欢迎来到网络安全威胁!

在本章中,我们将探讨“恶意行为者”(那些试图窃取数据或造成破坏的人)攻击电脑和网络的各种手段。你可以把它想象成了解窃贼如何闯入民宅——只要我们知道他们的思维方式,就能更好地保护自己!

如果有些术语起初看起来有点陌生,别担心。我们会用生活中的例子来拆解它们,让你很快就能成为这方面的专家。

3.6.1 什么是网络安全?

在探讨威胁之前,我们先定义一下我们的目标。网络安全 (Cyber security) 是指旨在保护网络、电脑、程序和数据免受攻击 (attack)破坏 (damage)未经授权访问 (unauthorised access) 的过程、实践和技术。

类比: 如果你的电脑是一座城堡,那么网络安全就是坚固的石墙、护城河、守门的卫兵,以及关于谁获准进入的规矩的总和。

快速回顾:三大目标

网络安全旨在阻止三件事:
1. 攻击: 有人蓄意破坏系统。
2. 破坏: 数据被删除或损坏。
3. 未经授权访问: 有人查看了他们不应该看到的档案。

3.6.2 威胁:针对“人性”的黑客行为

有时候,进入电脑系统最简单的方法不是通过复杂的代码,而是欺骗使用它的人。这称为社会工程学 (social engineering)

社会工程学技巧

社会工程学是一种操纵人的艺术,诱使他们交出机密信息。你需要了解以下三种形式:

1. 欺诈 (Blagging / Pretexting): 指编造并使用虚构的情境(借口)来接触受害者。目的是让受害者泄露他们通常不会透露的信息。
例子: 有人打电话给你,假装是银行保安团队的成员,声称你的账户出现紧急情况,从而骗取你的个人识别码 (PIN)。

2. 网络钓鱼 (Phishing): 这是一种通过电子邮件短信 (SMS) 欺诈性获取私人信息的技术。这些信息看起来通常来自可信来源(例如 PayPal、Netflix 或银行),并要求你点击链接来“更新你的详细资料”。
常见错误: 不要把“网络钓鱼 (Phishing)”与“网址嫁接 (Pharming)”混淆!“网络钓鱼”是你收到的信息;而“网址嫁接”则是发生在你访问的网站上的事情(稍后会详细说明)。

3. 肩窥 (Shouldering / Shoulder Surfing): 这是最简单的一种!指通过他人的肩膀观察其私人信息。
例子: 在提款机 (ATM) 观察他人输入密码,或在咖啡店观察他人在手提电脑上输入密码。

记忆小撇步:社会工程学的 "BPS"

记住 B-P-S
Blagging (Big lie / 虚构的大故事)
Phishing (虚假的 Post / 电邮)
Shouldering (越过 Shoulder / 肩膀偷看)

重点: 社会工程学针对的是,而不是软件。最好的防御就是保持警惕,永远不要透露密码或 PIN。

3.6.2.2 恶意代码 (恶意软件)

恶意软件 (Malware) 是一个“伞状术语”(涵盖多种事物的统称),用来指代各类恶意或入侵性的软件。

恶意软件的类型

1. 电脑病毒 (Computer Virus): 这些程序会“感染”其他文件。它们只有在用户分享受感染的文件或打开恶意附件时才会传播。就像真实世界的流感病毒一样,它需要一个“宿主”才能在人与人之间移动。

2. 木马程序 (Trojan): 以历史上著名的木马屠城命名,这种恶意软件假装是实用的东西(例如免费游戏或有用的工具),但实际上隐藏了恶意目的。一旦你执行了那个“有用”的程序,木马就会进行破坏。

3. 间谍软件 (Spyware): 这类软件会悄悄地监视你在电脑上的行为。它可能会记录你的按键操作 (keystrokes)(键盘记录),以窃取你的密码或查看你浏览过的网站。

你知道吗? 有些间谍软件甚至可以在你不知情的情况下启动你的网络摄像头或麦克风!

重点: 恶意软件是为作恶而设计的。你可以通过安装反恶意软件 (anti-malware software) 并谨慎下载文件来进行防范。

3.6.2.3 技术威胁

并非所有威胁都涉及欺骗他人或发送恶意文件。有时,攻击者会利用系统配置中的“弱点”。

网址嫁接 (Pharming): 这是一种网络攻击,旨在将网站的流量重定向 (redirect) 到虚假网站。即使你输入了正确的网址(例如 www.mybank.com),攻击者也会“劫持”请求,将你导向他们制作的假版本网站,藉此窃取你的登录信息。

薄弱和默认密码: 许多设备(例如家用 Wi-Fi 路由器)出厂时都配有“默认”密码,如“admin”或“password123”。如果用户不更改这些密码,黑客很容易就能猜到。薄弱密码(例如你的宠物名字)也非常容易被“暴力破解”程序破解。

配置错误的访问权限: 如果学校网络设置不当,学生可能会意外获得“管理员”权限,这意味着他们可以删除他人的作业或查看私人文件。这是一个安全风险!

可携式媒体: U盘和外置硬盘可用于绕过防火墙。攻击者可能会在停车场留下一个“遗失的”U盘,希望员工捡到并插入工作电脑,从而自动安装恶意软件。

未修补和/或过时的软件: 软件公司会定期发布“补丁 (patch)”(更新)来修复安全漏洞。如果你不更新 Windows、macOS 或应用程序,黑客就能利用那些众所周知的“漏洞”入侵。

重点: 保持软件更新并使用强大且唯一的密码,是确保安全最简单的两种方法!

3.6.2.4 渗透测试

大型企业如何知道自己的安全性是否足够好?他们会聘请“道德黑客 (ethical hackers)”尝试入侵!这称为渗透测试 (penetration testing)

渗透测试是指在不知晓用户名、密码和其他正常存取途径的情况下,尝试获取资源存取权的过程。

两种渗透测试:

1. 模拟恶意内部人员: 测试人员会获得一些关于系统的知识(如基础用户账户或网络拓扑图)。这测试了心怀不满的员工在内部可能造成的破坏。

2. 模拟外部攻击: 测试人员对系统完全没有任何知识。他们必须像真实的黑客一样,尝试从外部进行攻击。

重点: 渗透测试有助于机构在真正的罪犯行动前找出他们的“弱点”。

3.6.3 检测与预防威胁

既然我们已经了解了威胁,那该如何阻止它们呢?以下是主要的保安措施:

  • 生物识别措施: 使用身体特征来识别身份,例如指纹扫描器人脸识别(现代智能手机非常常见)。
  • 密码系统: 要求使用强密码并定期更换。
  • 验证码 (CAPTCHA): 那些“我不是机器人”的测试。它们能阻止自动化的“机器人”程序批量创建虚假账户。
  • 电子邮件确认: 当你注册服务时,系统会发送确认电邮,以证明你的身份。这确认了用户的身份 (identity)
  • 自动软件更新: 将电脑设置为自动安装“补丁”,确保你时刻受到保护,抵御已知的最新“漏洞”。
快速回顾盒:最佳防御手段

威胁: 网络钓鱼 -> 防御: 用户培训/保持警惕
威胁: 过时软件 -> 防御: 自动更新
威胁: 猜测密码 -> 防御: 生物识别或强密码规则
威胁: 暴力破解机器人 -> 防御: 验证码 (CAPTCHA)

做得好!你已经掌握了 GCSE 所需的核心威胁和防御知识。请记住:大多数网络安全知识其实就是要在“数字世界中学会精明”。