这两天里,笔者接到好几通朋友与同学的电话,他们都跟笔者一样,是在企业里担任资讯安全的职务,不过他们对于新一代网络攻击与骇客入侵的手法、细节,却像是雾里看花、半知半解,所以希望笔者能够多加解释一下,好让他们能对症下药,进行防范。这里笔者就要观众要求,将目前破坏力最强,也是新一代骇客的最常用的10种攻击招式,一样依照自动与使用者手动两大类,来个全面性的解说,还请各位有志对抗骇客的侠士们,好好记住敌人的功夫套路了!
首先当然要介绍自动攻击/入侵的方式,这类型中最要注意的,是偷渡式下载、强攻软件漏洞、隐藏式攻击、SQL隐码偷渡、混淆网站程式码/网址、恶意广告与点阅绑架等7大杀招,每一招都能在你不知不觉中攻入电脑,是最可怕也最难防的骇客入侵方式。
不过别就这样丧失信心,既然这些杀招都是属于自动入侵,基本心法一定相差无几。所谓万变不离其宗,上一篇中我们已经了解到,自动入侵的基本招式,是将恶意内容隐藏起来或加到正常内容後方,然后随着网页一起送到你电脑上,让你难以发现而入侵成功。先掌握住这点后,笔者再将此7大杀招的特点条列出来,你就能对这些杀招,拥有相当程度的了解:
偷渡式下载:将恶意软件连结加入或取代正常网站/软件下载连结,开启网站/下载软件时便能进入你的电脑。
强攻软件漏洞:在网站内容里加上攻击浏览器或系统漏洞的程式码,一开网页就立刻针对漏洞不断攻击,直到攻击成功或电脑当机为止。
隐藏式攻击:将恶意软件或攻击程序码,藏在1×1大小的隐形图片或特殊页面上,跟着正常内容一起送到你电脑里执行。
SQL注入偷渡:利用 SQL 隐注入攻击网站,取得将恶意联结加入网页或是资料库的权限,攻击者可以新增他们自己的恶意内容,而这些恶意内容稍后会传送给毫无戒心地浏览该受攻击网站的使用者,让电脑读取到恶意内容而感染。
混淆网站程序码/网址:将网站程序码或网址,以不明显或容易误认的方式修改,如字母O改成数字0,让你不觉有异而点选开启,进而开启恶意网站。
恶意广告:将网页上的广告连结或程式,换成恶意网站/软件的连结,当广告在网页上显示时,也一并开启恶意连结,让你防不胜防。
点阅绑架:将恶意网站/软件连结,藏在影片、音乐、图片之中,当你点阅这些内容时,恶意内容也随之开启。
只要稍加注意,你就会发现其实除了一开始的手段略有差别外,这些杀招要攻入你电脑的方式几乎大同小异,所以从这方向来着手防御,就可有效阻止杀招对你的伤害。
这种防守概念同样适用於使用者手动的入侵手法。杀伤力较强的手动入侵型的必杀技,包括了社交工程、冒名假档案、恶意博客/相簿等三项,这三者正是以引诱、诈骗或是利用你的疏忽,让恶意程序能成功入侵。可怕的是,虽然这3个针对人性弱点攻击的必杀技,大家心里早有防范,但却还是能够让人在一瞬间上当,乖乖对骇客奉上无价的资料。
手动入侵型的3招必杀技,各自具有以下的特点:
社交工程:先用大量且长时间的正常内容,换取你对网站或档案的信任,之后趁机送上恶意软件或内容,你就会不加思索地开启而遭到感染。
冒名假档案:将恶意软件名称改成与热门影片、音乐、程序档案相同,然后放到网站或P2P软件里让人下载,之後只要一执行就会立刻感染。
恶意社交网站:以好用技巧教学或mm图片为号召,吸引你前往网站点阅内容,并以此诱使你开启恶意网站或下载恶意软体。
这3个必杀技虽然是万年老梗,但仍可成功骗倒许多人,笔者在此提醒各位读者,在网络上活动,切记天下没有白吃的午餐,很多看似诱人不已的大餐,一开下去马上变成害人不浅的陷阱。所以当你在公司里上网,发现网管东锁西锁,让你没办法连上常去的网站时,不要急着在心里干谯,这都是为了各位以及公司的资讯安全与财产着想,其实是值得大家的掌声的。