歡迎來到網絡安全威脅!

在本章中,我們將探討「惡意行為者」(那些試圖竊取數據或造成破壞的人)攻擊電腦和網絡的不同手段。你可以把它想像成了解竊賊如何闖入民宅——只要我們知道他們的思維方式,就能更好地保護自己!

如果有些術語起初看起來有點陌生,別擔心。我們會用生活中的例子來拆解它們,讓你很快就能成為這方面的專家。

3.6.1 甚麼是網絡安全?

在探討威脅之前,我們先定義一下我們的目標。網絡安全 (Cyber security) 是指旨在保護網絡、電腦、程式和數據免受攻擊 (attack)破壞 (damage)未經授權訪問 (unauthorised access) 的過程、實踐和技術。

類比: 如果你的電腦是一座城堡,那麼網絡安全就是堅固的石牆、護城河、守門的衛兵,以及關於誰獲准進入的規矩的總和。

快速回顧:三大目標

網絡安全旨在阻止三件事:
1. 攻擊: 有人蓄意破壞系統。
2. 破壞: 數據被刪除或損壞。
3. 未經授權訪問: 有人查看了他們不應該看到的檔案。

3.6.2 威脅:針對「人性」的黑客行為

有時候,進入電腦系統最簡單的方法不是透過複雜的代碼,而是欺騙使用它的人。這稱為社會工程學 (social engineering)

社會工程學技巧

社會工程學是一種操縱人的藝術,誘使他們交出機密資訊。你需要了解以下三種形式:

1. 欺詐 (Blagging / Pretexting): 指編造並使用虛構的情境(藉口)來接觸受害者。目的是讓受害者洩露他們通常不會透露的資訊。
例子: 有人打電話給你,假裝是銀行保安團隊的成員,聲稱你的帳戶出現緊急情況,從而騙取你的個人識別碼 (PIN)。

2. 網絡釣魚 (Phishing): 這是一種透過電子郵件短訊 (SMS) 欺詐性獲取私人資訊的技術。這些訊息看起來通常來自可信來源(例如 PayPal、Netflix 或銀行),並要求你點擊連結來「更新你的詳細資料」。
常見錯誤: 不要把「網絡釣魚 (Phishing)」與「網址嫁接 (Pharming)」混淆!「網絡釣魚」是你收到的訊息;而「網址嫁接」則是發生在你訪問的網站上的事情(稍後會詳細說明)。

3. 肩窺 (Shouldering / Shoulder Surfing): 這是最簡單的一種!指透過他人的肩膀觀察其私人資訊。
例子: 在提款機 (ATM) 觀察他人輸入密碼,或在咖啡店觀察他人在手提電腦上輸入密碼。

記憶小撇步:社會工程學的 "BPS"

記住 B-P-S
Blagging (Big lie / 虛構的大故事)
Phishing (虛假的 Post / 電郵)
Shouldering (越過 Shoulder / 肩膀偷看)

重點: 社會工程學針對的是,而不是軟件。最好的防禦就是保持警惕,永遠不要透露密碼或 PIN。

3.6.2.2 惡意代碼 (惡意軟件)

惡意軟件 (Malware) 是一個「傘狀術語」(涵蓋多種事物的統稱),用來指代各類惡意或入侵性的軟件。

惡意軟件的類型

1. 電腦病毒 (Computer Virus): 這些程式會「感染」其他檔案。它們只有在用戶分享受感染的檔案或打開惡意附件時才會傳播。就像真實世界的流感病毒一樣,它需要一個「宿主」才能在人與人之間移動。

2. 木馬程式 (Trojan): 以歷史上著名的木馬屠城命名,這種惡意軟件假裝是實用的東西(例如免費遊戲或有用的工具),但實際上隱藏了惡意目的。一旦你執行了那個「有用」的程式,木馬就會進行破壞。

3. 間諜軟件 (Spyware): 這類軟件會悄悄地監視你在電腦上的行為。它可能會記錄你的按鍵操作 (keystrokes)(鍵盤記錄),以竊取你的密碼或查看你瀏覽過的網站。

你知道嗎? 有些間諜軟件甚至可以在你不知情的情況下啟動你的網絡攝影機或麥克風!

重點: 惡意軟件是為作惡而設計的。你可以透過安裝反惡意軟件 (anti-malware software) 並謹慎下載檔案來進行防範。

3.6.2.3 技術威脅

並非所有威脅都涉及欺騙他人或發送惡意檔案。有時,攻擊者會利用系統配置中的「弱點」。

網址嫁接 (Pharming): 這是一種網絡攻擊,旨在將網站的流量重定向 (redirect) 到虛假網站。即使你輸入了正確的網址(例如 www.mybank.com),攻擊者也會「劫持」請求,將你導向他們製作的假版本網站,藉此竊取你的登入資訊。

薄弱和默認密碼: 許多設備(例如家用 Wi-Fi 路由器)出廠時都配有「默認」密碼,如「admin」或「password123」。如果用戶不更改這些密碼,黑客很容易就能猜到。薄弱密碼(例如你的寵物名字)也非常容易被「暴力破解」程式破解。

配置錯誤的訪問權限: 如果學校網絡設置不當,學生可能會意外獲得「管理員」權限,這意味著他們可以刪除他人的作業或查看私人檔案。這是一個安全風險!

可攜式媒體: USB 手指和外置硬碟可用於繞過防火牆。攻擊者可能會在停車場留下一個「遺失的」USB 手指,希望員工撿到並插入工作電腦,從而自動安裝惡意軟件。

未修補和/或過時的軟件: 軟件公司會定期發佈「補丁 (patch)」(更新)來修復安全漏洞。如果你不更新 Windows、macOS 或應用程式,黑客就能利用那些眾所周知的「漏洞」入侵。

重點: 保持軟件更新並使用強大且唯一的密碼,是確保安全最簡單的兩種方法!

3.6.2.4 滲透測試

大型企業如何知道自己的安全性是否足夠好?他們會聘請「道德黑客 (ethical hackers)」嘗試入侵!這稱為滲透測試 (penetration testing)

滲透測試是指在不知曉用戶名、密碼和其他正常存取途徑的情況下,嘗試獲取資源存取權的過程。

兩種滲透測試:

1. 模擬惡意內部人員: 測試人員會獲得一些關於系統的知識(如基礎用戶帳戶或網絡拓撲圖)。這測試了心懷不滿的員工在內部可能造成的破壞。

2. 模擬外部攻擊: 測試人員對系統完全沒有任何知識。他們必須像真實的黑客一樣,嘗試從外部進行攻擊。

重點: 滲透測試有助於機構在真正的罪犯行動前找出他們的「弱點」。

3.6.3 檢測與預防威脅

既然我們已經了解了威脅,那該如何阻止它們呢?以下是主要的保安措施:

  • 生物識別措施: 使用身體特徵來識別身份,例如指紋掃描器臉部識別(現代智能手機非常常見)。
  • 密碼系統: 要求使用強密碼並定期更換。
  • 驗證碼 (CAPTCHA): 那些「我不是機械人」的測試。它們能阻止自動化的「機器人」程式批量創建虛假帳戶。
  • 電子郵件確認: 當你註冊服務時,系統會發送確認電郵,以證明你的身份。這確認了用戶的身份 (identity)
  • 自動軟件更新: 將電腦設置為自動安裝「補丁」,確保你時刻受到保護,抵禦已知的最新「漏洞」。
快速回顧盒:最佳防禦手段

威脅: 網絡釣魚 -> 防禦: 用戶培訓/保持警惕
威脅: 過時軟件 -> 防禦: 自動更新
威脅: 猜測密碼 -> 防禦: 生物識別或強密碼規則
威脅: 暴力破解機器人 -> 防禦: 驗證碼 (CAPTCHA)

做得好!你已經掌握了 GCSE 所需的核心威脅和防禦知識。請記住:大多數網絡安全知識其實就是要在「數字世界中學會精明」。