本文探討了當前網絡犯罪形勢中您最有可能遇到的最常見的網絡攻擊類型。我們概述了每種威脅類型,解釋了受害者如何成為這些策略的犧牲品,並提供了一些提示,以確保不會成為潛在黑客的容易攻擊的目標。
什麼是網絡攻擊?
網絡攻擊是未經授權的第三方破壞 IT 系統的惡意嘗試。攻擊的複雜程度和策略各不相同,但每一次「闖入」系統的努力都有以下目標之一:
- 竊取有價值的文件(個人身份信息、密碼、財務記錄等),並以數據泄露為威脅索要贖金。
- 收集有價值的數據並將其出售給最高出價者(通常在暗網上)。
- 禁用計算機或破壞受害者的網絡(通常是為了形成其他攻擊的啟動點或獲得短暫的競爭優勢)。
- 泄露商業秘密(例如專利或代碼)。
- 以「黑客行動主義」的形式破壞系統並刪除數據。
- 竊取個人數據並進行身份盜竊(通常是為了進行未經授權的匯款)。
成功的網絡攻擊會產生一系列負面影響,包括:
- 財務損失(一次成功的攻擊平均使公司損失 20 萬美元)。
- 數據泄露。
- 永久數據丟失或損壞。
- 失去用戶信任。
- 壞新聞。
- 如果您在攻擊期間丟失客戶數據,則可能會面臨法律罰款和訴訟,這兩種情況都很常見。
隨著犯罪分子的策略變得更具創造性和侵略性,公司越來越多地在安全方面進行投資。最近的報告顯示,69% 的美國公司正在擴大2022 年的網絡安全預算(超過 85% 的公司預計分配的預算將增加高達 50%)。目前的重點投資領域是:
- 網絡保險(國內尚屬於起步階段)。
- 數字取證。
- 事件響應。
- 安全意識培訓。
了解攻擊向量和表面之間的區別,必須牢牢理解這兩個重疊的安全概念,才能為惡意活動做好可靠的準備。
網絡安全攻擊的類型
當犯罪分子試圖侵入網絡時,很少會決定重新發明輪子。相反,攻擊者利用他們知道非常有效的經過嘗試和測試的技術。讓我們仔細看看第三方可能用來破壞您公司的最常見的網絡攻擊類型。
1. 基於惡意軟體的攻擊(勒索軟體、木馬、病毒等)
惡意軟體是破壞或竊取計算機、網絡或伺服器數據的惡意軟體。惡意軟體必須安裝在目標設備上才能激活,之後惡意腳本就會越過安全措施並執行以下一項(或多項)操作:
- 拒絕訪問關鍵系統或數據。
- 竊取文件。
- 損害數據完整性。
- 監視用戶活動。
- 破壞甚至導致系統無法運行。
- 劫持目標設備(或同一網絡上的多個系統)的控制。
雖然某些惡意軟體會利用系統漏洞(例如UPnP問題),但這些程序通常會通過人為錯誤破壞系統,例如當受害者:
- 點擊危險連結。
- 打開受感染的電子郵件附件。
- 插入損壞的USB或可攜式硬碟。
- 訪問運行偷渡式下載(無意中將惡意代碼下載到訪問者設備上)的受感染網站。
惡意軟體是最常見的網絡攻擊類型之一,並且有多種變體。讓我們看看所有最突出的。
間諜軟體
間諜軟體是一種惡意軟體,可以監視受感染的設備並向黑客發送信息。大多數攻擊者使用這種策略來悄悄監視用戶數據和瀏覽習慣。
如果目標訪問受間諜軟體感染的設備上的有價值數據(例如,登錄銀行帳戶),犯罪分子就會在受害者不知情的情況下收集敏感信息。
鍵盤記錄器
鍵盤記錄器與間諜軟體類似,只不過此類惡意軟體會監視您在鍵盤中輸入的內容。這些信息使犯罪分子能夠收集有價值的數據,然後將其用于勒索或身份盜竊。
病毒
計算機病毒是一種能夠通過目標設備上的程序進行自我複製的惡意程序。如果激活受病毒感染的文件,惡意軟體會在設備上自我複製,從而降低性能或破壞數據。
蠕蟲
蠕蟲病毒是一種獨立的惡意軟體,可以在不同的計算機上自我複製。蠕蟲病毒通過網絡傳播,依靠安全故障來傳播和竊取數據、設置後門或損壞文件。
與需要主機或作業系統的病毒不同,蠕蟲單獨運行並且不附加到主機文件。
木馬
特洛伊木馬「隱藏」在看似合法的軟體中(因此得名希臘神話)。如果您安裝受木馬感染的程序,惡意軟體就會安裝在您的設備上並在後台運行惡意代碼。
與病毒或蠕蟲不同,特洛伊木馬不會自我複製。木馬最常見的目標是在系統內建立一個靜默後門,以實現遠程訪問。
廣告軟體
廣告軟體是在目標設備上顯示營銷內容的惡意軟體,例如您訪問網站時的橫幅或彈出窗口。一些廣告軟體還監視用戶的在線行為,這使得惡意程序能夠「投放」更有針對性的廣告。
雖然與其他惡意軟體相比,廣告軟體似乎相對無辜,但許多犯罪分子使用這種策略來顯示隱藏帶有惡意代碼的文件的廣告。
無文件惡意軟體
無文件惡意軟體不依賴可執行文件來感染設備或直接影響用戶數據。相反,此類惡意軟體會攻擊作業系統本機的文件(例如 Microsoft Office 宏、PowerShell、WMI 和類似的系統工具)。
無文件惡意軟體很難檢測,因為沒有可執行文件,而可執行文件是網絡安全工具的首選掃描目標。最近的研究表明,無文件方法的成功率比傳統惡意軟體高 10 倍。
勒索軟體
勒索軟體是一種對目標系統上的文件進行加密的惡意軟體。一旦程序加密數據,黑客就會要求贖金(通常以密碼形式請求)以換取解密密鑰。
如果受害者拒絕支付贖金,犯罪分子就會銷毀解密密鑰,這意味著(通常)無法恢復數據。然而,許多選擇滿足要求的人從未收到承諾的鑰匙。勒索軟體代碼還經常在感染過程中損壞無法修復的數據,這意味著您從犯罪分子那裡收到的密鑰有時毫無用處。
勒索軟體對個人用戶和組織都構成威脅。更精通技術的犯罪分子會準備惡意軟體包來攻擊多台計算機或攻擊對業務運營至關重要的中央伺服器。
2. 網絡釣魚攻擊
當有人試圖通過欺詐性電子郵件、簡訊(稱為簡訊網絡釣魚或「網絡釣魚」)或電話(稱為語音網絡釣魚或「語音釣魚」)欺騙目標時,就會發生網絡釣魚攻擊。這些社會工程消息似乎來自官方人員(例如同事、銀行、第三方供應商等),但冒名頂替者實際上試圖從收件人那裡提取敏感信息。
有些犯罪分子不會直接詢問信息。黑客可能會嘗試讓受害者單擊連結或打開電子郵件附加文件:
- 在設備上下載並安裝惡意軟體。
- 導致網絡釣魚網站(通常是虛假登錄頁面),如果您輸入憑據,該網站就會竊取數據。
網絡釣魚是最流行的網絡攻擊類型之一。最近的報告顯示,網絡釣魚策略易於實施且高度可靠,2021 年 36% 的數據泄露事件均涉及網絡釣魚策略。
魚叉式網絡釣魚攻擊
魚叉式網絡釣魚針對特定個人。攻擊者使用有關目標的個人信息(在社交媒體上收集、在暗網上購買或通過其他網絡釣魚攻擊收集)來為該人量身定製更可信的消息。
電子郵件是迄今為止最常見的魚叉式網絡釣魚攻擊媒介。如果犯罪分子決定使用電子郵件,他們有兩種選擇:
- 破解某人的電子郵件並通過真實帳戶聯繫目標。
- 使用電子郵件欺騙創建一個與他們試圖冒充的電子郵件幾乎相同的新地址。
黑客通常會選擇魚叉式網絡釣魚電子郵件來發出更具說服力的信息。例如,犯罪分子可能會等待目標出差或雇用新員工,然後圍繞這些獨特情況制定策略。
釣魚者網絡釣魚攻擊
當網絡釣魚冒名頂替者以社交媒體上的某人為目標並試圖竊取他們在公司網絡之外的憑據時,就會發生 Angler 攻擊。沒有嚴格的防火牆規則或自定義IDS來阻止垃圾郵件,這就是為什麼這種相對較新的網絡釣魚策略近年來取得了很大成功。人們在社交媒體上往往比在官方電子郵件地址上查看消息時更加措手不及。
捕鯨襲擊
當攻擊者追捕知名員工(例如執行長、營運長或財務長)時,就會發生鯨魚網絡釣魚。這個想法是針對那些有權進行大額轉帳的人。
雖然鯨魚網絡釣魚比欺騙低級別員工更難,但它是最有利可圖的網絡釣魚形式。利潤往往達到數百萬美元,因此 C 級高管必須時刻警惕此類策略。
網絡釣魚是 CEO 欺詐的典型第一步。這些詐騙現在是一個每年價值 260 億美元的行業,因此請查看我們關於CEO 欺詐的文章,深入了解如何應對這一威脅。
3. 密碼攻擊
密碼是訪問計算機系統時驗證用戶身份的最常見方法,這使得它們成為網絡攻擊的首選目標。竊取某人的憑據使黑客能夠訪問數據和系統,而無需採取網絡安全措施。
最近的研究表明,20% 的數據泄露都是由於憑證泄露而引發的。犯罪分子依靠多種方法來獲取個人密碼,包括使用:
- 社會工程學。
- 破解密碼資料庫或公司的密碼管理平台。
- 監視未加密的網絡傳輸。
- 猜測密碼(通常使用機器人)。
- 付錢給一名員工以分享他們的密碼。
讓我們探討最常見的基於密碼的網絡攻擊類型。
蠻力攻擊
暴力攻擊依賴於一個程序,該程序系統地遍歷所有可能的字符組合來猜測密碼。密碼越簡單,程序完成工作的速度就越快。
這種簡單的方法非常耗時,這就是為什麼黑客總是使用機器人來破解憑據。以下是攻擊者用來暴力破解密碼的最流行程序:
- 氣裂。
- 該隱。
- 阿貝爾。
- 開膛手約翰。
- 安裝 hashcat。
黑客經常使用有關目標的基本信息來縮小猜測過程,向機器人「提供」個人數據(例如職務、學校名稱、生日、家庭和寵物名稱等)。然後該程序測試該數據的組合以加速解密過程。
防止暴力攻擊並不歸結為使用唯一的密碼。頂級程序可以在 30 秒內破解七個字符的密碼。使用冗長的字母數字密碼是防止暴力攻擊的最可靠方法。
字典攻擊
字典攻擊是一種策略,其中黑客使用常用密碼列表來訪問目標計算機或網絡。大多數黑客在暗網上捆綁購買以前破解的密碼,但一些字典攻擊僅依賴於常見的單詞和短語。
密碼噴灑
密碼噴射是一種黑客試圖在儘可能多的帳戶中使用相同密碼的策略。例如,機器人可能會在網際網路上爬行並嘗試使用「 password1 」憑據登錄每個配置文件。
雖然乍一看這種策略不太可靠,但超過 350 萬美國公民使用「 123456 」作為密碼時,噴灑行為就顯得煥然一新。
4. 中間人攻擊
當黑客攔截兩個網絡點之間傳輸的數據時,就會發生中間人攻擊 (MitM)。攻擊者劫持客戶端和主機之間的會話,從而創造查看或編輯數據的機會。MitM 更常見的名稱是竊聽攻擊。
MitM 攻擊的主要問題是這種漏洞很難檢測。受害者認為信息正在傳輸到合法目的地(事實確實如此),但通常沒有跡象表明數據在途中進行了「停留」。
MitM 攻擊有兩個常見的入口點:
- 不安全的公共 Wi-Fi,網絡安全性不夠。
- 在發件人或收件人系統(或整個網絡)後台運行的預安裝惡意軟體。
例如,假設正在當地一家咖啡店使用 Wi-Fi,並決定檢查銀行帳戶餘額。登錄並向銀行伺服器發送信息,但黑客攔截數據並捕獲用戶名和密碼。由於沒有VPN來保護信息,因此黑客會收集登錄您的帳戶所需的所有信息並耗盡所有資金。
5. SQL注入攻擊
SQL 注入使黑客能夠「欺騙」網站泄露其SQL資料庫中存儲的信息(登錄數據、密碼、帳戶信息等)。
注入比普通的暴力攻擊或網絡釣魚策略更具技術性,但即使是新手黑客也知道如何完成這些攻擊。攻擊者在數據輸入框(例如登錄欄位)中鍵入預定義的 SQL 命令。一旦注入,命令就會利用資料庫設計中的弱點,並且可以:
- 讀取敏感數據。
- 修改或永久刪除存儲的文件。
- 觸發執行功能(例如導致系統關閉或更改用戶權限)。
6.DoS 和 DDOS 攻擊
拒絕服務 (DOS) 和分布式拒絕服務 (DDoS) 是網絡攻擊,旨在通過虛假請求淹沒系統、伺服器或網絡。攻擊者向目標發送垃圾郵件,直到耗盡所有資源或帶寬,使系統無法滿足合法請求。
以下是 DOS 和 DDoS 之間的區別:
- 當黑客使用虛假請求或流量來壓垮系統直至其失敗或宕機時,就會發生 DOS。
- DDoS 是同一類型的攻擊,只不過黑客依靠多個受惡意軟體感染的設備以更快的速度使系統崩潰。物聯網設備是黑客構建這些「機器人大軍」的常見選擇。
最常見的 DoS 和 DDoS 攻擊類型是:
- 淚滴攻擊。
- 藍精靈攻擊。
- 殭屍網絡。
- TCP SYN 洪水攻擊。
- Ping-of-death 攻擊。
DOS 和 DDoS 的目標不是竊取數據,而是減慢操作速度。有時,黑客會使用 DDoS 攻擊來分散安全團隊的注意力,並創造執行其他惡意活動的機會。
7.高級持續威脅(APT)
APT 是一種網絡攻擊,入侵者在受害者不知情的情況下在系統中長期存在。這些攻擊的目標各不相同,但最常見的目標是:
- 竊取大量商業數據。
- 建立企業間諜活動的來源。
- 破壞基礎設施。
- 造成長期服務中斷。
- 執行整個網站或應用程式接管。
APT 比其他類型的網絡攻擊更加複雜。犯罪分子通常會組建一個全職團隊,在目標系統內維持數月的存在。這些攻擊很少依賴自動化,因為犯罪分子會開發定製程序和策略來破壞特定的技術堆棧。
8. 零日漏洞
零日漏洞是在管理員不知情的情況下存在的軟體中的安全缺陷。例如,一家公司可能會發布應用程式的新版本,其中存在黑客可以利用的尚未識別的弱點。
一旦團隊發現該缺陷,他們就有「零日」時間來解決該問題,因為黑客很可能已經在進行漏洞利用。
零日漏洞是一個涵蓋性術語,涵蓋依賴於尚未修補的系統漏洞的任何惡意活動。公司在更新應用程式或服務時必須警惕零日漏洞,因此投資於主動缺陷檢測和敏捷威脅管理。
9. 水坑攻擊
水坑攻擊是一種策略,其中黑客感染網站或設置特定用戶組可能訪問的頁面的惡意副本。這種策略針對特定的最終用戶群體,因此攻擊者總是分析他們的目標以確定他們喜歡使用哪些網站。
一旦目標與受惡意軟體感染的網站交互,入侵者就有機會執行惡意活動(竊取登錄詳細信息、注入惡意軟體、訪問網絡基礎設施、設置遠程控制等)。
10. 加密貨幣劫持
加密劫持是一種網絡攻擊,使黑客能夠秘密使用計算機的處理能力來挖掘加密貨幣(最常見的是比特幣或以太坊)。大多數感染發生在以下目標時:
- 訪問受感染的網站。
- 打開惡意連結。
- 點擊受惡意軟體感染的廣告。
加密劫持會嚴重降低系統速度,但也會導致其他漏洞。惡意程序通常會修改防火牆設置,從而為其他威脅創造更多空間。
從 2020 年到 2021 年,加密劫持案件幾乎翻了兩番。最近的報告表明,五分之一的 Alexa 網站託管挖礦惡意軟體。
11. URL操作
當攻擊者更改URL 地址中的參數以將受害者重定向到其他網站時,就會發生 URL 操縱(或 URL 重寫)。這種策略通常通過惡意腳本發生,並將受害者引導至網絡釣魚或受惡意軟體感染的頁面。
URL 操縱不是URL 中毒(也稱為位置中毒)。對 URL 進行投毒是指當用戶訪問特定站點時,通過在 URL 行中添加 ID 號來跟蹤 Web 訪問行為。然後,黑客使用該 ID 來跟蹤訪問者的瀏覽歷史記錄。
12. 基於 DNS 的攻擊
域名系統 (DNS)協議通常存在漏洞,使黑客能夠嘗試進行網絡攻擊。讓我們看看兩個最常見的:DNS 隧道和欺騙。
DNS 隧道
DNS 隧道使用該協議通過客戶端-伺服器模型來隧道惡意軟體和數據,同時繞過防火牆和其他安全措施。一旦惡意程序進入系統,它就會鎖定伺服器並為黑客提供遠程訪問權限。
入站 DNS 流量將命令發送給惡意軟體,而出站流量使黑客能夠竊取數據或響應惡意軟體請求(更改代碼、安裝新接入點等)。
DNS 欺騙(或「中毒」)
DNS 欺騙使攻擊者能夠將流量發送到虛假(或「欺騙」)網站並從不知情的訪問者那裡收集數據。這些網站是合法網站的相同副本(通常是銀行或社交媒體帳戶登錄頁面的副本),一旦您輸入憑據,它們就會直接向黑客發送信息。
黑客還利用 DNS 欺騙將訪問者重定向到質量較差的頁面(通常包含成人或淫穢內容),從而破壞企業。一些公司使用這種策略作為一種暗中攻擊競爭對手聲譽的手段。
13. 跨站腳本(XSS)
跨站腳本 (XSS) 攻擊利用易受攻擊的網站,使犯罪分子能夠在網頁和應用程式上設置惡意可執行文件。黑客將帶有惡意JavaScript的有效負載注入網站資料庫,當有人請求在瀏覽器中打開頁面時,該負載將作為 HTML 正文的一部分執行。
當惡意腳本執行時,黑客會繞過訪問控制並劫持帳戶。精通技術的黑客還使用 XSS 來利用和製造額外的安全漏洞,例如為惡意軟體奠定基礎、截取屏幕截圖或收集網絡數據。
15. Rootkit
Rootkit 是惡意程序,允許入侵者對計算機或其他軟體進行未經授權的管理員級別訪問。犯罪分子經常使用 Rootkit 來:
- 遠程訪問目標計算機。
- 編輯系統文件和數據。
- 安裝鍵盤記錄程序和其他惡意軟體。
- 在受害者不知情的情況下竊取數據。
Rootkit 非常難以檢測,因為它們「隱藏」在作業系統深處。頂級程序還會影響防病毒設置,使檢測過程變得更具挑戰性。大多數 Rootkit 感染通過電子郵件附件和不安全網站上的偷渡式下載傳播。
16. 會話劫持
會話劫持是 MITM 攻擊的一種高級形式,冒名頂替者接管客戶端和伺服器之間的會話,而不僅僅是監視通信。黑客竊取客戶端的IP位址,伺服器繼續會話,因為它已經與設備形成了可信連接。
一旦入侵者劫持了會話,他們就可以在受害者帳戶的權限範圍內自由地執行任何操作。例如,如果犯罪分子在管理員訪問公司資料庫時劫持會話,則攻擊者可以查看、編輯或銷毀文件。
大多數安全團隊在準備網絡攻擊時都會關注外部威脅。事實上,內部人員所造成的損害與第三方黑客一樣多,甚至更多——了解如何為內部威脅做好準備,並了解聰明的公司如何應對來自組織內部的危險。
如何防止網絡攻擊?
讓我們看看防止上述不同類型網絡攻擊的最有效方法:
- 使用每個帳戶都唯一的強字母數字密碼。
- 每隔幾周更改一次密碼(至少是定期更換)。
- 請勿在憑據中包含日常短語、個人信息或簡單的數字序列。
- 禁用應用程式和網站上的密碼提示。
- 使用最新補丁使所有應用程式、瀏覽器、作業系統和設備保持最新狀態。
- 依靠防病毒保護工具進行威脅檢測。
- 通過嚴格的訪問控制、防火牆、分段規則、流量分析和指令預防系統 (IPS) 提高網絡安全性。
- 定期進行網絡安全審計。
- 切勿單擊來自未知發件人的電子郵件中的連結或附件。
- 檢查電子郵件是否存在漏洞和語法錯誤,尤其是在收到未經請求的消息時。
- 在辦公室外訪問公司網絡時使用 VPN。
- 遠離公共 Wi-Fi 網絡。
- 執行日常數據備份。
- 定期組織員工意識培訓。
- 使用帳戶鎖定和雙因素身份驗證來防止密碼攻擊。
- 確保員工了解如何保證BYOD設備的安全。
- 除非您與經過驗證的來源進行交互,否則切勿下載或安裝任何內容。
- 實施零信任安全策略。
- 通過靜態加密、傳輸中加密和機密計算(在處理過程中保護數據)確保數據安全。另外,請確保密鑰管理沒有可利用的缺陷。
- 了解如何識別警告信號(網絡速度減慢、網站崩潰等)。
- 組建網絡事件響應團隊 (CIRT),負責準備響應策略、災難恢復和網絡殺傷鏈。
- 限制公司在其官方網站和社交媒體上分享的信息。
- 瀏覽網際網路時使用廣告攔截器。
- 創建雲安全策略以確保對雲計算的使用不會導致漏洞。
- 組織滲透測試,了解系統和員工如何響應不同類型網絡攻擊的真實模擬。