什麼是網路攻擊?
個人、組織甚至國家經常都會受到惡意軟體、網路釣魚、DDoS 和其他各種類型的網路攻擊,導致資源、時間或金錢的損失,導致暴露敏感資訊、帳號被入侵和身份被盜用等可怕後果。有許多方法可以保護自己免於網路攻擊,了解什麼是網路攻擊可以保護上網安全。本文我們將介紹網路攻擊如何運作、常見的網路攻擊手法有哪些,以及如何保護自己。
網路攻擊的定義
網路攻擊(Cyber Attack)是網路犯罪的一種廣義術語,包括對電腦設備、網路或基礎設施的任何蓄意攻擊,使得軟體、系統或服務失去功能。這種攻擊可以由個人(例如駭客)或組織發動,對象可能是個人、組織或國家(這稱為網路戰)。
網路攻擊的類型
網路攻擊有很多類型,但在討論較常見的攻擊之前,我們將先介紹網路攻擊如何運作。網路攻擊大致可分為四種類型:
- 被動攻擊:通常是非破壞式作業(non-disruptive operation)。攻擊者試圖隱藏他們的活動,讓被害者永遠不知道發生什麼事。被動攻擊通常會偷偷收集和竊取一些敏感資訊。
- 主動攻擊:通常是破壞或摧毀設備或網路,甚至對基礎設施的侵略性攻擊,導致系統或服務癱瘓。此類攻擊可以針對個人、組織甚至國家。
- 內部攻擊:顧名思義,此類攻擊是由已經被授權存取目標系統的人(例如內部員工或竊取系統管理員帳號)所執行的。
- 外部攻擊:外部攻擊是由外圍人士執行攻擊。攻擊者可以是網路罪犯,也可以是敵對國家。
在了解網路攻擊之後,接著我們將進一步介紹網路罪犯常用的手法和技術。以下列出較常見的網路攻擊方法:
- 分散式阻斷服務攻擊(distributed denial of service)又稱 DDoS 攻擊,這是一種常見的網路攻擊手法。執行這些攻擊的惡意程式不會傷害受感染的設備,而是將這些設備組成殭屍網路,在短時間內發動大規模的攻擊,藉此耗盡資源和頻寬,造成服務癱瘓。駭客可以透過惡意程式或網站感染許多設備,並控制這些設備向目標網站發送大量請求,導致目標網站不堪負荷而中斷服務。
- 惡意軟體(Malware)。惡意軟體包含惡意程式碼、木馬程式、病毒等,駭客會誘使受害者執行這些惡意程式,以感染設備。這些惡意軟體可以偷偷收集受害者資訊、用煩人的廣告轟炸受害者的電腦,甚至將檔案和資料加密以勒索贖金。
- 社交工程攻擊。社交工程經常透過人們的信任和貪婪進行詐騙。網路犯罪分子通常會偽造網站和資訊,冒充銀行行員或網站等可信任的人物,以誘騙使用者洩露敏感資料、安裝惡意軟體或轉帳給犯罪者。
- 中間人攻擊。中間人攻擊是利用攔截的方式,從中竊聽兩端通訊的內容過,攻擊者甚至可以攔截受害者的設備與接收者(如應用程序、網站或其他用戶)之間的通訊。然後,攻擊者可以監控通訊,並在適當時機攔截和操縱通訊。
- 零時差攻擊(或稱零日攻擊)。零時差漏洞攻擊是利用軟體、韌體或硬體中已知但尚未修補的漏洞進行攻擊。
- 跨網站指令碼。如果網站中的某個連結被駭客入侵,攻擊者可以將惡意程式碼直接注入到網頁上,進而讓瀏覽網站的用戶受到影響。這些程式碼可以竊取用戶登入網站的資訊,或者執行點擊挾持等不同類型的攻擊。
- SQL 注入。SQL 語言注入能誘使網站將惡意SQL程式碼誤以為正確指令。犯罪者可利用這種手法破壞系統或取得網站中的機密資訊。
台灣受網路攻擊的情況
根據資安公司 Check Point 在 2020 年發表的網路安全報告指出,台灣是全球最容易遭受到殭屍網路攻擊、入侵電腦、監視鏡頭等設備的國家,每週平均受攻擊次數是全球平均的 3.5 倍。
2019 年台灣行政院資安處則指出,台灣政府網路每個月平均受到約三千萬次的攻擊,推測有一半的網路攻擊來自中國。相較之下歐洲國家每個月為幾萬次,顯示台灣受網路攻擊頻率非常高。
網路威脅的防護
網路攻擊的結果可能是災難性的。雖然網路威脅可能會潛伏在網際網路的各個角落,但您可以做一些事情來保護自己。
- 使用威脅防護 Pro。威脅防護 Pro 可協助封鎖惡意軟體和受感染檔案。它能保護您的設備免於遭受感染。
- 讓作業系統和軟體保持最新狀態。軟體更新不只是應用程式上的新功能,還包含重要的漏洞修復程式。如果未能及時修復,這些漏洞可能會被攻擊者利用。
- 避免使用公共 Wi-Fi 熱點。攻擊者喜歡公共熱點。因為這些熱點的安全性不足,容易連線的特性也隱藏著大量的攻擊目標。
- 使用 VPN。在某些情況下,如果必須使用公共 Wi-Fi,請務必使用 VPN 上網。VPN 能將連線加密,以防止攻擊者竊聽您的網路活動。
- 在網路上避免透露過多個人資料。您的出生日期或住家地址對罪犯來說都是無價的。他們取得越多您的資訊,就越有可能對您進行攻擊。
- 使用瀏覽器擴充功能實現安全性。有非常多的瀏覽器擴充功能都能保護上網安全,包括廣告攔截器、反追蹤器和惡意網站攔截器等許多選擇。
- 只從可信賴的來源下載應用程式。嘗試從官方應用程式商店等安全管道下載應用程式,如 Google Play 或 Apple Store。官方商店中的應用程式經過嚴格的檢查,因此較不會包含隱藏的惡意程式。
- 不要點擊可疑的連結。關於社交工程攻擊,保持冷靜非常重要。在點擊能快速賺錢的連結之前,請先思考是否太過完美而不真實,這些美好的話術極可能是一場騙局。在點擊連結之前,也請先將滑鼠懸停在連結上,檢查連結網址的網域是否有問題。