Fundamentals of cyber security

歡迎來到網絡安全（Cyber Security）的世界！

在本章中，我們將學習如何保障數碼生活的安全。你可以把網絡安全想像成互聯網的「家居保安系統」。就像你鎖好大門以防盜賊一樣，網絡安全運用各種工具和技巧，防止黑客入侵我們的數據。

如果有些術語聽起來像間諜電影裡的對白，別擔心——我們會一步步為你拆解！

1. 甚麼是網絡安全？

網絡安全包含了一系列的流程、實踐和技術，旨在保護網絡、電腦、程式和數據免受以下威脅：
• 攻擊
• 損壞
• 未經授權的存取（即有人窺探了他們不該看的東西！）

速覽：核心目的

其主要目標是保持資訊的私密性（Private）、確保其準確性（Accurate），並確保獲授權的用戶能夠隨時存取（Available）這些資訊。

2. 社交工程（Social Engineering）：針對「人」的黑客手法

大多數人以為黑客只是透過編寫代碼來入侵系統，但通常，欺騙人類往往更簡單！這就是所謂的社交工程——即透過操縱人心，誘使對方交出機密資訊的手段。

以下是你考試需要掌握的三種類型：

A. 虛假欺騙（Blagging / Pretexting）

虛假欺騙（Blagging）是指有人編造虛假故事（即「藉口」）來誘騙你交出資訊。
例子：有人打電話給你，假裝是銀行的保安團隊，聲稱發生緊急情況，需要你的密碼來「修復」問題。

B. 釣魚攻擊（Phishing）

釣魚攻擊（Phishing）是一種罪犯發送偽裝成知名企業（如 Amazon 或 PayPal）的電子郵件或短訊，藉此竊取你資料的技術。
例子：你收到一封郵件說「你的帳戶已鎖定！請點擊此處登入」，但連結會把你導向一個偽造的網站，從而竊取你的密碼。

C. 肩窺（Shouldering / Shoulder Surfing）

肩窺（Shouldering）是最簡單的手法，即當你在輸入密碼時，有人從你的肩膀後方偷窺！
例子：在櫃員機輸入提款卡密碼，或在巴士上輸入手機密碼時被旁人偷看。

記憶小撇步：三個「ing」

Blagging（虛假欺騙） = Lying（說謊）（編造假故事）
Phishing（釣魚） = Fishing（釣魚）（透過郵件投放「魚鉤」）
Shouldering（肩窺） = Peeking（偷窺）（在肩膀後偷看）

3. 惡意程式（Malware）

惡意程式（Malware）是一個「概括性術語」（一個大分類），指任何具有敵意或侵入性的軟件。你可以把它想像成電腦的「數碼感冒」。

• 電腦病毒（Computer Virus）：一種會「感染」電腦並自行複製，以散播至其他檔案或電腦的軟件。
• 特洛伊木馬（Trojan）：偽裝成有用程式（如免費遊戲）但背後隱藏惡意目的的軟件。（就像希臘神話裡的木馬一樣！）
• 間諜軟件（Spyware）：暗中監控你在電腦上的一舉一動（例如記錄你的鍵盤敲擊紀錄），並將資訊傳送回給黑客的軟件。

重點總結：惡意程式是指任何旨在製造麻煩或在你不察覺的情況下竊取資訊的軟件。

4. 其他網絡安全威脅

黑客還有許多方式來製造混亂。以下是教學大綱中提到的內容：

• 網域欺騙（Pharming）：這是一種聰明的攻擊手法，即使你輸入了正確的網址，也會被導向偽造網站！這就像是一個假的道路指示牌，將你引導至假銀行。
• 弱密碼與預設密碼：如果你的密碼是 "12345" 或 "password"，很容易被猜中。此外，許多設備出廠時設有如 "admin" 的預設密碼，人們往往忘記更改。
• 存取權限設定錯誤（Misconfigured Access Rights）：當用戶被意外賦予了不應查看的檔案存取權限時，就會發生這種情況。
• 可攜式媒體：USB 隨身碟可能攜帶惡意程式。如果你在停車場撿到一個不明 USB 並將其插入電腦，可能會導致整個網絡中毒！
• 未修補／過時的軟件：軟件經常存在「漏洞」（bugs）。企業會發布「修補程式」（更新）來修復它們。如果你不更新，這些漏洞就會留給黑客利用。

5. 滲透測試（Penetration Testing / Ethical Hacking）

企業如何在壞人行動前找出系統漏洞？他們會使用滲透測試。這是透過嘗試進入系統來找出缺陷的過程。

你需要知道兩種測試類型：

1. 模擬內部攻擊：測試人員被賦予系統知識，甚至可能是基礎登入資料。這模擬了「惡意的內部人員」（例如心懷不軌的員工）。
2. 模擬外部攻擊：測試人員對系統沒有任何知識或憑證。他們試圖從外部入侵，就像真實的黑客一樣。

6. 偵測與防禦威脅的方法

別擔心，我們有很多方法可以進行反擊！以下是常見的安全措施：

• 生物辨識：使用身體特徵來解鎖（如指紋識別或面部識別）。這些都很難偽造！
• 密碼系統：要求使用強密碼並定期更換。
• CAPTCHA：那些「我不是機械人」的驗證碼。它們能阻止自動化程式（機械人）創建大量虛假帳戶。
• 郵件驗證：當網站傳送代碼到你的郵箱，以證明你的身分。
• 自動軟件更新：設定電腦自動安裝「修補程式」，確保安全「漏洞」能儘快被修復。

你知道嗎？CAPTCHA 的全稱是 "Completely Automated Public Turing test to tell Computers and Humans Apart"（全自動區分電腦與人類的圖靈測試）。難怪它讀起來這麼拗口！

總結檢查

我們學到了甚麼？
• 網絡安全保護我們的數碼財產。
• 社交工程利用欺騙手段（虛假欺騙、釣魚攻擊、肩窺）。
• 惡意程式是壞的軟件（病毒、特洛伊木馬、間諜軟件）。
• 滲透測試透過扮演黑客來找出漏洞。
• 防禦措施包括生物辨識、CAPTCHA 和軟件更新。

避免常見錯誤：別把釣魚攻擊（Phishing）和網域欺騙（Pharming）搞混了。釣魚攻擊（Phishing）是你收到的訊息（郵件／短訊）。網域欺騙（Pharming）是將你的網頁流量重新導向至偽造網站的行為。