据法新社报道,一名厄瓜多尔记者被藏在U盘里的炸弹炸伤。据英国广播公司报道,电视记者Lenin Artieda收到一个“看起来像U盘”的信封。当他将其插入电脑时,U盘爆炸了。幸运的是,Artieda只受了“轻伤”,法新社报道称,此次袭击目标包括“至少五名记者”,无人受伤。
虽然这是一个极其罕见的例子,但它提醒我们永远不要将不明U盘——尤其是U盘或闪存盘——插入电脑。它们最常见的威胁是可能携带恶意软件。这被称为U盘攻击,攻击者利用受害者自愿将U盘插入电脑。在某些情况下,受害者出于好心想将丢失的U盘归还给失主。在其他情况下,他们被欺骗,被告知U盘里有可以兑换礼品卡的清单,甚至包含机密或重要信息。
无论如何,一旦受害者插入U盘,黑客和其他不良行为者就达到了目的。U盘为他们提供了多种方式来毁掉你的一天。事实上,以色列内盖夫本古里安大学的研究人员确定了四类主要的攻击方式。
A类攻击是指一个U盘,比如闪存盘,冒充另一个设备,比如键盘。当你插入它时,键盘会自动输入指令,可以安装恶意软件、控制你的系统,基本上可以做攻击者想要的任何事情。这被称为Rubber Ducky攻击,这个名字听起来很可爱,但它能造成很多麻烦。
B1和B2类攻击类似。攻击者不是冒充不同的U盘设备,而是通过重新编程U盘的固件(B1)或利用计算机操作系统处理U盘时出现的软件漏洞(B2)来执行恶意操作。最后,C类攻击会输送高功率电荷,可以摧毁计算机。
无论哪种情况,这些攻击都不是理论上的。被感染的U盘曾被用于瘫痪伊朗的核离心机。它们也曾被用于感染美国发电厂和其他基础设施,如炼油厂。受影响的不仅是重工业——银行、酒店业、运输公司、保险公司和国防承包商在过去几年中都成为了通过邮件发送U盘的攻击目标。
虽然电子邮件仍然是最常见的恶意软件传播方式,并且大多数攻击都针对大型公司,但小型企业和个人用户仍然应该小心。尤其是勒索软件,目前是一个非常现实的威胁。
那么,如果你在地上捡到一个U盘,你会怎么做?最好的办法是把它扔进最近的垃圾桶——或者更好的是,把它送到电子垃圾回收中心。无论你做什么,都不要把它插入电脑。
如果你在邮件中收到U盘,你应该做同样的事情——除非你期待的是来自你信任的人的U盘。
即使是公司在会议上免费发放的U盘,也最好按同样的方式处理。坏人很容易冒充展会上的公司工作人员,然后分发大量携带恶意软件的设备。
如果你坚持要插入U盘,请查看我们的指南,了解如何尽可能安全地操作。这仍然是一个有风险的赌博——而且它并不能降低(在极少数情况下)爆炸性设备带来的风险——但至少你的电脑被感染恶性软件的几率会降低。
