，操作起来更方便，但它们也是黑客趁虚而入的完美入口点。

如果你不确定汽车有什么功能，不妨翻阅车主手册，看看有没有你平常不用、可以禁用的功能。这将有助于缩小攻击面，并限制黑客可以干扰车辆的途径。

4. 安装未经授权的软件和系统须谨慎

许多联网汽车都提供了下载其他应用程序的选项，那些不能下载的应用程序仍然可以“越狱”，以便用户安装配套软件和系统。虽然完全定制的汽车是不错的想法，但安装未经授权的软件和系统会严重威胁车主的人身和数字安全。

务必确保只从值得信赖的品牌使用安全网络下载官方软件，并了解越狱新系统、安装到汽车上面临的潜在漏洞。

5. 如果怀疑车子被黑入，立马联系客户部门

如果你认为自己的车子已被黑入，应该及时送到客服部门，这样专业人员就能查明车子是被黑了还是存在另外的故障。

如果汽车客服人员不进行全面的检查，就无法确定你的联网车辆是否被黑入了。如果你的系统开始出现异常，或者你注意到车子有异样，认真检查一番至关重要，即使根源只是一个bug或配置问题。

结语

联网汽车使我们的日常驾驶更安全、更轻松、更方便，但它们也可能对我们的数字和物理安全构成严重威胁。如果你计划购买一辆联网汽车或已经在驾驶联网汽车，就有必要了解相关的网络风险，这样就可以积极主动地防止车辆攻击。

除了要了解保护联网车辆免受黑客攻击的这五个贴士外，一旦厂商发布新版本，建议你更新车辆的软件，并修补安全漏洞。这通常是经销商或汽车厂商自己会做的工作，但如果你试图自己这么做，就要确保远离所有漏洞。

平时应关注这项新兴技术方面的新闻，并了解如何在上路驾驶和停车保管时确保联网车辆的安全。

几十年来，传统钓鱼邮件的头几步一直没有发生变化：邮件含有恶意URL或附件。然而近年来，URL嵌入在网络钓鱼邮件中作为吸引目标受害者的初始手段，其到达目标受害者的速度远高于同样目的的附件。我们去年的数据显示，URL在2022年相比附件继续占主导地位，这有几个原因：可滥用的可信域名、互联网上提供网络钓鱼基础设施的免费服务以及重定向的规避效果。

与CredPhish相关的基于URL的网络钓鱼占有很高的比例

URL继续占主导地位的这种趋势出现在到达企业组织的钓鱼邮件中，许多企业组织都受到知名的安全电子邮件网关（SEG）的保护。

图1. 2021年和2022年，到达收件箱的基于URL的钓鱼邮件和基于附件的钓鱼邮件各自的份额。

基于URL的钓鱼邮件比基于附件的邮件更容易逃脱SEG的检测，这可能有诸多原因。如果可信域名被滥用，URL可能具有固有的信任级别。SEG在识别恶意文件方面可能比识别URL来得更好。相当高比例的良性营销邮件含有来自来历不明的URL，因此很难与来自未知来源的恶意URL区分开来。除了SEG外，威胁分子有更充分的理由使用URL，因为在当今的工作环境中，用户可能更习惯点击未知链接，而不是点击未知附件。图1中的两张图表显示，在2021年至2022年，基于URL的钓鱼邮件所占的份额没有显著变化，但继续比使用附件高出四倍。使用附件所占的份额增加了大约3%。

传统的钓鱼邮件通常以窃取凭据或投递恶意软件为目标。附加的文件和嵌入的URL都可以用于实现这些目标中的任何一个。图2显示，尽管投递恶意软件的电子邮件比凭据网络钓鱼邮件更多地使用附件作为引诱受害者的方法，但两者都主要由嵌入式URL发起。

图2. 比较2022年用于凭据网络钓鱼和恶意软件投递的恶意链接和恶意附件。

一般来说，我们预计会看到更高比例的URL出现在凭据网络钓鱼中。这主要是由于大多数凭据网络钓鱼的变体已经要求使用URL。网络钓鱼即服务及其他预构建的网络钓鱼工具常常倾向于使用URL。然而使用附件仍然很常见，HTML和PDF等文件类型是凭据网络钓鱼邮件附件中最常见的类型。

如前所述，使用附件投递恶意软件比我们在凭据网络钓鱼活动中看到的更突出。这可能是由于大多数恶意软件投递已经要求使用文件作为最终载荷，这意味着威胁分子已经有点熟悉文件的使用。下面这种情况也很常见：威胁分子企图投递恶意软件，将恶意文件包含在受密码保护的ZIP压缩包中，以阻挠SEG分析。这增加了我们看到到达最终用户的钓鱼邮件的数量。此外，QakBot和Emotet等一些更高级的大肆传播的恶意软件家族已知在邮件中使用附件，但它们也的确使用嵌入式URL。

钓鱼URL及其规避策略

钓鱼URL是目前最流行的吸引受害者的方法，用在到达收件箱的钓鱼邮件中。威胁分子采用的钓鱼策略以绕过电子邮件安全基础设施而出名，助长了这种情形。到达最终用户的钓鱼URL常常在嵌入式URL中使用以下策略之一（不过也存在其他策略）：

• 可信域名——云服务等可信服务常常被威胁分子滥用以托管恶意内容。这意味着他们的钓鱼网站将托管在被最终用户和SEG等安全基础设施视为可信的域名上。滥用这些服务的钓鱼邮件常常能成功地到达预定目标，因为这些域名无法被完全屏蔽。

• 公开可用的服务——威胁分子经常寻求免费或廉价的服务，以便在网络钓鱼活动中滥用这些服务。这常常甚至会导致他们的URL也有可信域名。任何免费或廉价的托管平台都面临被威胁分子滥用的风险。

• 多次重定向——这是一种常见的策略，嵌入在钓鱼邮件中的URL不是钓鱼攻击的第一阶段。通过使用多次重定向并创建有待分析的恶意URL链，威胁分子常常可以从初始URL重定向到最终页面，最终页面被直接用于下载恶意软件或窃取凭据，而SEG来不及分析。

图3. 使用恶意链接的钓鱼邮件示例。

恶意附件经配置后以到达收件箱

为了有效地利用网络钓鱼邮件中的恶意附件，可以采用许多潜在的策略。恶意附件有各种用途，包括直接获取凭据、加入已压缩的其他恶意文件、重定向到钓鱼URL、充当恶意软件的第一阶段下载器，以及其他许多用途。此外，所使用的附件类型通常取决于所投递的威胁。我们在含有恶意附件的网络钓鱼邮件中看到的一些最常见的策略如下：

• 受密码保护的文件——威胁分子通常使用受密码保护的文件（比如ZIP压缩包）来绕过安全机制，到达预定目标。Emotet因使用这种策略而臭名昭著，经常传播大量带有恶意Office文件的邮件，这些文件被压缩到受密码保护的ZIP压缩包中。密码常常放在预定目标容易找到的地方，比如邮件正文。

• 不熟悉的附件——威胁分子经常寻找安全研究人员可能不知道、有机会绕过SEG的的新型附件。由于这种威胁简单、明显，大多数SEG会轻松捕获和阻止直接附加的恶意可执行文件。然而威胁分子已意识到了这一点，最近我们看到QakBot威胁团伙发送直接附加的.ONE文件，这似乎有效地逃避了SEG的检查。

• 编码过的文件——文件编码是一种使恶意附件难以分析的常见方法。HTML文件是威胁分子进行编码的一种非常流行的文件类型，但编码是众多文件类型中很常见的一种策略。

图4. 使用恶意附件的钓鱼邮件示例。

几十年来，传统钓鱼邮件的头几步一直没有发生变化：邮件含有恶意URL或附件。然而近年来，URL嵌入在网络钓鱼邮件中作为吸引目标受害者的初始手段，其到达目标受害者的速度远高于同样目的的附件。我们去年的数据显示，URL在2022年相比附件继续占主导地位，这有几个原因：可滥用的可信域名、互联网上提供网络钓鱼基础设施的免费服务以及重定向的规避效果。

与CredPhish相关的基于URL的网络钓鱼占有很高的比例

URL继续占主导地位的这种趋势出现在到达企业组织的钓鱼邮件中，许多企业组织都受到知名的安全电子邮件网关（SEG）的保护。

图1. 2021年和2022年，到达收件箱的基于URL的钓鱼邮件和基于附件的钓鱼邮件各自的份额。

基于URL的钓鱼邮件比基于附件的邮件更容易逃脱SEG的检测，这可能有诸多原因。如果可信域名被滥用，URL可能具有固有的信任级别。SEG在识别恶意文件方面可能比识别URL来得更好。相当高比例的良性营销邮件含有来自来历不明的URL，因此很难与来自未知来源的恶意URL区分开来。除了SEG外，威胁分子有更充分的理由使用URL，因为在当今的工作环境中，用户可能更习惯点击未知链接，而不是点击未知附件。图1中的两张图表显示，在2021年至2022年，基于URL的钓鱼邮件所占的份额没有显著变化，但继续比使用附件高出四倍。使用附件所占的份额增加了大约3%。

传统的钓鱼邮件通常以窃取凭据或投递恶意软件为目标。附加的文件和嵌入的URL都可以用于实现这些目标中的任何一个。图2显示，尽管投递恶意软件的电子邮件比凭据网络钓鱼邮件更多地使用附件作为引诱受害者的方法，但两者都主要由嵌入式URL发起。

图2. 比较2022年用于凭据网络钓鱼和恶意软件投递的恶意链接和恶意附件。

一般来说，我们预计会看到更高比例的URL出现在凭据网络钓鱼中。这主要是由于大多数凭据网络钓鱼的变体已经要求使用URL。网络钓鱼即服务及其他预构建的网络钓鱼工具常常倾向于使用URL。然而使用附件仍然很常见，HTML和PDF等文件类型是凭据网络钓鱼邮件附件中最常见的类型。

如前所述，使用附件投递恶意软件比我们在凭据网络钓鱼活动中看到的更突出。这可能是由于大多数恶意软件投递已经要求使用文件作为最终载荷，这意味着威胁分子已经有点熟悉文件的使用。下面这种情况也很常见：威胁分子企图投递恶意软件，将恶意文件包含在受密码保护的ZIP压缩包中，以阻挠SEG分析。这增加了我们看到到达最终用户的钓鱼邮件的数量。此外，QakBot和Emotet等一些更高级的大肆传播的恶意软件家族已知在邮件中使用附件，但它们也的确使用嵌入式URL。

钓鱼URL及其规避策略

钓鱼URL是目前最流行的吸引受害者的方法，用在到达收件箱的钓鱼邮件中。威胁分子采用的钓鱼策略以绕过电子邮件安全基础设施而出名，助长了这种情形。到达最终用户的钓鱼URL常常在嵌入式URL中使用以下策略之一（不过也存在其他策略）：

• 可信域名——云服务等可信服务常常被威胁分子滥用以托管恶意内容。这意味着他们的钓鱼网站将托管在被最终用户和SEG等安全基础设施视为可信的域名上。滥用这些服务的钓鱼邮件常常能成功地到达预定目标，因为这些域名无法被完全屏蔽。

• 公开可用的服务——威胁分子经常寻求免费或廉价的服务，以便在网络钓鱼活动中滥用这些服务。这常常甚至会导致他们的URL也有可信域名。任何免费或廉价的托管平台都面临被威胁分子滥用的风险。

• 多次重定向——这是一种常见的策略，嵌入在钓鱼邮件中的URL不是钓鱼攻击的第一阶段。通过使用多次重定向并创建有待分析的恶意URL链，威胁分子常常可以从初始URL重定向到最终页面，最终页面被直接用于下载恶意软件或窃取凭据，而SEG来不及分析。

图3. 使用恶意链接的钓鱼邮件示例。

恶意附件经配置后以到达收件箱

为了有效地利用网络钓鱼邮件中的恶意附件，可以采用许多潜在的策略。恶意附件有各种用途，包括直接获取凭据、加入已压缩的其他恶意文件、重定向到钓鱼URL、充当恶意软件的第一阶段下载器，以及其他许多用途。此外，所使用的附件类型通常取决于所投递的威胁。我们在含有恶意附件的网络钓鱼邮件中看到的一些最常见的策略如下：

• 受密码保护的文件——威胁分子通常使用受密码保护的文件（比如ZIP压缩包）来绕过安全机制，到达预定目标。Emotet因使用这种策略而臭名昭著，经常传播大量带有恶意Office文件的邮件，这些文件被压缩到受密码保护的ZIP压缩包中。密码常常放在预定目标容易找到的地方，比如邮件正文。

• 不熟悉的附件——威胁分子经常寻找安全研究人员可能不知道、有机会绕过SEG的的新型附件。由于这种威胁简单、明显，大多数SEG会轻松捕获和阻止直接附加的恶意可执行文件。然而威胁分子已意识到了这一点，最近我们看到QakBot威胁团伙发送直接附加的.ONE文件，这似乎有效地逃避了SEG的检查。

• 编码过的文件——文件编码是一种使恶意附件难以分析的常见方法。HTML文件是威胁分子进行编码的一种非常流行的文件类型，但编码是众多文件类型中很常见的一种策略。

图4. 使用恶意附件的钓鱼邮件示例。

什么是道德黑客工具？

黑客工具和软件就是由开发人员设计的计算机程序或复杂类型的脚本，安全专业人员用它们来识别机器操作系统、Web应用程序、服务器和网络中的薄弱环节。如今，许多企业依赖这种道德黑客工具更有力地保护数据免受各种攻击。

安全专家使用诸如数据包嗅探器、密码破解器和端口扫描器之类的黑客工具，以窃听网络流量、破解密码、找到机器上敞开的端口等。虽然市面上有许多不同的黑客工具，但应该始终牢记它们各自应当派什么用场。

道德黑客工具既可能是开源的，也可能是商业解决方案，本文同时介绍这两类工具。

最流行的道德黑客工具

Nmap（网络映射器）

Nmap本质上是一种网络安全映射器，可以找到网络上的主机和服务来构建网络映射图。该软件提供了帮助查找主机、检测操作系统和探测网络的许多功能。由于脚本具有扩展能力，它提供了先进的漏洞检测，并可以根据延迟和拥塞等网络情形调整扫描操作。

Nmap适用于不同类型的操作系统，比如Windows、Linux或Unix。

主要特点：

这种灵活的解决方案支持数十种先进技术，用于分析充斥着IP过滤器、防火墙和路由器的网络。

这款功能强大的解决方案能够扫描数千台机器。

它是免费的。

支持大多数操作系统，比如Linux、Windows、Mac OS、Sun OS、FreeBSD、OpenBSD、Solaris、IRIX、HP-UX、NetBSD和Amiga等。

相关链接：https://nmap.org/

Acunetix

Acunetix是道德黑客用来阻止恶意攻击者未经授权获得访问权的一种自动化工具。作为一种安全扫描器，它可以扫描JavaScript、HTML5和单页面应用程序。它可以保护Web应用程序免受几个网络缺陷的影响。

主要特点：

可以扫描超过4000种类型的漏洞，包括SQL注入和XSS等漏洞。

可以作为内部部署的解决方案或基于云的解决方案来使用。

能够检测WordPress主题、核心和插件漏洞。

可以与问题跟踪器整合，解决软件开发生命周期（SDLC）中的问题。

支持HTML5。

相关链接：https://www.acunetix.com/

Invicti

Invicti以前名为Netsparker，这是一款基于Web的应用程序安全扫描黑客工具，能够发现Web应用程序及其他对象中的SQL注入和XSS漏洞，是完全自动化的工具。

主要特点：

只需要极简配置。

可以在短短24小时内扫描1000多个Web应用程序。

自动检测URL重写规则和自定义404错误页面。

借助特殊的基于证明的扫描技术，它能够异常准确地发现漏洞。

相关链接：https://www.invicti.com/

Burp Suite

Burp Suite是任何道德黑客的武器库中的重要组成部分。作为评估网站安全性的可靠工具，这个代理工具能够拦截用户浏览器和目标网站之间的请求和响应，它还让用户能够深入了解网站功能。这使得道德黑客能够改变这些请求，利用网站上的安全漏洞或访问受限制的部分。

该解决方案有三种版本：免费版、专业版和企业版。

主要特点：

完全自动化的动态扫描，只需简单的点击操作。

开箱即用的扫描配置。

基于角色的访问控制和单点登录。

持续集成（CI）整合。

面向定制测试工作流程的250余个扩展。

相关链接：https://portswigger.net/burp

Nikto

Nikto是一款免费的开源Web扫描器，可以检查和测试许多Web服务器，以发现过时软件、可能有害的CGI或文件以及其他问题。通过捕获接收到的cookie，它可以执行针对特定服务器的检测和输出以及一般的检查和输出。这个免费开源应用程序可以检测默认程序和文件，并在270台服务器上查找特定版本的问题。

主要特点：

能够识别Web服务器上6000余个CGI或可能危险的文件。

可以检查服务器并检测过时版本或特定版本存在的问题。

全面的HTTP代理支持。

相关链接：https://cirt.net/Nikto2

Wireshark

Wireshark是一种网络协议分析器，让用户可以在微观层面看到网络上发生的情况。它与多种平台兼容。你可以以多种文件类型导出结果，包括XML、PostScript、CSV和明文。它提供将着色指南应用于数据包列表的功能，因此分析起来更简单、更快速。

主要特点：

实时捕获和离线分析。

可以动态解压gzip文件。

能够解密SSL/TLS、IPsec及更多协议。

允许你使用GUI或TTY模式的TShark实用程序浏览所捕获的网络数据。

相关链接：https://www.wireshark.org/

Kismet

Kismet是最流行的工具之一。Kismet是一款开源解决方案，可以充当面向802.11无线局域网的网络检测器、数据包嗅探器和入侵检测系统。任何支持原始监控模式并能够嗅探802.11a、802.11b、802.11g和802.11n流量的无线卡都将与Kismet兼容。Linux、FreeBSD、NetBSD、 OpenBSD和Mac OS X都得到该程序的支持。客户软件也可以在Windows上运行。

主要特点：

可以在不同类型的操作系统上使用。

支持原始监控模式。

借助数据流量，它可以被动地识别网络、收集数据包，并发现非信标和隐藏的网络。

相关链接：https://www.kismetwireless.net/

Intruder

Intruder是一款自动扫描器，可以搜索机器的漏洞、解释发现的风险并帮助采取补救措施。

主要特点：

与Jira、Slack和主要云提供商集成。

根据上下文确定处理结果的优先级。

识别错误配置、缺失的补丁以及Web应用程序的常见问题，比如SQL注入或跨站脚本。

相关链接：https://www.intruder.io/

John the Ripper

另一款开源工具John the Ripper是有史以来最受欢迎的密码破解器之一，也是用于测试操作系统中密码强度或远程审计密码的最佳工具之一。该工具能够自动检测几乎任何密码中使用的加密类型，并会相应调整密码测试方法。

通过使用蛮力技术，John the Ripper可以破译密码和诸多算法，比如DES、MD5、Blowfish、Kerberos AFS和Hash LM等。

主要特点：

识别所使用的不同类型的加密，并相应调整测试算法。

能够执行字典攻击。

单一套件整合了可以定制的破解器和几个密码破解器。

相关链接：https://www.openwall.com/john/

Mimikatz

Mimikatz是一款开源凭据转储应用程序，能够提取帐户的用户名和密码信息（通常是采用哈希或明文密码的形式）。用户可以读取和存储身份验证信息，比如Kerberos票据，然后可以使用这些信息执行横向移动和访问受限制的数据。

Mimikatz是一种很棒的后利用工具，试图将攻击者可能想要执行的一些最有用的任务捆绑在一起。想要更深入地了解Mimikatz，可以参阅这篇文章：https://heimdalsecurity.com/blog/mimikatz/。

主要特点：

可以提取密码和凭据。

可以绕过多因素身份验证（MFA）等身份验证机制。

可以用于在网络内执行横向移动，以访问受限制的数据。

可以用于在系统上升级特权。

相关链接：https://blog.gentilkiwi.com/mimikatz

什么是道德黑客工具？

黑客工具和软件就是由开发人员设计的计算机程序或复杂类型的脚本，安全专业人员用它们来识别机器操作系统、Web应用程序、服务器和网络中的薄弱环节。如今，许多企业依赖这种道德黑客工具更有力地保护数据免受各种攻击。

安全专家使用诸如数据包嗅探器、密码破解器和端口扫描器之类的黑客工具，以窃听网络流量、破解密码、找到机器上敞开的端口等。虽然市面上有许多不同的黑客工具，但应该始终牢记它们各自应当派什么用场。

道德黑客工具既可能是开源的，也可能是商业解决方案，本文同时介绍这两类工具。

最流行的道德黑客工具

Nmap（网络映射器）

Nmap本质上是一种网络安全映射器，可以找到网络上的主机和服务来构建网络映射图。该软件提供了帮助查找主机、检测操作系统和探测网络的许多功能。由于脚本具有扩展能力，它提供了先进的漏洞检测，并可以根据延迟和拥塞等网络情形调整扫描操作。

Nmap适用于不同类型的操作系统，比如Windows、Linux或Unix。

主要特点：

这种灵活的解决方案支持数十种先进技术，用于分析充斥着IP过滤器、防火墙和路由器的网络。

这款功能强大的解决方案能够扫描数千台机器。

它是免费的。

支持大多数操作系统，比如Linux、Windows、Mac OS、Sun OS、FreeBSD、OpenBSD、Solaris、IRIX、HP-UX、NetBSD和Amiga等。

相关链接：https://nmap.org/

Acunetix

Acunetix是道德黑客用来阻止恶意攻击者未经授权获得访问权的一种自动化工具。作为一种安全扫描器，它可以扫描JavaScript、HTML5和单页面应用程序。它可以保护Web应用程序免受几个网络缺陷的影响。

主要特点：

可以扫描超过4000种类型的漏洞，包括SQL注入和XSS等漏洞。

可以作为内部部署的解决方案或基于云的解决方案来使用。

能够检测WordPress主题、核心和插件漏洞。

可以与问题跟踪器整合，解决软件开发生命周期（SDLC）中的问题。

支持HTML5。

相关链接：https://www.acunetix.com/

Invicti

Invicti以前名为Netsparker，这是一款基于Web的应用程序安全扫描黑客工具，能够发现Web应用程序及其他对象中的SQL注入和XSS漏洞，是完全自动化的工具。

主要特点：

只需要极简配置。

可以在短短24小时内扫描1000多个Web应用程序。

自动检测URL重写规则和自定义404错误页面。

借助特殊的基于证明的扫描技术，它能够异常准确地发现漏洞。

相关链接：https://www.invicti.com/

Burp Suite

Burp Suite是任何道德黑客的武器库中的重要组成部分。作为评估网站安全性的可靠工具，这个代理工具能够拦截用户浏览器和目标网站之间的请求和响应，它还让用户能够深入了解网站功能。这使得道德黑客能够改变这些请求，利用网站上的安全漏洞或访问受限制的部分。

该解决方案有三种版本：免费版、专业版和企业版。

主要特点：

完全自动化的动态扫描，只需简单的点击操作。

开箱即用的扫描配置。

基于角色的访问控制和单点登录。

持续集成（CI）整合。

面向定制测试工作流程的250余个扩展。

相关链接：https://portswigger.net/burp

Nikto

Nikto是一款免费的开源Web扫描器，可以检查和测试许多Web服务器，以发现过时软件、可能有害的CGI或文件以及其他问题。通过捕获接收到的cookie，它可以执行针对特定服务器的检测和输出以及一般的检查和输出。这个免费开源应用程序可以检测默认程序和文件，并在270台服务器上查找特定版本的问题。

主要特点：

能够识别Web服务器上6000余个CGI或可能危险的文件。

可以检查服务器并检测过时版本或特定版本存在的问题。

全面的HTTP代理支持。

相关链接：https://cirt.net/Nikto2

Wireshark

Wireshark是一种网络协议分析器，让用户可以在微观层面看到网络上发生的情况。它与多种平台兼容。你可以以多种文件类型导出结果，包括XML、PostScript、CSV和明文。它提供将着色指南应用于数据包列表的功能，因此分析起来更简单、更快速。

主要特点：

实时捕获和离线分析。

可以动态解压gzip文件。

能够解密SSL/TLS、IPsec及更多协议。

允许你使用GUI或TTY模式的TShark实用程序浏览所捕获的网络数据。

相关链接：https://www.wireshark.org/

Kismet

Kismet是最流行的工具之一。Kismet是一款开源解决方案，可以充当面向802.11无线局域网的网络检测器、数据包嗅探器和入侵检测系统。任何支持原始监控模式并能够嗅探802.11a、802.11b、802.11g和802.11n流量的无线卡都将与Kismet兼容。Linux、FreeBSD、NetBSD、 OpenBSD和Mac OS X都得到该程序的支持。客户软件也可以在Windows上运行。

主要特点：

可以在不同类型的操作系统上使用。

支持原始监控模式。

借助数据流量，它可以被动地识别网络、收集数据包，并发现非信标和隐藏的网络。

相关链接：https://www.kismetwireless.net/

Intruder

Intruder是一款自动扫描器，可以搜索机器的漏洞、解释发现的风险并帮助采取补救措施。

主要特点：

与Jira、Slack和主要云提供商集成。

根据上下文确定处理结果的优先级。

识别错误配置、缺失的补丁以及Web应用程序的常见问题，比如SQL注入或跨站脚本。

相关链接：https://www.intruder.io/

John the Ripper

另一款开源工具John the Ripper是有史以来最受欢迎的密码破解器之一，也是用于测试操作系统中密码强度或远程审计密码的最佳工具之一。该工具能够自动检测几乎任何密码中使用的加密类型，并会相应调整密码测试方法。

通过使用蛮力技术，John the Ripper可以破译密码和诸多算法，比如DES、MD5、Blowfish、Kerberos AFS和Hash LM等。

主要特点：

识别所使用的不同类型的加密，并相应调整测试算法。

能够执行字典攻击。

单一套件整合了可以定制的破解器和几个密码破解器。

相关链接：https://www.openwall.com/john/

Mimikatz

Mimikatz是一款开源凭据转储应用程序，能够提取帐户的用户名和密码信息（通常是采用哈希或明文密码的形式）。用户可以读取和存储身份验证信息，比如Kerberos票据，然后可以使用这些信息执行横向移动和访问受限制的数据。

Mimikatz是一种很棒的后利用工具，试图将攻击者可能想要执行的一些最有用的任务捆绑在一起。想要更深入地了解Mimikatz，可以参阅这篇文章：https://heimdalsecurity.com/blog/mimikatz/。

主要特点：

可以提取密码和凭据。

可以绕过多因素身份验证（MFA）等身份验证机制。

可以用于在网络内执行横向移动，以访问受限制的数据。

可以用于在系统上升级特权。

相关链接：https://blog.gentilkiwi.com/mimikatz