甚麼是網絡攻擊?認識不同類型的網絡攻擊
網絡攻擊會以各種形式出現,如惡意軟件、網絡釣魚、DDoS 攻擊等等。敏感資訊洩露、銀行帳戶資金和身份被盜只是網絡攻擊造成的可怕後果的一小部分。不過您有辦法保護自己,了解網絡攻擊可以提升您的網絡安全。我們一起在下面看看網絡攻擊的運作方式、最常見的網絡攻擊類型以及如何保護您的資料。 内容 甚麼是網絡攻擊? 網絡攻擊的類型 網絡攻擊方法 常見網絡攻擊目標 網絡攻擊的影響 如何預防網絡攻擊? 企業的基本網絡安全實踐 甚麼是網絡攻擊? 網絡攻擊的類型 我們現在會探討網絡攻擊的類型。下面的名單只涉及最基本的網絡攻擊,不過也涵蓋了網絡犯罪分子最常見的攻擊方式: 惡意軟件攻擊 惡意軟件(有時也稱為威脅軟件)是一個總稱,指的是任何意圖損害或以其他方式利用其運行者的惡意軟件。惡意軟件的範圍包括從秘密收集受害者資訊或用騷擾廣告轟炸用戶到加密並以用戶資料進行勒索的軟件。 惡意軟件本身有許多不同類型: 病毒:一種用於感染用戶裝置上的檔案的惡意軟件。 蠕蟲病毒:一種可以從一個檔案或電腦自我複製並感染另一個檔案或電腦的惡意軟件。 木馬病毒:一種用於幫助黑客匯出檔案、修改資料、刪除檔案或更改裝置內容的惡意軟件,通常隱藏在看似合法的應用程序中。 勒索軟件:一種用於加密受害人裝置上的文件,導致您無法存取裝置內容的惡意軟件。 間諜軟件:一種在未經用戶同意就收集您個人資料的惡意軟件。 社交工程 社交工程攻擊會誘導用戶洩露敏感的個人資訊、安裝惡意軟件或向犯罪分子轉賬。網絡犯罪分子通常會透過偽冒網站和虛假訊息冒充銀行職員或客戶服務代表等受用戶信任的人以進行詐騙(目標是網站用戶和電郵收件人)誘導受害人作出違背自身利益的行為。 社交工程可以有多種形式,例如是恐嚇軟件、等價交換(quid pro quo)、網絡交友詐騙、假託(pretexting)、調虎離山(diversion theft)和釣魚攻擊,上述社交工程攻擊類型還可以單獨細分。 釣魚攻擊 釣魚攻擊是一種通常用於盜竊用戶資料的社交工程策略。我們會在下面了解最常見的釣魚攻擊類型: 一般釣魚攻擊:這是一種通常透過附有惡意連結的電郵誘使受害人下載惡意軟件,從而盜取受害人敏感訊息、登入憑證和財務信息的詐騙技巧。 魚叉式網絡釣魚攻擊:這是一種通常透過電郵方式進行並針對特定個人或公司的個人化攻擊。犯罪分子會向受害人發送看似真實的電郵,誘使受害人分享敏感資訊。 捕鯨攻擊:捕鯨攻擊針對的是企業中的高級管理人員,犯罪分子會偽裝成值得信賴的人物,誘使受害者分享敏感或機密資訊。 網絡釣魚或釣魚短訊:犯罪分子會發送詐騙短訊,誘使受害者分享他們的個人或財務資訊。 中間人攻擊 犯罪分子發動中間人攻擊(MitM)時會截取用戶電腦與接收者(例如應用程式、網站或其他用戶)之間的通訊,並操縱截取的通訊資料獲取受害者洩露的數據。 阻斷服務和分散式阻斷服務攻擊 阻斷服務(DoS)攻擊是一種網絡攻擊,犯罪分子會破壞裝置的功能,導致用戶的裝置無法回應請求。阻斷服務攻擊通常用大量虛假請求轟炸用戶的裝置,導致其無法回應合法請求。DoS 攻擊分為緩衝區溢位、ICMP 洪泛攻擊、SYN 洪泛攻擊、死亡之 Ping、淚滴攻擊和 Smurf 攻擊。 分散式阻斷服務(DDoS)是一種用惡意流量轟炸服務、伺服器或互聯網的網絡攻擊,分散式阻斷服務使用受感染電腦的網絡轟炸攻擊目標,導致該服務無法接受合法流量,從而達到減慢或完全癱瘓服務的效果。DDoS 攻擊用透過各種形式針對網絡的不同元件,例如 TCP 連線攻擊、巨流量攻擊、碎片聚合攻擊和應用程序層攻擊。 SQL 注入 結構化查詢語言注入使用了帶內 SQLi、推理 SQLi 或帶外 SQLi 攻擊來破壞網絡和系統。當犯罪分子可以欺騙網站執行惡意程式代碼,就會出現網絡安全漏洞。犯罪分子可以透過這種方式從網站獲取平常難以獲得的機密資料、管理員權限並向作業系統發出命令。當黑客進入系統內部時,他們可以更改或刪除電腦系統中的文件,從而改變應用程式的行為。…
Read more
