2.勒索軟件攻擊

勒索軟件通常在用戶訪問惡意網站或打開被篡改的電子郵件附件時安裝。傳統上，它利用受感染設備上的漏洞來加密重要文件，例如Word文檔、Excel電子表格、PDF、數據庫和系統文件，使其無法使用。然后，攻擊者索要贖金，以換取恢復鎖定文件所需的解密密鑰。攻擊可能以關鍵任務服務器為目標，或嘗試在激活加密過程之前將勒索軟件安裝在連接到網絡的其他設備上，以便所有設備同時受到攻擊。

為了給受害者施加更大壓力，攻擊者還經常威脅稱，如果不支付贖金，他們就會出售或泄露攻擊期間竊取的數據。事實上，勒索軟件策略正在發生轉變，一些攻擊者現在完全依賴數據盜竊和潛在的公開披露來勒索贖金，甚至懶得加密數據。這種變化可能是導致網絡安全供應商和研究人員報告的2023年勒索軟件攻擊數量創歷史新高的原因之一。Check Point Research表示，全球10%的組織機構曾遭受過未遂攻擊。

每個人都可能是勒索軟件的目標，從個人和小型企業到大型組織和政府機構。這些攻擊可能造成嚴重的破壞性影響。在眾所周知的事件中， 2017 年的WannaCry 勒索軟件攻擊影響了150多個國家的組織，醫院的中斷導致英國國家醫療服務體系 (NHS) 損失約1.11億美元。最近，英國皇家郵政在 2023 年成為勒索軟件攻擊的受害者，關鍵文件被加密，導致國際貨運中斷六周?；始亦]政拒絕支付最初8000萬美元或隨后減少的金額，但表示已花費近1300萬美元用于補救工作和安全改進。此外，攻擊中竊取的數據被發布到網上。

同樣在2023年，米高梅國際酒店集團（MGM Resorts International）遭受勒索軟件攻擊，損失約1億美元，運營中斷，客戶個人信息被盜。據《華爾街日報》報道，凱撒娛樂公司在遭受類似攻擊后，協商支付了1500萬美元的贖金，以防止被盜數據被公開。勒索軟件問題十分嚴重，以至于美國政府在2021年創建了一個名為“StopRansomware”的網站，提供各種資源來幫助組織預防攻擊，并提供了一份應對攻擊的清單。

3.密碼攻擊（口令攻擊）

盡管密碼存在諸多已知缺陷，但它仍然是計算機服務中最常用的身份驗證方法。因此，獲取目標密碼是繞過安全控制、訪問關鍵數據和系統的簡單方法。攻擊者會使用各種方法非法獲取密碼，包括：

• 暴力攻擊。攻擊者可以嘗試一些眾所周知的密碼，例如 password123，或者根據目標社交媒體帖子收集的信息（例如寵物的名字）創建的密碼，通過反復試驗來猜測用戶的登錄憑據。在其他情況下，他們會部署自動密碼破解工具來嘗試所有可能的字符組合。
• 字典攻擊。與暴力攻擊類似，字典攻擊使用預先選定的常用單詞和短語庫，具體取決于受害者的位置或國籍。
• 社會工程學。攻擊者很容易通過從某人的社交媒體帖子和其他來源收集信息，制作看似真實的個性化電子郵件或短信。作為一種社會工程學形式，這些郵件可以通過操縱或誘騙用戶泄露信息，以虛假借口獲取登錄憑證，尤其是在這些郵件是從冒充受害者認識的人的虛假賬戶發送的情況下。
• 鍵盤記錄器。鍵盤記錄器是一種軟件程序，它會秘密監控并記錄用戶的每一次擊鍵，從而獲取通過鍵盤輸入的密碼、PIN 碼和其他機密信息。這些信息會通過互聯網發送給攻擊者。
• 密碼嗅探。密碼嗅探器是一個安裝在網絡上的小程序，可以提取通過網絡以明文形式發送的用戶名和密碼。雖然攻擊者仍在使用這種技術，但它已不再像以前那樣構成威脅，因為現在大多數網絡流量都已加密。
• 竊取或購買密碼數據庫。黑客可能會試圖突破組織的網絡防御，竊取其用戶憑證數據庫，然后自己使用這些數據或將其出售給他人。

TechTarget 企業戰略集團研究部門在 2023 年進行的一項調查中，377 名受訪者中 45% 表示，他們知道過去 12 個月內其組織中的用戶帳戶或憑證遭到泄露，32% 的受訪者懷疑這些賬戶或憑證已被泄露。在所有這些受訪者中，59% 表示此類泄露導致了成功的網絡攻擊。此外，Verizon 的《2023 年數據泄露調查報告》發現，使用被盜憑證是攻擊者訪問受入侵組織系統的主要方式，在 4,291 起記錄在案的入侵事件中，49% 涉及使用被盜憑證。

4. DDoS攻擊

分布式拒絕服務 (DDoS) 攻擊是指利用大量受感染的計算機系統或移動設備來攻擊服務器、網站或其他網絡資源。其目的是通過發送大量消息、連接請求或畸形數據包來降低其速度或使其完全崩潰，從而拒絕向合法用戶提供服務。

根據性能管理和安全軟件供應商 Netscout 的報告，2023 年上半年發生了近 790 萬次 DDoS 攻擊，同比增長 31%。許多攻擊背后都有政治或意識形態動機，但它們也被用來索要贖金——在某些情況下，攻擊者會威脅某個組織，如果該組織不滿足贖金要求，就會對其發動 DDoS 攻擊。攻擊者還利用人工智能工具的力量來改進攻擊技術，并指揮其從屬機器網絡相應地執行 DDoS 攻擊。令人擔憂的是，盡管人工智能在網絡安全方面也有潛在的用途，但它現在正被用于增強各種形式的網絡攻擊。

5. 網絡釣魚

在網絡釣魚中，攻擊者偽裝成信譽良好的組織或個人，誘騙毫無戒心的受害者交出有價值的信息，例如密碼、信用卡信息和知識產權。基于社會工程學技術，網絡釣魚活動易于發起，且效果驚人。電子郵件最常用于分發惡意鏈接或附件，但網絡釣魚攻擊也可以通過短信（短信網絡釣魚，簡稱“短信釣魚”）和電話（語音網絡釣魚，簡稱“語音釣魚”）進行。

魚叉式網絡釣魚針對特定的個人或公司，而鯨釣攻擊則是針對組織高管的一種魚叉式網絡釣魚。與之相關的攻擊是商業電子郵件入侵 (BEC)，攻擊者冒充高管或其他權威人士，要求員工轉賬、購買禮品卡或采取其他行動。美國聯邦調查局 (FBI) 互聯網犯罪投訴中心將網絡釣魚和 BEC 攻擊分為不同的類別。2022 年（即公布數據的最后一年），該中心收到了 21,832 起 BEC 攻擊投訴，總損失超過 27 億美元；網絡釣魚投訴共收到 300,497 起，造成 5,200 萬美元的損失。

6. SQL注入攻擊

任何數據庫驅動的網站（大多數網站都是如此）都容易受到SQL 注入攻擊。SQL 查詢是請求對數據庫執行某些操作，精心構造的惡意請求可以創建、修改或刪除數據庫中存儲的數據。它還可以讀取和提取知識產權、客戶或員工的個人信息、管理憑證以及私人業務信息等數據。

SQL 注入仍然是一種廣泛使用的攻擊媒介。它在Mitre 公司維護的2023 年常見漏洞枚舉 (CWE) 前 25 個最危險軟件漏洞列表中排名第三。根據CVE 詳細信息網站 (CVE.com ) 的數據，2023 年，CVE 數據庫中新增了超過 2100 個 SQL 注入漏洞。CVE 數據庫是 Mitre 管理的常見漏洞和暴露的單獨目錄。在一個備受關注的 SQL 注入攻擊案例中，攻擊者利用其中一個新漏洞訪問了 Progress Software 的 MoveIt Transfer Web 應用程序，導致數千家使用該文件傳輸軟件的組織發生數據泄露。

7. 跨站腳本

這是另一種注入攻擊，攻擊者將惡意腳本添加到合法網站的內容中?？缯灸_本 ( XSS ) 攻擊是指不受信任的來源能夠將代碼注入 Web 應用程序，然后將惡意代碼包含在動態生成并傳遞給受害者瀏覽器的網頁中。這使得攻擊者能夠在毫無戒心的網站用戶的瀏覽器中執行用 JavaScript、Java 和 HTML 等語言編寫的腳本。

攻擊者可以利用 XSS 竊取會話 Cookie，從而偽裝成受害用戶。但他們也可以通過 XSS 傳播惡意軟件、破壞網站、獲取用戶憑證以及執行其他破壞性操作。在許多情況下，XSS 會與網絡釣魚等社會工程技術相結合。XSS 是常見的攻擊媒介之一，在 2023 年 CWE Top 25 榜單中排名第二。

8.中間人攻擊

在中間人 (MitM) 攻擊中，攻擊者會秘密攔截雙方之間的消息——例如，最終用戶和 Web 應用程序之間的消息。合法方認為他們正在直接通信，但實際上，攻擊者已經介入并控制了電子對話。攻擊者可以實時讀取、復制和更改消息（包括其中包含的數據），然后將其轉發給毫無戒心的收件人。

成功的中間人攻擊 (MitM) 可使攻擊者獲取或操縱敏感個人信息，例如登錄憑證、交易詳情、賬戶記錄和信用卡號。此類攻擊通常以網上銀行應用程序和電子商務網站的用戶為目標，許多攻擊會使用釣魚郵件誘騙用戶安裝惡意軟件，從而引發攻擊。

9. URL 解釋/URL 中毒

攻擊者很容易修改 URL 來獲取信息或資源。例如，如果攻擊者登錄到他們在網站上創建的用戶帳戶，并可以在 https://www.awebsite.com/acount?user=2748 查看其帳戶設置，那么他們可以輕松地將 URL 更改為 https://www.awebsite.com/acount?user=1733，看看是否可以訪問相應用戶的帳戶設置。如果網站的 Web 服務器沒有檢查每個用戶是否擁有訪問所請求資源的正確授權（尤其是在請求包含用戶提供的輸入的情況下），攻擊者很可能能夠查看網站上所有其他用戶的帳戶設置。

URL 解釋攻擊（有時也稱為URL 中毒）用于收集機密信息（例如用戶名和數據庫記錄），或訪問用于管理網站的管理頁面。如果攻擊者確實通過操縱 URL 成功訪問特權資源，通常是由于存在不安全的直接對象引用漏洞，導致網站未正確應用訪問控制檢查來驗證用戶身份。

10. DNS欺騙

DNS 通過將域名和 URL 映射到計算機用于定位站點的 IP 地址，使用戶能夠訪問網站。長期以來，黑客一直利用 DNS 的不安全性，用虛假條目覆蓋 DNS 服務器和解析器上存儲的 IP 地址，從而將受害者定向到攻擊者控制的網站，而不是合法網站。這些虛假網站被設計成與用戶預期訪問的網站完全一樣。因此，當 DNS 欺騙攻擊的受害者被要求在他們以為是真實網站上輸入帳戶登錄憑據時，他們不會產生懷疑。這些信息使攻擊者能夠登錄被欺騙網站上的用戶帳戶。

11. DNS隧道

由于 DNS 是一項受信任的服務，DNS 消息通常會雙向穿越組織的防火墻，幾乎不受監控。然而，這意味著攻擊者可以在 DNS 查詢和響應中嵌入惡意數據（例如命令與控制消息），以繞過（或繞過）安全控制。例如，據悉與伊朗有關聯的黑客組織 OilRig 就使用 DNS 隧道技術來維護其命令與控制服務器與其攻擊系統之間的連接。

DNS 隧道攻擊利用部署在注冊域名的 Web 服務器上的隧道惡意軟件程序。一旦攻擊者感染了組織防火墻后的計算機，安裝在那里的惡意軟件就會嘗試使用隧道程序連接到該服務器，這需要發送 DNS 請求來定位服務器。這為攻擊者提供了進入受保護網絡的連接。

DNS 隧道也有其實際用途——例如，殺毒軟件供應商會通過 DNS 隧道在后臺發送惡意軟件配置文件更新。因此，必須監控 DNS 流量，以確保只有受信任的流量才能通過網絡。

12.僵尸網絡攻擊

僵尸網絡是指一組聯網的計算機和網絡設備，它們感染了惡意軟件，并被網絡犯罪分子遠程控制。易受攻擊的物聯網設備也受到攻擊者的攻擊，以擴大僵尸網絡的規模和威力。它們通常被用來發送垃圾郵件、參與點擊欺詐活動，并生成用于 DDoS 攻擊的惡意流量。

例如，當 2021 年發現 Meris 僵尸網絡時，軟件供應商 Cloudflare 的安全研究人員表示，攻擊者每天使用它對大約 50 個不同的網站發起 DDoS 攻擊。由于 Meris 使用 HTTP 管道技術，且規模龐大（據估計，2021 年 Meris 的僵尸網絡規模約為 25 萬臺），它還造成了有記錄以來一些規模最大的 DDoS 攻擊。創建僵尸網絡的目標是感染盡可能多的設備，然后利用這些設備的綜合計算能力和資源來自動化和放大惡意活動。

13. 水坑攻擊

在所謂的“路過式攻擊”中，攻擊者利用安全漏洞向合法網站添加惡意代碼，當用戶訪問該網站時，代碼會自動執行并感染其計算機或移動設備。這是水坑攻擊的一種形式，攻擊者會識別并利用他們想要攻擊的用戶（例如特定組織的員工或客戶，甚至整個行業，如金融、醫療保健和軍事）經常訪問的不安全網站。

由于用戶很難識別遭受水坑攻擊的網站，因此這是一種在其設備上安裝惡意軟件的高效方法。由于潛在受害者信任該網站，攻擊者甚至可能將惡意軟件隱藏在用戶故意下載的文件中。水坑攻擊中使用的惡意軟件通常是一種遠程訪問木馬，可讓攻擊者遠程控制受感染的系統。

14.內部威脅

員工和承包商擁有訪問組織系統的合法權限，其中一些人對組織的網絡安全防御措施有著深入的了解。這可能會被惡意利用，獲取受限資源的訪問權限、進行破壞性的系統配置更改或安裝惡意軟件。內部人員也可能因疏忽或缺乏對網絡安全政策和最佳實踐的認知和培訓而無意中造成問題。

人們曾普遍認為內部威脅事件的數量超過外部攻擊，但如今情況已大不相同。Verizon 的 2023 年數據泄露報告稱，在調查的泄露事件中，超過 80% 是由外部行為者造成的。然而，內部人員參與了其中的 19%，接近五分之一。一些最突出的數據泄露事件是由擁有特權賬戶訪問權限的內部人員實施的。例如，擁有管理賬戶訪問權限的國家安全局承包商愛德華·斯諾登 (Edward Snowden) 是 2013 年以來美國歷史上最大的機密信息泄露事件之一的幕后黑手。2023 年，馬薩諸塞州空軍國民警衛隊一名成員因在網上發布絕密和高度機密的軍事文件而被捕并受到指控。

15.竊聽攻擊

竊聽攻擊也稱為網絡嗅探或數據包嗅探，利用安全性較差的通信，在計算機和其他設備通過網絡傳輸信息時實時捕獲流量。硬件、軟件或兩者結合可用于被動監控和記錄信息，并“竊聽”網絡數據包中的未加密數據。網絡嗅探可以是網絡管理員和IT安全團隊為解決網絡問題或驗證流量而進行的合法活動。然而，攻擊者可以利用類似的手段竊取敏感數據或獲取信息，從而進一步滲透到網絡中。

為了實施竊聽攻擊，攻擊者可以利用釣魚郵件在聯網設備上安裝惡意軟件，或者將硬件插入系統。攻擊不需要持續連接到受感染的設備——捕獲的數據可以在之后通過物理方式或遠程訪問進行檢索。由于現代網絡的復雜性以及連接到網絡的設備數量龐大，竊聽攻擊可能難以檢測，尤其是因為它對網絡傳輸沒有明顯的影響。

16.生日襲擊

這是一種密碼暴力攻擊，通過攻擊用于表示數字簽名、密碼和加密密鑰的哈希值來獲取它們。它基于“生日悖論”，該悖論指出，在一個由23人組成的隨機群體中，其中兩人生日相同的概率超過50%。類似的邏輯也可以應用于哈希值，從而實現生日攻擊。

哈希函數的一個關鍵特性是抗碰撞性，這使得從兩個不同的輸入生成相同的哈希值極其困難。然而，如果攻擊者生成數千個隨機輸入并計算它們的哈希值，則匹配被盜值以發現用戶登錄憑據的概率就會增加，尤其是在哈希函數較弱或密碼較短的情況下。此類攻擊還可用于創建虛假消息或偽造數字簽名。因此，開發人員需要使用旨在抵御生日攻擊的強加密算法和技術，例如消息認證碼和基于哈希的消息認證碼。