信息技术与伦理/网络犯罪

计算机和网络犯罪是指利用数字技术进行的犯罪活动。这些犯罪利用了计算机系统和互联网基础设施中的漏洞。网络犯罪分子通常以赚钱为主要目标针对企业，但他们也可以以勒索和敲诈为目标针对个人，以及以间谍活动和破坏为目标针对政府，以实现地缘政治目标。 ^[1]

网络犯罪的目标是针对 CIA 三重奏的基本原则：计算机系统的机密性、完整性和可用性。第一个原则，机密性，是指保护敏感信息免遭未经授权的访问。网络犯罪分子通过黑客攻击或网络钓鱼非法访问数据（如个人信息）来攻击机密性。

完整性是第二个支柱，它围绕着确保数据保持准确、一致和可靠。网络犯罪分子通过篡改数据以导致数据损坏或系统故障来破坏完整性。

最后，可访问性确保在需要时，未经授权的用户可以访问数据和系统。网络犯罪分子通过发起拒绝服务攻击或其他形式的系统干扰来破坏可访问性，以阻止合法用户访问基本服务或资源。 ^[2]

网络犯罪的现代历史可以追溯到 1960 年代和 1980 年代的关键事件。

1962 年，艾伦·舍尔对麻省理工学院计算机网络发动了网络攻击。他使用打孔卡从数据库中窃取密码。然后，舍尔将这些密码与朋友分享，导致未经授权的访问。

1981 年，伊恩·墨菲通过更改 AT&T 电话系统的内部时钟来入侵该系统，以在夜间以白天费率收取白天电话费。这种被称为“电话黑客”的网络犯罪行为导致墨菲第一次被控入侵。然后，他被称为第一个因网络犯罪而被起诉的人。 ^[3]

在艾伦·舍尔和伊恩·墨菲等人物的利用基础上，网络犯罪分子一直在利用计算机系统中的漏洞以谋取私利或恶意意图。 ^[4]

多年来，随着技术的进步，网络犯罪分子通过使用新技术并利用趋势来实施违法行为，改进了他们的方法。他们开始传播恶意软件和网络钓鱼诈骗，实施网络间谍活动，并发起勒索软件攻击。结果，网络犯罪变得更加复杂。

随着我们越来越依赖数字技术进行通信和商业，网络犯罪的影响正在加剧。这对个人、企业和政府都带来了重大挑战。因此，需要采取多方面的方法来减轻这些风险，包括教育、意识、强大的安全措施和有效的执法。 ^[5]

网络犯罪可以分为以下几类

• 针对人民的网络犯罪：这些是对人身攻击，例如绑架、网络骚扰、勒索、信用卡盗窃、浪漫诈骗、网络钓鱼、网络欺凌、身份盗窃和网络跟踪都属于此类。
• 针对政府/组织的网络犯罪：这些是对政府或组织的攻击。例如，网络入侵、网络钓鱼、网络恐怖主义、战争行为或软件盗版都属于此类。
• 针对财产的网络犯罪：这些是对个人财产的攻击，拒绝服务 (DOS) 和分布式拒绝服务 (DDOS)、版权和知识产权 (IPR) 都属于此类。

在美国，已经制定了一系列联邦法律来打击和管理网络犯罪以及相关的数字活动。这些法律涵盖从处理黑客攻击和数字欺诈到打击网络骚扰和盗窃知识产权。值得注意的法规包括

CFAA 于 1986 年推出，旨在修改现有的计算机欺诈立法，最初针对的是黑客攻击，后来扩展到涵盖更广泛的活动。它禁止未经授权或超出授权范围访问计算机，尽管其对未经授权访问的广泛定义引发了对其可能过度刑事化常见在线行为的担忧。

这项 1998 年的法律禁止滥用他人的身份信息，例如社会安全号码和信用卡号码等。该法律于 2004 年修订，包括加重身份盗窃罪，适用于在犯某些联邦罪行或恐怖主义行为时使用他人的身份。

DMCA 于 1998 年通过，它为数字时代更新了美国版权法，保护在线服务提供商免受用户侵犯版权的责任，同时保护版权所有者免受未经授权的访问和在线滥用其作品。

COPPA 通过要求网站概述其数据收集做法、在收集儿童数据之前获得可核实的家长同意、允许家长选择退出，并维护所收集数据的安全性，来保护 13 岁以下儿童的在线隐私。

网络活动的监管范围超出了美国边界，国际条约和公约旨在促进全球合作打击网络犯罪。主要的国际框架包括

• 《布达佩斯网络犯罪公约》：欧洲委员会于 2001 年对欧洲国家和非欧洲国家开放的一项重要条约，旨在促进国际合作打击网络犯罪。 ^[10]
• 《非洲联盟网络安全和个人数据保护公约》：该公约于 2014 年通过，旨在通过国家间合作来提高整个非洲的网络安全和数据保护。 ^[11]
• 《英联邦计算机及计算机相关犯罪示范法》：该示范法由英联邦秘书处起草，作为成员国调整其网络犯罪立法的模板。 ^[12][13]
• 美洲国家组织 (OAS) 网络犯罪公约：虽然不是具有约束力的条约，但 OAS 框架促进了美洲国家在打击网络犯罪方面的合作努力。 ^[14]

这些法律和国际协议反映了网络立法不断变化的格局，旨在应对数字技术和网络犯罪带来的复杂挑战。

随着互联网和社交媒体的进步，犯罪也随之发展。技术与所犯罪行的平行关系令人震惊。随着技术变得越来越容易被大众使用，所犯的罪行类型也随着时间的推移而改变。基于网络技术在犯罪中的参与，已经形成了明确的区别。在没有网络技术的情况下不存在或不可能发生的犯罪是真正的网络犯罪。更准确地说，这些犯罪可以归类为网络专用犯罪。可以犯下的不需要网络技术才能发生的罪行，但其存在使这些罪行更容易发生，被称为网络相关犯罪。在网络相关犯罪中，可以识别出两类不同的类别。第一类是网络辅助犯罪。这些是网络技术仅仅用于帮助犯罪的罪行，例如犯税务欺诈或被计算机攻击。另一类被称为网络加剧犯罪，这些罪行由于网络技术的出现而显著增加。 ^[15]

网络辅助犯罪是指任何利用网络空间或计算技术进行的犯罪，但这些技术只扮演着非关键的辅助角色。简单来说，这些本质上是传统犯罪，在历史上一直定期发生。逃税就是一个网络辅助犯罪的例子。虽然实际犯罪涉及不当报税，并且传统上一直在“线下”进行；然而，随着计算设备的普及，罪犯开始利用这些计算设备来帮助他们进行非法活动。

您最常看到的网络辅助犯罪类型是欺诈。欺诈通常是一种不需要太多思考就可以实施的犯罪。作为一种犯罪，它一直以来都相对容易实施。随着网络技术的应用，从开始到结束真正实施起来变得更加容易。

网络加剧犯罪是指实际犯罪行为并没有发生在网络空间的犯罪。相反，这些犯罪行为因网络空间而变得更容易或得以实现，并且往往比局限于现实世界产生更大的影响。例如，有许多跟踪者利用网络空间跟踪受害者的案例。在这种情况下，实际犯罪行为，即跟踪和骚扰，发生在现实世界。然而，在网络空间进行的活动无疑以前所未有的方式帮助和加剧了这些犯罪行为。网络欺凌、网络恋童癖和色情内容可能涉及网络技术；然而，这些犯罪行为本身可以在现实世界中实施。但是，由于网络技术的采用，这些犯罪行为大幅增加。由于犯罪数量众多，以及由于网络技术的便利性导致的细微差异，大多数犯罪行为已经演变为拥有自己的类别。 

如果没有互联网，网络特有犯罪就无法存在。因此，这些是最独特的网络犯罪，可以被视为唯一的“真正”网络犯罪。网络入侵是其中之一。从本质上讲，网络入侵源于实际的入侵行为。本质上，犯罪者获得了他们原本不应获得的访问权限，因为他们缺乏权限，可以访问信息存储库。之所以如此危险，是因为它为网络入侵敞开了大门，如果信息被盗，网络入侵很容易演变成数据泄露。

网络破坏是另一种形式的网络特有犯罪。网络破坏源于实际的破坏行为，最初是在互联网上以破坏网站的形式开始，并无恶意。虽然令人讨厌，但它并没有造成任何实际的伤害。直到旨在损害计算机的网络攻击出现，网络破坏才成为一个严重的问题。

网络犯罪分子是指利用技术进行攻击网络或数字系统以非法获取公司或个人私有信息的活动的人。网络犯罪分子的意图是获取经济利益。网络犯罪分子的类型很多。网络犯罪分子可能是作为一个团队合作的人群，也可能是单独犯下非法网络犯罪的个人。与普遍看法相反，并非所有黑客都是网络犯罪分子。“黑客”这个词确实会让人联想到非法活动。正因为如此，很多人认为所有黑客都是罪犯，事实并非如此。黑客一般分为两种：好人黑客和恶意黑客。好人黑客，如道德黑客，与组织合作，以检测系统中存在的漏洞并改进其保护措施。好人黑客被认为是白帽黑客。恶意黑客是指未经所有者许可侵入计算机或其他数字设备并有意造成伤害的个人。恶意黑客被认为是黑帽黑客。以下概述了各种类型的网络犯罪分子及其角色。

网络犯罪分子是指利用技术进行攻击网络或数字系统以非法获取公司或个人私有信息的活动的人。网络犯罪分子的意图是获取经济利益。网络犯罪分子的类型很多。网络犯罪分子可能是作为一个团队合作的人群，也可能是单独犯下非法网络犯罪的个人。与普遍看法相反，并非所有黑客都是网络犯罪分子。“黑客”这个词确实会让人联想到非法活动。正因为如此，很多人认为所有黑客都是罪犯，事实并非如此。黑客一般分为两种：好人黑客和恶意黑客。好人黑客，如道德黑客，与组织合作，以检测系统中存在的漏洞并改进其保护措施。好人黑客被认为是白帽黑客。恶意黑客是指未经所有者许可侵入计算机或其他数字设备并有意造成伤害的个人。恶意黑客被认为是黑帽黑客。以下概述了各种类型的网络犯罪分子及其角色。

身份盗窃者是指窃取个人信息（如地址、电话号码、社会保险号码和信用卡号码）的个人或团体。身份盗窃者利用窃取的数据冒充受害者，从而获得经济利益。身份盗窃者被认为是最古老的网络犯罪分子之一^[16]。

根据谷歌的定义，网络恐怖主义是指“出于政治动机，利用计算机和信息技术在社会中造成严重混乱或广泛恐慌”。网络恐怖主义是一种网络攻击形式，出于政治原因而发展，旨在窃取或破坏政府或企业计算机和网络数据。网络恐怖分子是网络恐怖主义攻击的责任人。网络恐怖主义攻击可能对企业、国家和组织造成损害。网络攻击和网络恐怖主义之间的一个根本区别在于，网络恐怖主义得到政治支持，而网络攻击则由一群人实施，他们试图通过窃取机密信息来非法获取金钱^[16]。

网络跟踪者是指监控受害者在互联网上的活动的网络犯罪分子。通过跟踪受害者的行为，他们可以恐吓或从受害者那里获取个人信息。这种网络犯罪分子大量利用社交网络平台和恶意软件来实施攻击。实施这种网络犯罪的原因有很多，但网络跟踪者实施攻击的主要两个原因是勒索或诽谤，有时两者都会两者 ^[16]。

这类黑客可能是任何受不成熟的冲动驱使，想要成为黑客的人。他们缺乏技术知识，渴望运行预编译的脚本，以干扰软件的运行。 ^[17]他们缺乏技术专业知识，甚至无法理解软件的本意，这让他们能够入侵安全性非常弱的系统。

这些是我们每天都会遇到的诈骗电子邮件。每当我们登录到我们的电子邮件收件箱时，我们可能会收到更多来自诈骗者的电子邮件，他们提供各种优惠，例如折扣旅行或药品、度假村或个人广告。

他们不是直接的罪犯，但犯了浪费时间的罪。垃圾邮件发送者会用广告和各种乱七八糟的东西充斥你的邮箱。他们本身并不危险，但总是让人感到烦人和浪费时间。 ^[17] 垃圾邮件发送者甚至会导致实际的经济损失，因为他们需要安装昂贵且不稳定的反垃圾邮件技术。

他们通常被称为“黑客活动分子”。他们可以被认为是轻微的罪犯，他们总是试图证明自己的破坏行为，他们窃取机密信息并公开发布。他们通常匿名行动，负责创建工具，使黑客行为更容易。 ^[17]

这种行为最典型的例子是我们收到有关账户即将到期，需要更新信息的通知。实际上并非如此。这是钓鱼者用来提取个人信息或身份的行为。一项调查表明，每月会发现大约 20,000 到 30,000 个钓鱼网站。

这些团体可以分为不以经济利益为目的的团体。他们通常以开发恶意软件来实现政治目的为目标。Stuxnet 是此类恶意软件的典型例子！这种恶意软件是在伊朗的原子计划中发现的，但据信起源于某个外国政府。 ^[17] 这些团体不能被认为是无害的，因为它们会在政治、宗教或商业层面上造成损失。

这类人是最危险的，因为他们拥有合适的技术专长，知道他们想伤害什么以及如何伤害。这个群体可能由已经成为网络罪犯的技术人员组成。他们对政府、金融机构或电子商务企业造成最大的损害。他们所犯下的罪行可能比其他群体加起来还要多。

对于上述每种类型的网络犯罪，都应该提到一些相关的网络犯罪例子，如下所示

网络辅助犯罪可能是现实世界中最可怕的经历之一，有些人已经亲身经历过。例如，早在 2015 年，据报道，一家德国钢铁厂遭到网络攻击，导致工业设备被破坏并造成严重物理损坏。黑客能够通过针对公司员工进行的简单钓鱼攻击来提升权限。据报道，这并非此类网络辅助犯罪的唯一案例。在 2008 年，著名的美国和以色列网络武器 Stuxnet 已经对伊朗的铀浓缩工厂发动了攻击，破坏了离心机操作。虽然最后一个可能并非真正的网络犯罪，但它仍然是网络辅助操作，因为使用了网络工具来影响或控制物理设备。 ^[18]

网络跟踪是指在互联网上跟踪或骚扰某人的行为。它可以针对个人、群体甚至组织，可能包括诽谤、名誉损害和威胁。其目标可能是控制或威胁受害者，或获取信息以实施其他犯罪，例如身份盗窃或在线跟踪。网络跟踪者可能会通过定期向受害者发送负面信息来恐吓他们，可能每天多次。当这些信息来自同一个人的多个账户时，情况会更加令人不安。它通常包括明示或暗示的暴力威胁，使受害者感到恐惧，并可能导致现实世界中的跟踪和侵略行为。 ^[19]

网络跟踪并不局限于富人和知名人士。根据 2014 年皮尤研究中心的一项调查（Duggan，2014），18% 的受访者表示他们亲眼目睹过有人被跟踪，而 8% 的受访者表示他们自己被跟踪过。还观察到，女性比男性更有可能成为网络跟踪或在线性骚扰的受害者。18 至 24 岁的女性报告的事件数量不成比例地高，其中 26% 的人曾遭受过网络跟踪，25% 的人曾遭受过性骚扰。 ^[20] 这并不意味着男性不受此类行为的影响。根据报告，7% 的 18 至 24 岁的男性曾在网上被跟踪，13% 的人曾遭受过性骚扰。

在互联网时代，出现了一种新的危险现象，它是混乱中产生的令人讨厌且强大的产物。这就是所谓的“复仇色情”。复仇色情是互联网上最邪恶的特征之一。互联网上的隐私侵犯对于入侵者来说既便宜、快捷、又会对大量人造成伤害，而且几乎无法阻止。这个词有多种含义；一般来说，它指的是在未经本人同意的情况下被发布或传播到网上的性暗示或裸露的图像或视频，并且具有造成伤害的高风险。 “复仇”这个词源于其背景：前伴侣经常发布照片或视频来羞辱、贬低或嘲笑前任。不仅图像，而且受害者的身份信息，例如姓名、地址和社交媒体资料，也会以最糟糕的方式被公开。专门用于交换此类照片和信息的网站的建立，使得复仇色情成为可能。

复仇色情的影响因受害者而异，而且可能很严重。当受害者看到内容时，它几乎肯定已经被大量其他人分享了。除了明显的羞辱之外，受害者还描述了极度的精神痛苦、社会障碍和自杀念头，有些人甚至自杀。受害者经常声称，那些在网上看过他们非自愿发布的色情内容的人威胁要对他们进行暴力行为，跟踪或骚扰他们。据报道，受害者声称他们失去了工作，被学校开除，并改了名字。

COVID-19 大流行的爆发似乎加剧了这个问题。美国该领域的专家报告称，有“大量”寻求他们帮助的人，并表示“环境正处于数字虐待的边缘”。关于非自愿色情，纽约州检察长埃里克·施奈德曼宣布，COVID-19 大流行对该州居民构成了重大威胁，并引用了约会应用程序上发布的消息数量增加了 70%。 ^[21]

研究表明，非自愿色情内容的受害者遭受的痛苦类似于性侵犯幸存者。同时，1996 年的《通信规范法》第 230 条保护经常用于传播复仇色情内容的消息板和其他平台免受用户发布信息的法律责任。受害者承受着所有创伤，而施虐者对此心知肚明。 ^[22]

根据网络民权倡议组织的数据，年轻女性是最常被针对的目标群体，非自愿色情内容受害者中 90% 为女性。

性勒索是一种性剥削和敲诈勒索的形式，受害者受到权力滥用的控制，例如在人口贩卖的情况下很常见。它也被用来指代有人因害怕被泄露色情图像而被勒索做某事。这种犯罪十分具有挑战性，因为犯罪者通常是匿名的，或者假冒他人身份，而且可能位于世界另一端。他们可能使用 TOR 或者隐藏他们的 IP 地址。当犯罪者身份不明时，就更难引起执法部门的注意。常见的案例包括受害者在聊天室或社交媒体上遇到陌生人。随着时间的推移，陌生人会赢得受害者的信任，并说服他们发送裸照或在网络摄像头前脱衣。然后，陌生人会露出真面目，威胁要将裸照发送给受害者的朋友、家人和雇主，除非受害者提供更多裸照、支付金钱或进行性服务。性勒索诈骗经常针对未成年受害者。当一名人口贩卖受害者试图离开该行业时，皮条客威胁要发布裸照，犯罪者有时是受害者认识的人。性勒索者擅长向受害者灌输恐惧。他们可能会展示图像或一段特别露骨的对话的快照。^[23] 他们还会定期搜索受害者的社交媒体账户，以获取有关其家人和朋友的信息。换句话说，即使这通常不属实，他们也会让受害者相信他们随时可以毁掉受害者的声誉。

大多数性勒索诈骗都始于网络钓鱼。许多性勒索案件都始于一种被称为网络钓鱼的网络攻击。在网络钓鱼中，攻击者会假冒他人身份，通常是那些极具吸引力的人，例如迷人的年轻女性或英俊富有的商人，或者是有共鸣的人，例如与受害者有共同兴趣的人。擅长网络钓鱼的性勒索者非常狡猾。他们使用窃取的照片和全面的个人信息创建逼真的虚假社交媒体资料。^[24]

在创建了这些资料后，犯罪者通常会在各种社交媒体和约会平台上接近大量人。他们会添加对方为好友、点赞他们的资料或发送消息。一旦对方做出反应，攻击者就会开始与受害者交流，以赢得他们的信任并收集信息。下一步是收集受害者的性暗示图片，以便将其用于性勒索计划。

性勒索者也可能会使用与性勒索相关的电子邮件营销活动。因为任何人都可能成为受害者，所以这些策略经常被使用。攻击者会向数百人发送一封令人恐惧的电子邮件。

在大多数情况下，犯罪者会在电子邮件中说他们可以访问受害者的摄像头。他们会争辩说，他们利用这种访问权限在受害者与他人发生性关系时录制了受害者的视频。攻击者甚至可能威胁要公开受害者访问过的色情网站列表。犯罪者会要求使用（几乎）无法追踪的方式付款，例如比特币。

网络欺凌发生的有很多原因，根据我的研究，我发现了五个与本主题相关的因素。大多数网络欺凌事件都发生在施害者和受害者认识或相遇的情况下。首先，网络欺凌者认为他们不会受到任何后果。施害者认为，如果他们匿名发布或发送一些骚扰他人的内容，就不会有人发现。网络欺凌者看不到受害者的反应，这使得他们更容易进行网络欺凌。

其次，施害者缺乏同理心。研究表明，进行网络欺凌的儿童对他人没有同理心。此外，进行网络欺凌的儿童认为这很有趣，并在同伴中很受欢迎。他们想要在其他人面前显得重要，并且他们发现欺凌是获得受欢迎程度的有效方式。

接下来，网络欺凌者认为每个人都在做同样的事情。一旦他们养成骚扰他人的习惯，他们就会发现其他也在这么做的人。过了一段时间，网络欺凌对孩子们来说就变得正常了。当孩子们一起做的时候，他们会有一种错误的安全感，因为他们在他们的团队中看到很多人。

最后，网络欺凌发生的另一个原因是寻求报复。他们想要让对方因为他们经历的事情而感到难过。通常情况下，受害者并没有因为网络欺凌者所经历的事情而犯错，但这不是他们会听的逻辑。例如，如果他们在数学考试中成绩不好或讨厌数学，他们也会不喜欢并欺凌擅长数学的人。本质上，这是因为施害者嫉妒对方的成功。

网络欺凌者认为每个人都在这么做

当青少年认为很多人都在网上进行欺凌时，他们更有可能参与这种行为。在他们看来，这不是一个严重的问题，因为他们的同伴群体接受这种行为。更重要的是，孩子们会对他人进行网络欺凌，以融入一个经常在线骚扰他人的群体。

(参考其他关于网络欺凌的章节 )

为了进一步扩展这个话题，互联网和网络领域加剧了恋童癖者观看和传播儿童色情制品 (CP) 的能力。为了分析这种现象是如何产生的，必须分析互联网或信息高速公路带来的不同通信和商业模式。据报道，如今，犯罪者通常会在以下两个主要类别中参与这种令人发指的罪行。

1. 利用网络技术购买或出售儿童用于性目的的恋童癖者
2. 利用网络观看和传播 CP 的人。

虽然这些犯罪早在互联网和计算机出现之前就存在，但网络技术的兴起使犯罪者能够扩大他们的非法业务（在这个领域）并扩散 CP 的存在。以前，个人与他们周围环境之外的人的互动有限，这有助于降低 CP 的供应量。然而，网络技术的兴起使人们能够与世界各地的人交流，创建大型在线群体，并在几分钟内分享大量文件，这反过来又使恋童癖者能够轻松地进行他们的罪行，并相对轻松地接触到其他有邪恶思想的人和潜在受害者。^[25]

为了开始理解网络特有的犯罪，最好看看网络破坏的现实世界例子。早在 2019 年 8 月，一群身份不明的黑客能够识别出明尼苏达州不同政府网站的一些漏洞并利用它们。利用获得的访问权限，黑客继续将网站内容更改为反政府言论。之后发现，在此过程中没有泄露任何重要的私人信息。此外，官员确定黑客的动机尚不清楚，但肯定不是出于任何经济利益。鉴于动机纯粹是惹恼，这被认为是网络破坏，因此，是一种网络特有的犯罪。^[26]

2020 年 6 月，拉蒙·阿巴斯（又名 Hush Puppy）被迪拜警方逮捕，并被移交至美国接受审判。拉蒙·阿巴斯是一名网络犯罪分子，他在从尼日利亚搬到马来西亚之前就开始进行网络攻击。在他被捕后，美国联邦调查局从 Hushpuppy 那里查获了总计 4100 万美元和价值 680 万美元的 13 辆豪车。Hush Puppy，也被称为 “亿万富翁古驰大师”，购买古驰设计师服装，租用直升机、私人飞机和豪车环游世界。他大部分时间都在迪拜和马来西亚度过。阿巴斯·拉蒙于 1982 年 10 月 11 日出生于尼日利亚拉各斯州的奥沃隆肖基，自称是 Instagram 影响者。他拥有总共 250 万名 Instagram 粉丝。

此外，Hushpuppy 的攻击策略包括计算机入侵、商业电子邮件

欺诈计划和洗钱。迪拜警方突袭后，总共 200 万名受害者被解救。Hushpuppy 成功交易包括：在欺骗了一家美国律师事务所后非法转移了 4000 万美元，欺骗美国公民的疫情救助金，非法转移了 1470 万美元的金融机构资金，偷走了 110 万美元的个人资金用于资助卡塔尔的学校，以及针对其他多个受害者。在他被捕之前，他的最后一次交易是试图从一家未公开的英国足球俱乐部偷走 1.24 亿美元。他目前正在等待判刑，由于他在 2021 年认罪洗钱，他可能面临最高 20 年的监禁。

病毒是计算机编程代码的一部分，它会导致计算机以不可取的方式运行。病毒可以附加到文件或存储在计算机的内存中。病毒的编程目的可能不同，例如当它们被下载或通过特定操作激活时，例如附加到文件的病毒会感染该计算机以及该机器上创建或修改的任何文件。病毒还可以被编程为在执行病毒时，在执行某些活动时显示一条消息。蠕虫像病毒一样将自身埋入机器的内存中，然后在任何帮助的帮助下复制自身。它可以通过电子邮件和其他连接发送自身。钓鱼是指黑客试图从互联网用户那里获取财务或其他机密信息，通常通过发送看起来像是来自合法组织（通常是金融机构）的电子邮件，但包含指向复制真实网站的虚假网站的链接。这些骗子敦促此类电子邮件的收件人采取行动以获得奖励或避免后果。黑客可能会利用计算机系统中存在漏洞的后门，这使他们能够在访问重要信息的同时保持不被发现。键盘记录程序允许攻击者在未被察觉的情况下查看已登录到特定机器的信息。僵尸网络是可能遍布全球的计算机集合，它们连接到互联网，由一台计算机控制。

恶意软件是指从计算机传播并干扰计算机操作的恶意软件。恶意软件可能是破坏性的，例如删除文件或导致系统“崩溃”，但也可能用于窃取个人数据。以下是几种最常见的恶意软件的概述。

病毒是恶意软件中最容易理解的类型。计算机病毒就像一种流感病毒，旨在通过自我复制从主机传播到主机。[1]它们需要一个主机（例如，计算机中的文档、文件或电子表格）作为“载体”，但它们不能在没有用户活动运行或打开受感染记录的情况下感染计算机。用更专业的术语来说，计算机病毒是一种恶意代码，它被编程为改变计算机的操作方式，并旨在从一个系统传播到另一个系统。病毒通过将自身插入或附加到支持宏的合法程序或文档中来运行其代码。在此过程中，病毒会导致破坏性影响，并在复制自身后完全破坏主机。

一旦病毒成功附加到程序、文件或文档，病毒将处于休眠状态，直到某些情况导致计算机或设备执行其代码。要让病毒感染您的计算机，您必须运行受感染的程序，这反过来会导致病毒代码被执行。这意味着病毒可以休眠在您的计算机上，没有显示主要迹象或症状。但是，一旦病毒感染您的计算机，病毒就可以感染同一网络上的其他计算机。窃取密码或数据、记录击键、破坏文件、向您的电子邮件联系人发送垃圾邮件，甚至接管您的机器，只是一些病毒可能造成的破坏性和令人讨厌的事情。

蠕虫也是自我复制的程序，但它们可以独立地在计算机内部和之间传播，而不需要主机或任何用户活动。因此，蠕虫的影响可能比病毒更严重，会在整个网络中造成破坏。蠕虫还可以用来将特洛伊木马放入网络。在网络广泛使用之前，计算机蠕虫是通过受感染的存储介质（如软盘）传播的。当安装在系统上时，这些软盘会感染连接到受害者系统的其他存储设备。USB 驱动器仍然是计算机蠕虫的常见传播媒介。^[27]计算机蠕虫通常依赖于网络协议的操作和漏洞来传播。例如，WannaCry 勒索软件蠕虫利用了 Windows 操作系统中实现的第一个版本的服务消息块 (SMBv1) 资源共享协议中的漏洞。一旦在新的受感染计算机上激活，WannaCry 恶意软件就会启动网络搜索，寻找新的潜在受害者：响应蠕虫发出的 SMBv1 请求的系统。蠕虫可以通过这种方式在组织内继续传播。当自带设备被感染时，蠕虫可以传播到其他网络。

蠕虫和病毒的区别：正如卡内基梅隆大学软件工程研究所 CERT 部门在 1996 年发布的“互联网安全”报告中定义的那样，计算机蠕虫“是自我复制的程序，它们在启动后无需任何人工干预即可传播”。相反，“病毒也是自我复制的程序，但通常需要用户采取一些措施才能无意中传播到其他程序或系统”。计算机蠕虫加载并在新感染的系统上开始运行后，它通常会遵循其主要指令：尽可能长时间地保持在受感染的系统上，并尽可能传播到尽可能多的其他易受攻击的系统。

特洛伊木马是一种恶意软件，它给人一种是正版程序的印象，但会鼓励非法访问计算机。它们可以执行功能，例如窃取信息，而用户并不知道，并且可能会通过执行正常任务来欺骗用户，而实际上是在执行隐藏的、未经授权的操作。与计算机病毒不同，特洛伊木马无法自我复制，也无法在没有最终用户协助的情况下传播。这就是为什么攻击者必须使用社会工程学策略来欺骗最终用户执行特洛伊木马。通常，恶意软件编程隐藏在看似无害的电子邮件附件或免费下载中。当用户单击电子邮件附件或下载免费程序时，隐藏在其中的恶意软件会传输到用户的计算设备。一旦进入，恶意代码可以执行攻击者设计好的任何任务。

特洛伊木马一词源于希腊神话。传说，希腊人建造了一匹大型木马，特洛伊人把它拉进了城市。在晚上，躲在木马里的士兵出来了，打开城门让他们的同胞士兵进来，并攻占了城市。以下是一个特洛伊木马如何用来感染个人计算机的例子，受害者收到了包含附件的看似正式的电子邮件。附件包含恶意代码，一旦受害者单击该附件就会被执行。由于没有发生任何不好的事情，并且计算机继续按预期工作，因此受害者不会怀疑该附件是特洛伊木马，并且他的计算设备现在被感染了。恶意代码潜伏着，直到特定的日期或直到受害者执行特定的操作，例如访问银行网站。那时，触发器会激活恶意代码并执行其预期操作。根据特洛伊木马的创建方式，它可能在执行其预期功能后自行删除，它可能返回休眠状态，或者它可能继续处于活动状态。

1. Netbus – 1998 年（发布）
2. Mobman 的 Sub7 – 1999 年（发布）
3. Back Orifice – 1998 年（发布）
4. E&K Tselentis 的 Y3K 远程管理工具 – 2000 年（发布）
5. Beast – 2002 年（发布）
6. Bifrost 特洛伊木马 – 2004 年（发布）
7. DarkComet – 2008 年（发布）
8. Blackhole 漏洞利用工具包 – 2012 年（发布）
9. Gh0st RAT – 2009 年（发布）
10. MegaPanzer BundesTrojaner – 2009 年（发布）

间谍软件是一种通过收集敏感或个人数据，从受感染的系统中获取信息并监控用户访问的网站来攻击用户安全的程序。这些数据随后可能会被传输给外部人员。间谍软件有时会隐藏在广告软件中（免费且可能不需要的软件，要求您观看广告才能使用它）。间谍软件的一个例子是键盘记录程序，它捕获并记录在计算机上输入的按键，从而可以收集敏感信息，如密码或银行帐户信息。另一种类型的间谍软件会截取受害者计算机的屏幕截图。间谍软件被认为是最危险的恶意软件类型之一，因为它的目标仅仅是攻击用户安全。

广告软件（广告支持软件的简称）是一种自动投放广告的恶意软件。常见的广告软件示例包括网站上的弹出式广告和软件显示的广告。通常情况下，软件和应用程序会提供包含广告软件的“免费”版本。大多数广告软件由广告商赞助或编写，作为一种创收工具。虽然一些广告软件只是为了投放广告而设计，但广告软件通常会与间谍软件捆绑在一起（见下文），间谍软件能够跟踪用户活动并窃取信息。由于间谍软件的附加功能，广告软件/间谍软件捆绑包比单独的广告软件危险得多。

Rootkit 是一种旨在远程访问或控制计算机而不会被用户或安全程序检测到的恶意软件。一旦 Rootkit 被安装，恶意方就可以远程执行文件、访问/窃取信息、修改系统配置、更改软件（特别是任何可以检测 Rootkit 的安全软件）、安装隐藏的恶意软件或控制计算机作为僵尸网络的一部分。由于 Rootkit 的隐蔽操作，Rootkit 的预防、检测和清除可能很困难。由于 Rootkit 持续隐藏其存在，因此典型的安全产品无法有效地检测和清除 Rootkit。因此，Rootkit 检测依赖于手动方法，例如监控计算机行为以查找异常活动、签名扫描和存储转储分析。组织和用户可以通过定期修补软件、应用程序和操作系统中的漏洞、更新病毒定义、避免可疑下载以及执行静态分析扫描来保护自己免受 Rootkit 的侵害。

钓鱼是指通过伪装成可信实体的电子通信，试图获取敏感信息（如用户名、密码和信用卡信息（以及金钱）），通常出于恶意目的。钓鱼攻击有多种形式，例如电子邮件、社交软件、网站、便携式存储设备和手机。有几种不同的方法试图将用户引导到假网站

• 垃圾邮件，一种伪造的电子邮件，会分散客户的注意力，使其看起来类似于银行电子邮件，或来自任何金融机构的电子邮件。
• 恶意分析，上述方法的定向版本：网络犯罪分子利用使用电子邮件地址进行用户注册或密钥提醒的网站，并将钓鱼欺骗针对特定用户（要求他们确认密码等）。引入一个木马程序，它会编辑 hosts 文件，以便当受害者尝试浏览到其银行的网站时，他们会被重定向到假网站。
• “鱼叉式钓鱼”，针对特定组织的攻击，其中钓鱼者只是要求一名员工的详细信息，并使用它们来获取对网络其他部分的更广泛访问权限。^[28]
• “鲸鱼捕捞”是一种鱼叉式钓鱼，攻击目标是公司或组织中的高知名度人士。这些人通常是 CEO、CFO、COO 等，因为他们拥有敏感信息，一旦被窃取，就会被用于恶意目的，例如勒索。^[29]
• 传统的钓鱼攻击类型并非所有钓鱼攻击都是以刚刚描述的方式进行的。
• “石鱼”团伙3 已调整其攻击策略，以逃避检测并最大限度地提高钓鱼网站的可访问性。它已将攻击元素分离，同时在面对删除请求时包含冗余。该团伙首先购买了许多域名，这些域名的名称很短，通常没有意义，例如 lof80.info。电子邮件垃圾邮件中包含一个长 URL，例如 http://www.bank.com.id123.lof80.info/vr，其中 URL 的主要部分旨在使该网站看起来真实，并且可以使用机制（例如“通配符 DNS”）将每个此类变体解析为特定的 IP 地址。然后，它将每个空间名称映射到一个动态的受感染计算机池，这些计算机池由一个团伙控制的名称服务器控制。每台受感染的计算机都运行一个中间系统，该系统将请求转发到后端服务器系统。该服务器加载了大量（一次多达 20 个）假银行网站，所有这些网站都可以从任何一台石鱼机访问。但是，到达哪个银行网站完全取决于 URL 路径，在主要“/”之后。（因为该组使用代理，所以持有所有网页并收集窃取数据的真实服务器可以位于任何地方。）

密码攻击是指实体试图通过破解或猜测用户的密码来访问任何特定系统。这些攻击非常普遍，因为弱且容易知的术语可以被猜测，以及诸如蛮力之类的方法可以被执行，因为市场上提供的强大计算机可以轻松获得原始处理能力。这种类型的攻击无需在用户系统上运行任何类型的恶意软件或代码。这些攻击通常在黑客的计算机上运行，利用专门的软件、硬件（例如 GPU）和方法来破解最终用户的密码，以便访问这些帐户。

字典攻击主要基于两种方法：常用密码和用户特定关键词。常用密码是人们倾向于常用的密码。由于许多人重复使用密码并使用简单的密码，因此在数十年的泄露过程中积累了明文密码列表。然后，这些明文密码可以被哈希（并且可能首先被加盐），并与使用未知密码生成的密码哈希进行比较。由于人们可能使用了现有的常用密码，因此将常用密码的哈希与未知哈希进行比较非常有效。在互联网上的明文密码字典中，rockyou.txt 可能最有名。它起源于 2009 年社交应用程序网站 RockYou 被黑客攻击时，黑客泄露了 3200 万个用户帐户。^[30] 在不使用盐的哈希情况下，可以使用称为“彩虹表”的哈希密码字典来代替对常用密码本身进行哈希处理。这比处理明文字典快得多，但不允许任何形式的混合或组合攻击。您还可以使用由受害者目标信息组成的明文词列表，例如其社会安全号码、姓名或出生日期。这些信息可能来自通过网络钓鱼或电话钓鱼的社会工程学、开源情报技术或以前的资料外洩事件（包括旧的明文密码和个人详细信息）。

暴力破解攻击会检查所有特定长度的字符串排列，这些字符串由特定类型的字符组成。因此，这类攻击需要大量时间才能完成，并且需要大量的处理能力。除了时间和能力限制外，直接对软件系统进行暴力破解攻击（例如使用 Hydra 暴力破解网站）很容易被检测到，也很容易被缓解。虽然长度小于 8 的简单密码通常容易受到暴力破解攻击，但更长的密码变得难以管理，即使对于昂贵的密码破解设备也是如此。除此之外，通常不知道密码的具体长度或字符，因此通常需要循环遍历不同的密码长度。

密码破解最有效的方式之一是混合或组合攻击。之所以这样称呼它，是因为它将词典和合理的暴力破解技术结合起来，以创建可能的、有针对性的哈希值。许多高级密码破解实用程序（如 HashCat）能够将复杂的一组规则和组合应用于给定的输入，以创建可能的密码输出，而不是仅使用暴力破解或单个词典。例如，通过了解用户通常在密码的末尾添加数字或特殊字符，或者用数字替换某些字母（例如用零替换 o），就可以使用给定的词典并应用规则来创建已知流行密码的可能替代方案。除此之外，可以将词典组合在一起，以创建每个条目中包含多个单词的词典，例如 cool 和 dog 变成 cooldog。在流行媒体中，将复杂的、真实的规则集与有针对性的词典相结合的一个例子在《黑客军团》第一集中得到了体现，剧中主角破解了另一位角色的密码。最终密码是 "Dylan_2791"，这是该角色最喜欢的艺术家的名字，以及该角色出生年份的倒序。通过在强大的词典中添加大写字母、反转和特殊字符放置，可以形成致命的攻击，从上述密码的 24 秒破解时间就可以看出。 ^[31]

拒绝服务 (DoS) 攻击主要是通过向现有系统发送大量垃圾数据/请求来阻止授权用户访问系统，从而导致系统阻塞。这种攻击会向系统发送过量的、服务器无法预料的数据包，从而导致速度变慢或阻塞。^[32] 这可能会导致互联网连接速度变慢，从而影响授权用户通过 FTP 等访问电子邮件或文件等关键数据。这可能会造成时间和金钱上的巨大损失。此类攻击很少用于从授权用户那里入侵系统，但也有过使用此类 DoS 攻击来锁定网络并获取访问脆弱防火墙的案例。这些攻击不易识别，因为它们可能很容易与互联网连接速度变慢等混淆，并且可能在环境中持续数月之久。

除了常规的 DoS 攻击外，还有一种名为分布式拒绝服务 (DDoS) 的 DoS 攻击。这种攻击与常规 DoS 攻击非常相似，因为它们都会通过向目标发送大量数据包来导致速度变慢。^[32] 但是，基本区别在于 DDoS 效率更高，危害也更大，因为它们来自整个受影响的网络，而不是来自单个受影响的用户。因此，DDoS 对任何系统来说都难以躲避，因为来自多个来源的数据会同时传入。与其他类型的网络攻击不同，DDoS 攻击不会尝试突破你的安全边界。相反，它们的目标是让你的网站和服务器无法被合法用户访问。DDoS 还可以用作其他恶意活动的烟幕，以及用来关闭安全设备，从而突破目标的安全边界。DDoS 攻击通常持续数天、数周，甚至数月之久，对任何在线组织都具有极大的破坏性。除了其他问题外，DDoS 攻击会导致收入损失、损害消费者信任、迫使企业花费巨资进行赔偿，并造成长期声誉损害。DoS 和 DDoS 之间的差异很大，值得注意。在 DoS 攻击中，攻击者使用单个互联网连接来利用软件漏洞或用虚假请求淹没目标，通常是耗尽服务器资源（例如 RAM 和 CPU）。

另一方面，分布式拒绝服务 (DDoS) 攻击是从分布在互联网上的多个连接设备发起的。这些多人、多设备的攻击通常更难防御，主要是因为涉及的设备数量庞大。与单一来源的 DoS 攻击不同，DDoS 攻击往往针对网络基础设施，试图用大量流量将其饱和。DDoS 攻击在执行方式上也有所不同。总的来说，DoS 攻击是使用自制脚本或 DoS 工具（例如 Low Orbit Ion Canon）发起的，而 DDoS 攻击是使用僵尸网络发起的，僵尸网络是大量受感染的设备（例如手机、PC 或路由器）的集群，这些设备感染了恶意软件，允许攻击者远程控制它们。

DoS 攻击可以分为两大类

1. 应用程序层攻击（也称为第 7 层攻击）可以是 DoS 或 DDoS 威胁，它们试图通过发送大量需要资源密集型处理和处理的请求来使服务器过载。除了其他攻击向量外，此类别还包括 HTTP 泛洪、缓慢攻击（例如 Slowloris 或 RUDY）和 DNS 查询泛洪 攻击。被大量 DNS 泛洪攻击的博彩网站，峰值超过每秒 2500 万个数据包 应用程序层攻击的大小通常以每秒请求 (RPS) 衡量，大多数中型网站只需要 50 到 100 RPS 就能瘫痪。

2. 网络层攻击（也称为第 3-4 层攻击）几乎总是 DDoS 攻击，旨在阻塞连接你的网络的“管道”。此类别的攻击向量包括 UDP 泛洪、SYN 泛洪、NTP 放大 和 放大 攻击等。任何这些攻击都可以用来阻止访问你的服务器，同时还会造成严重的操作损害，例如帐户暂停和大量超额费用。DDoS 攻击几乎总是高流量事件，通常以每秒千兆比特 (Gbps) 或每秒数据包 (PPS) 衡量。最大的网络层攻击可以超过 200 Gbps；但是，20 到 40 Gbps 就足以完全关闭大多数网络基础设施。

什么是 HTTP 攻击？HTTP 泛洪攻击是指攻击者通过向目标服务器发送大量请求来使服务器过载。一旦服务器饱和，无法响应任何其他请求，当用户发送额外的请求时，就会发生 DoS 攻击。

HTTP 泛洪攻击是 OSI 模型第 7 层攻击。也就是应用层，该层处理 HTTP 等互联网协议。HTTP 通常用于加载浏览器网站，缓解应用层攻击非常令人头疼，因为很难区分正常用户流量和恶意流量。为了最大限度地发挥这种攻击的效果，攻击者通常会创建僵尸程序来利用它们发送请求的时间，从而导致服务器过载。

HTTP 泛洪攻击有两种类型

1. HTTP GET 攻击 - 多个用户或僵尸程序往往会发送大量请求来访问目标服务器上的某种资产。该请求可能是访问图像、文件、音乐、报告等。当目标服务器被传入流量淹没，无法处理更多请求时，拒绝服务攻击就会成功。

2. HTTP POST 攻击 - 与 HTTP GET 攻击不同，用户会大量发送表单。传入的表单通常是登录表单或需要推送到持久层的数据表单。该持久层通常是数据库，其中包含运行以处理数据的查询。与发送表单的带宽相比，该过程相对比较密集。当目标网站/服务器无法处理更多表单时，就会导致拒绝服务。

如上所述，HTTP 攻击是在 OSI 模型的第 7 层处理的。应用层很复杂，并且有大量的流量，因此难以区分正常用户和机器人。许多攻击可以通过设置 JavaScript 计算挑战（如验证码）来阻止。这些可以在登录页面、注册页面和其他类型的表单中设置。另一种缓解 HTTP 攻击的方法是使用 Web 应用防火墙 (WAF)。WAF 管理 IP 声誉，并实时阻止传入的恶意流量。

中间人 (MITM) 攻击是一个通用术语，指的是攻击者在用户和应用程序之间的对话中占据中间位置，无论是窃听还是冒充其中一方，使其看起来像正常的进行信息交换。攻击的目标是窃取个人信息，例如登录凭据、帐户详细信息和信用卡号码。目标通常是金融应用程序、SaaS 业务、电子商务网站和其他需要登录的网站。攻击期间获得的信息可以用于多种目的，包括身份盗窃、未经授权的资金转账或非法密码更改。此外，它还可以在高级持续性攻击 (APT) 攻击的渗透阶段用于在安全边界内立足。从广义上讲，MITM 攻击相当于邮递员打开你的银行对账单，记下你的账户详细信息，然后重新封好信封，送到你的家门口。

成功的 MITM 执行有两个不同的阶段：拦截和解密。

第一步是通过攻击者的网络拦截用户流量，然后再到达其预期的目的地。最常见（也是最简单）的方法是被动攻击，攻击者在此过程中向公众提供免费的恶意 WiFi 热点。它们通常以与其位置相对应的名称命名，并且不受密码保护。一旦受害者连接到此类热点，攻击者便可以完全查看任何在线数据交换。希望采取更积极的拦截方式的攻击者可能会发起以下攻击之一

• IP 欺骗是指攻击者通过更改 IP 地址中的数据包头来伪装成应用程序。因此，尝试访问与应用程序相连的 URL 的用户将被发送到攻击者的网站。
• ARP 欺骗是使用伪造的 ARP 消息将攻击者的 MAC 地址与本地网络上的合法用户的 IP 地址相链接的过程。因此，用户发送到主机 IP 地址的数据会传输到攻击者。
• DNS 欺骗，也称为 DNS 缓存中毒，是指入侵 DNS 服务器并更改网站的地址记录。因此，尝试访问该网站的用户将被更改的 DNS 记录发送到攻击者的网站。
• 窃听攻击是指攻击者拦截受害者的网络流量，因为他们的敏感数据从受害者的设备传送到其预期目的地。这通常通过软件来完成，该软件在受害者连接到加密较弱或未加密的网络（如公共 WI-FI 热点）时监控受害者的网络流量。^[33]

拦截之后，任何双向 SSL 流量都需要在不提醒用户或应用程序的情况下解密。有许多方法可以实现这一点

HTTPS 欺骗在向安全站点发出初始连接请求后向受害者的浏览器发送伪造证书。它包含与被破坏的应用程序关联的数字指纹，浏览器会根据现有可信站点列表对其进行验证。然后，攻击者可以访问受害者输入的任何数据，然后再将其传递到应用程序。

• SSL BEAST（针对 SSL/TLS 的浏览器攻击）针对 SSL 中的 TLS 版本 1.0 漏洞。在这里，受害者的计算机被感染了恶意 JavaScript，它会拦截 Web 应用程序发送的加密 cookie。然后会破坏应用程序的密码分组链接 (CBC)，以便解密其 cookie 和身份验证令牌。
• SSL 劫持发生在攻击者在 TCP 握手期间向用户和应用程序传递伪造的身份验证密钥时。这建立了看似安全的连接，但实际上，中间人控制了整个会话。
• SSL 剥离将 HTTPS 连接降级为 HTTP，方法是拦截从应用程序发送到用户的 TLS 身份验证。攻击者向用户发送应用程序站点的未加密版本，同时保持与应用程序的安全会话。同时，用户的整个会话对攻击者可见。

阻止 MITM 攻击需要用户采取一些实际步骤，以及应用程序的多种加密和验证方法。

对于用户来说，这意味着

• 避免未受密码保护的 WiFi 连接。
• 注意浏览器通知，该通知报告网站不安全。
• 在不使用安全应用程序时立即注销。
• 在进行敏感交易时不要使用公共网络（例如，咖啡馆、酒店）。

对于网站运营商而言，安全的通信协议（包括 TLS 和 HTTPS）有助于通过牢固地加密和验证传输的数据来缓解欺骗攻击。这样做可以防止拦截网站流量并阻止敏感数据（例如身份验证令牌）的解密。应用程序被认为最佳实践是使用 SSL/TLS 来保护其网站的每个页面，而不仅仅是要求用户登录的页面。这样做有助于降低攻击者从用户在登录状态下浏览网站的非安全部分时窃取会话 cookie 的可能性。'

勒索软件 是一种来自加密病毒学的恶意软件，它威胁要公开受害者的数据或永久阻止访问数据，除非支付赎金。虽然一些简单的勒索软件可能会以一种对精通人士来说并不难逆转的方式锁定系统，但更高级的恶意软件使用一种称为加密病毒勒索的技术，它会加密受害者的文件，使其无法访问，并要求支付赎金才能解密。最早的勒索软件变种是在 20 世纪 80 年代后期开发的，支付方式是通过普通邮件发送。如今，勒索软件作者要求通过加密货币或信用卡进行支付。

勒索软件可以通过多种不同的方式感染你的计算机。当今最常见的一种方法是通过恶意垃圾邮件或 malspam，这是用于传播恶意软件的未经请求的电子邮件。电子邮件可能包含带有陷阱的附件，例如 PDF 或 Word 文档。它也可能包含指向恶意网站的链接。

Malspam 使用社会工程学来欺骗人们打开附件或点击链接，方法是看起来合法，无论是看起来来自可信机构还是朋友。网络罪犯在其他类型的勒索软件攻击中使用社会工程学，例如冒充 FBI 来恐吓用户，让他们支付一笔钱来解锁他们的文件。

另一种流行的感染方法，在 2016 年达到顶峰，是 Malvertising。Malvertising 或恶意广告是指使用在线广告以最少的用户交互来传播恶意软件。在浏览网页（甚至合法网站）时，用户可能会在没有点击任何广告的情况下被定向到犯罪服务器。这些服务器会记录有关受害者计算机及其位置的详细信息，然后选择最适合交付的恶意软件。通常，该恶意软件是勒索软件。

勒索软件主要有三种类型，严重程度从略微令人反感到古巴导弹危机般的危险。它们如下

事实证明，恐吓软件并不那么可怕。它包括流氓安全软件和技术支持诈骗。你可能会收到一条弹出消息，声称发现了恶意软件，并且唯一摆脱它的方法就是付费。如果你不采取任何措施，你可能会继续受到弹出窗口的轰炸，但你的文件基本上是安全的。

合法的网络安全软件不会以这种方式招揽客户。如果您电脑上没有安装该公司的软件，他们就不会监控您是否有勒索软件感染。如果您已经安装了安全软件，您就不需要付费来移除感染——您已经为软件付过费来完成这项工作了。

将这些家伙的恐怖警报升级到橙色。当锁定屏幕勒索软件进入您的电脑时，意味着您完全无法使用电脑。启动电脑后，会弹出一个全尺寸窗口，通常还带有看起来很官方的 FBI 或美国司法部印章，上面写着您的电脑检测到非法活动，您必须支付罚款。但是，FBI 不会锁定您的电脑或要求您为非法活动付款。如果他们怀疑您从事盗版、儿童色情或其他网络犯罪活动，他们会通过适当的法律途径处理。

这才是真正令人讨厌的东西。这些家伙会窃取您的文件并对其进行加密，要求您付款以解密并重新交付。这种勒索软件之所以如此危险，是因为一旦网络罪犯获取您的文件，没有任何安全软件或系统还原可以将文件归还给您。除非您支付赎金——在大多数情况下，您的文件就消失了。即使您支付了赎金，也不能保证网络罪犯会将文件归还给您。

1. Reveton
2. CryptoLocker
3. Cryptowall
4. Fusob
5. WannaCry
6. Petya
7. Bad Rabbit

“驱动程序下载”一词向我们揭示了恶意软件如何在用户简单地点击运行恶意代码的网站时感染整个系统。这种恶意软件感染系统有很多阶段。第一个阶段被称为入口点，如上所述。第二个阶段被称为分发阶段，其中一些最受信任的网站被入侵，从而重定向到黑客控制的网站。第三个阶段被称为利用阶段，浏览器屈服于利用工具包，让黑客了解可轻松攻击的安全漏洞。^[34] 接下来是感染阶段，黑客清楚地了解漏洞点，并下载有效负载包，该包会自行安装到计算机中。最后阶段是执行下载的程序，该程序旨在为幕后黑手赚钱。^[34]

网络攻击 - 更常被称为网络应用程序攻击，攻击者利用网站代码漏洞，通过多种方法从网站自身的数据库中窃取个人或敏感信息。^[35]

SQL 或结构化查询语言用于编程，允许用户创建、操作和删除数据库。攻击者通常会尝试利用具有数据输入字段、网络表单甚至搜索栏的网站。普通用户通常会在输入字段中输入姓名、电话或身份证号码等信息，而攻击者则会使用相同的输入字段，并尝试通过输入 SQL 提示或查询来访问网站的数据库。如果输入字段没有经过适当的测试，攻击者就可以执行特定的 SQL 命令，这些命令可以检索、更改或删除被入侵数据库中的任何信息。^[36]

SQLi 漏洞是最古老、最常见的网络安全问题之一。SQL 注入攻击有多种类型。

这是最简单、最常见的 SQL 注入类型。通过这种方式，攻击者可以使用相同的通信渠道执行攻击并收集信息。

带内 SQLi 进一步分为两种常见的带内 SQLi 攻击类型。

• 基于错误的 SQLi
• 基于联合的 SQLi

与其他 SQL 注入相比，这种攻击耗时且危险。在这种攻击中，攻击者无法看到网络应用程序上的结果，而是可以直接与数据库进行通信并更改数据库结构。这些更改是使用有效负载进行的，结果是网络应用程序对数据库的响应。

这种攻击进一步分为两种攻击类型。

• 基于内容的盲 SQL 注入
• 基于时间的盲 SQL 注入

这并不是很常见的 SQL 注入类型。这种攻击取决于网络应用程序正在使用的数据库服务器的功能。

为了减轻 SQL 注入攻击的风险，应实施以下措施：

• 使用最小权限原则
• 使用 NIST 或其他行业标准清单来验证安全策略和程序
• 实施防火墙规则以阻止恶意 IP 地址
• 使用类型安全的存储过程和预处理语句
• 最小化通过错误消息提供的信息
• 对输入进行清理
  • 检查数据输入的类型、长度、格式和范围
  • 使用转义路由处理特殊输入字符，如（’）

跨站脚本攻击（XSS） - 跨站脚本攻击是另一种网络攻击，攻击者利用网站或网络应用程序的漏洞。SQL 注入攻击的目标是网站的数据库，而 XSS 攻击的目标则是直接访问这些网站的用户。攻击者通过在用户最有可能与之交互的网站上嵌入恶意代码或脚本来实现这一点；最常见的选择是输入字段。一旦被入侵，攻击者将控制受害者的浏览器。他们可以用它来查看浏览历史记录，窃取 cookie，植入木马，远程控制受害者的计算机等。^[38]

我们生活在一个网络安全至关重要的时代。网络犯罪正在成为当今的常态。那么，你为什么认为你会免受网络犯罪的侵害呢？我们建议你记住一些步骤，以保护自己免受常见的网络攻击。那么，让我们回到最初的问题？

如何保护自己免受网络攻击？或者如何保护自己在网上安全？

使用不同的用户 ID/密码组合来访问不同的帐户，并且不要将它们写下来。你可以通过组合字母、数字、特殊字符（总计至少 8 个字符）来创建更复杂的密码，并定期更改密码。

使用密码短语是一个好主意，例如“ILoveFacebookSoMuch”这样的句子很难破解！

你可能不想记住太多网站的太多密码。你可以创建自己的密码格式。例如：yourname(xx)@websitename，其中 xx 是任何 2 位随机数

防火墙的作用正如其名。它监控所有进入和离开你的电脑的流量。如果你的防病毒软件没有包含防火墙，请确保你已“激活”Windows 防火墙。

使用 AES-256 位加密对 ZIP 文件或任何单个文件（例如照片、视频或文档）进行加密只需要 5 分钟。但它可以保护你的个人数据不被泄露。即使这些大公司遇到数据泄露，你也可以安心。如果使用 Windows，请使用 BitLocker 来加密包含重要数据的硬盘驱动器！

你可以使用以下软件来加密你的文件：https://www.aescrypt.com/download/

确保你的社交网络配置文件（例如 Facebook、Twitter、YouTube、Google+ 等）设置为私密。检查你的安全设置。不要在网上发布关于你自己的敏感信息。一旦它出现在互联网上，它将永远存在，你对各种网站的评论可能会在 2 年后出现在 Google 搜索结果中。尝试在 Google 搜索中用双引号搜索你的姓名。例如：http://bfy.tw/mnR

使用最新的安全更新来更新你的应用程序和操作系统（例如 Windows、Mac、Linux）。这些更新不仅仅限于为你的系统添加新功能，还包含针对操作系统中漏洞的安全补丁。保持常用软件/插件（如 Flash Player、Microsoft Office）“最新”，因为它们被广泛使用，黑客总是寻找利用其漏洞的方法。

始终使用安全密码、WPA2 加密等来保护你的 Wi-Fi。不要使用公共 Wi-Fi 进行交易，如果没有正确配置，每个 Wi-Fi 都是脆弱的。

查看并修改默认设置和密码。不要使用公共 Wi-Fi，如果你的个人/办公室笔记本电脑中包含一些个人/秘密信息，它们是脆弱的。避免在这些网络上进行财务或公司交易。

对你的最敏感文件（如纳税申报表或财务记录）使用加密，定期备份所有重要数据，并将它们存储在另一个位置。不要把你的信用卡放在周围，这会诱惑孩子使用它们。

[wpdevart_like_box profile_id=”792637984138412″ connections=” show” width=”300″ height=”150″ header=” small” cover_photo=”show” locale=”en_US”]

注意，你的移动设备容易受到病毒和黑客的攻击。即使你只从“Google Play 商店”下载应用程序，也要注意安全。最糟糕的情况是你的手机摄像头被黑客入侵，黑客可能会窃取他们用你的手机拍摄的照片。

在互联网上提供个人信息（如姓名、号码、地址或财务信息）时要谨慎。确保网站安全并使用 https。地址看起来像这样。

https://127.0.0.1.

https 对涉及财务交易的网站至关重要。这意味着你发送和接收的数据是加密的。

确保你启用了隐私设置（例如，在访问/使用社交网络网站时）。

如果一个网站坚持要存储你的信用卡信息，以便下次交易更快处理，那就不要犹豫！如果你发现这个网站的数据库被泄露到了像 pastebin 或 ghostbin 这样的网站上，你肯定不想看到你的信用卡信息。试着用双引号在谷歌搜索你信用卡的后 6 位或 8 位数字，以确保你的信用卡信息没有在互联网上公开（它可能在暗网上公开）。

不要惊慌！如果你成为受害者，如果你发现任何非法互联网内容（例如儿童色情）或怀疑存在计算机犯罪、身份盗窃或金融诈骗，请向可信的执法机构举报。如果你的个人电脑出现问题，请只向可信的人或认证的技术人员寻求帮助。

不要相信那些提供你从未参与的彩票奖金的电子邮件。同样，不要为那些你没有通过官方渠道进行联系的工作支付费用。不要在线提供你的信用卡号和 CVV 号，除非该网站是安全且信誉良好的网站。有时一个小小的挂锁图标会象征着更高等级的安全性，但它可能只是一个图像。此图标不能保证网站安全，但可能给你一些信心。

启用双重验证。除了输入密码之外，你还需要输入通过短信发送到手机的验证码（如果从非正常设备登录）。所以黑客可能会破解你的密码，盗取你的密码对一些黑客来说可能是一件容易的事，但黑客进入你的安卓手机并读取通过短信发送的 OTP/安全代码可能是一项艰巨的任务。黑客可能会尝试通过社会工程学来获取该代码。但不要将该代码转发给任何人。

弹出窗口是网络安全的另一个挑战，它们可能包含恶意软件，这些恶意软件可以欺骗用户进行验证。如果你下载的软件安装文件大小不能是 1.2 MB。然后你应该检查文件名称和来源。这被称为开车下载。始终忽略那些在电子商务网站上提供诸如网站调查之类的弹出窗口，因为它们有时是恶意代码的来源。

即使采取了这些措施，也要确保你没有被黑客攻击！检查你的信用卡/银行账单。即使只是一笔小额款项被可疑地扣除，也不要忽视它，请举报。这可能是香肠攻击的一部分，在这种攻击中，从数百万人身上窃取少量资金。

分享这些技巧，并在此处评论以添加一些额外的技巧！我们期待将新的技巧添加到这篇文章中。

计算机和互联网为调查人员带来了独特的挑战。网络犯罪缺乏典型犯罪的物理指标、证人以及位置依赖性。证据往往更难获取，也更难与根本原因或责任方联系起来。

对发生犯罪后的调查领域称为取证，因此，在数字媒体上称为网络取证。

网络取证是一个广泛的学科，但调查人员使用许多关键概念。

网络取证中最重要的主题之一是确保证据在调查系统的过程中不会被修改或篡改。现代计算机在后台或用户与系统交互时执行许多活动，因此取证可能会采取步骤以避免更改。^[39]

磁盘镜像用于捕获来自可能与犯罪有关的设备的数据。这些图像的副本被调查以发现证据，以便不修改原始证据。^[39]

证据链确定证据的保管位置、谁使用它以及如何使用它。这很重要，因为它确定证据的修改最少，并显示捕获证据的步骤。这维护了它在法庭上的可采纳性。^[39]

日志或日志记录数据通常是基于文本的文档，列出另一个系统或系统用户在程序中采取的行动。它们通常是为了调试目的而创建或使用，但也包含对数字调查人员有用的数据，因为它们显示了用户在系统中的交互。它们也与网络安全事件响应相关，用于分析攻击的原因。

网络犯罪调查需要对计算机系统有很好的了解，因为日志记录数据通常不会以“用户友好”或简单的格式显示，这些格式描述了用户采取的准确行动。相反，时间线是通过使用系统上记录的较小事件构建的。它还需要典型刑事调查员的技能，例如建立对罪犯可能做了什么假设，以便确定在哪里寻找证据。

数字取证调查人员经常使用专门的工具从计算机系统中提取日志记录数据，例如 FTK Imager 和 Paraben E3。^[39] 这些工具可以显示和分类大量数据，并帮助在大量数据或磁盘镜像中识别有意义的证据。

网络攻击的最佳定义是虚拟实施的攻击，旨在破坏、修改或摧毁计算机系统和/或网络。网络战是一个更广泛的术语，指的是可能由属于特定国家/地区的个人或实体发起的网络攻击或一系列网络攻击，旨在对另一个国家/地区造成损害。网络战目前通常可以分为七 (7) 个不同的类别。这些类别包括间谍活动、破坏、拒绝服务 (DoS)、电网攻击、宣传、经济或意外。近年来，网络战政治战场上出现了一些关键参与者，例如俄罗斯、中国、朝鲜和伊朗等等。许多这类攻击意在削弱其他国家的军队，例如俄罗斯对爱沙尼亚和格鲁吉亚的网络攻击，以及中国、伊朗和朝鲜对美国国防部的攻击。^[40]在其他情况下，这些国家发动网络攻击来破坏其他国家运作和为其公民提供服务的关键基础设施。^[41]以下是网络战的不同类别及其示例。

最早的网络战案例之一是震网蠕虫，该蠕虫由美国和以色列政府于 2005 年开发，并在 2010 年部署到伊朗核设施。该蠕虫极其复杂，至今没有人知道他们是如何将它植入计算机的，因为一切都与外部网络隔离。虽然该蠕虫成功并极大地减缓了伊朗政府在核武器方面的进展，但也打开了潘多拉魔盒，促使其他国家开发蠕虫和其他网络战攻击手段。

DoS 攻击是脚本小子和国家/地区最常见的攻击类型之一，因为使用起来非常容易。可以轻松地编写脚本并使用 bot 对几乎所有连接到互联网的网站或系统执行分布式拒绝服务 (DDoS) 攻击。这可能影响公民访问关键信息或访问重要网站。

这种类型的网络战可能会对经济造成严重破坏，因为股票市场是一个可能的目标。这是许多政府试图保护的领域，因为它会影响每个人的生计和生活方式。2017 年，名为 WannaCry 的重大网络攻击以勒索软件的形式发布，对英国和乌克兰的医疗系统和政府造成了严重破坏，但也影响了全球许多其他组织。勒索软件通过利用未修补的操作系统漏洞攻击微软计算机系统，加密用户计算机并要求付款以进行解密。如果此攻击部署在金融机构服务器上，可能会造成严重影响，因为它会使市场陷入混乱。与经济破坏相关的攻击类型之一是供应链攻击，正如 SolarWinds 事件中发生的那样。

网络间谍活动是指渗透计算机系统和网络，以获取属于国家或实体的机密信息。国家行为者参与网络间谍活动的主要原因有两个：从外国政府提取敏感情报或窃取外国公司的私有数据以获得竞争优势。就前者而言，个人通常会提出这样的论点，即一个国家可能需要进行网络间谍活动以获取有关外国情报的信息，因为存在国家安全问题。例如，预测来自恐怖组织的潜在攻击或发现竞争对手国家的对外政策，对于一个国家在保护自己免受外部威胁方面可能是至关重要的。当然，网络间谍活动也可以出于恶意目的进行。2015 年，一名居住在马来西亚的年轻“伊拉克和黎凡特伊斯兰国”（ISIS）成员因黑入一个包含 1000 多名军人和政府人员信息的数据库而被美国指控。在公共部门之外，国家也可能会将网络间谍活动攻击集中在私营部门的组织上，这被称为经济网络间谍活动。例如，谷歌指控中国窃取其源代码，以便将其用于监视其他组织。在另一案例中，中国人民解放军的成员因黑入美国公司的数据库以窃取可能用于促进中国公司的机密商业秘密而被美国联邦调查局通缉。^[42]

网络战最具争议的方面之一是难以将其归类为传统战争形式。网络战攻击发生在数字世界中，超越了物理边界，这意味着可能难以追溯到协调攻击的特定国家赞助者。此外，与炸弹或子弹等传统武器不同，这些攻击通常不会对平民造成身体伤害。国际战争法没有定义网络战，也没有规定国家/地区应采取何种措施来保护自己并报复参与网络战的其他国家/地区，这导致了国家/地区之间在如何处理这种情况方面存在分歧。^[41]虽然战争通常是指在领土上的军事行动，可能会影响平民生活，但网络战也可以做到这一点。攻击国家的基础设施和组织以获得优势，可能会对平民的生活方式产生重大影响，即使它不会通过武器直接影响人的生命。

传统上，网络攻击的缓解措施一直侧重于保护系统和监控网络流量以发现恶意活动；然而，最近，研究人员认识到，了解激发网络攻击的社会、政治、经济和文化 (SPEC) 冲突可能增强缓解策略。^[43]

政治网络攻击可能由个人行为者、政治团体（例如极端主义团体）或国家/地区实施。这些攻击的动机可能是多种多样且复杂的，但可以分解为基本的类别。内布拉斯加大学的研究人员为非国家/地区实施的政治动机攻击创建了以下类别：抗议政治行动、抗议法律或公开文件以及对与身体暴力有关的行为的愤怒。^[44]

• 抗议政治行动：此类攻击主要包括针对政府、政客、公司或特殊利益集团采取的某些政治行动或立场的攻击。这种攻击的一个常见示例是个人或团体破坏政治候选人的网站，因为他们不同意候选人的政策立场，但这些攻击可能与 1998 年反核活动分子对印度巴巴原子研究中心 (BARC) 的攻击一样严重。
• 抗议法律或公开文件：这类攻击通常是对通过一项不受欢迎的法律的回应。在 1996 年通过《通信规范法》后，几名抗议者反复删除了该法律内容，使其无法在美利坚合众国司法部的网站上访问。
• 针对与人身暴力相关的行为的愤怒： 这是政治动机网络攻击中最大且最常见的类别，与极端主义组织密切相关。 这些攻击的动机是暴力行为——通常由政府实施——目的是报复。 反战抗议者对军事基础设施的攻击，极端组织（如伊斯兰国）对政府基础设施的攻击等都属于此类。 1990 年，中国黑客攻击了美国政府网站，以回应据称对中国大使馆的意外轰炸。

社会动机的网络攻击通常源于社会文化冲突，在文化内部，这种冲突往往源于个人或群体之间对不相容的目标、稀缺资源或权力的竞争。 不同文化之间的冲突——跨文化冲突——例如以色列-巴勒斯坦冲突或台湾-中国冲突也可能引发社会动机的网络攻击^[45]

经济动机的攻击可能是由攻击者的经济状况引起的——与某人因为破产而抢劫加油站的可能性相同——或者由个人、国家或群体对政府或感知到的公司贪婪的沮丧情绪引起的。 前者包括对金融机构的攻击、勒索软件攻击或针对个人消费者银行信息的网络钓鱼，通常旨在利用某种形式的经济利益来攻击者，而后者包括对股票市场、公司和其他全球金融机构的攻击以造成损害。 前者在个人中更为常见，而后者通常由团体或政府实施^[46]。
间谍攻击通常分为政治和经济两类，但往往归入后者。 这些攻击通常由国家实施，目标是其他国家，并收集有用的科学、战略或经济信息。 此类攻击的先前示例包括 2003 年的“泰坦雨”事件，其中中国行动者成功访问了美国和英国的政府数据库，包括美国国家航空航天局，并获取了航空器设计和飞行计划软件^[47]。

攻击造成的停机时间可能会损害企业的生产力、收入、财务业绩并损害公司的声誉。 对业务的影响可能从低到极端。 例如，对业务影响较小的停机时间可能意味着受影响的系统数量最少。 而另一方面，对业务的极端影响则是企业的未来岌岌可危，恢复成本微不足道。 以下是停机成本的清单

• 现金流：如果公司严重依赖计算机系统来执行业务流程，日常现金流将会停止。
• 声誉损失：对于提供关键服务的公司，其服务的停机时间会严重损害其与客户和支持者的关系。
• 股价：长时间停机可能会对公司的股价产生负面影响，尤其是在这种停机时间频繁的情况下。
• 未来收益损失：生产停滞以及不利的声誉会影响潜在客户以及现有客户，进而导致未来收益损失。
• 法律影响：一些公司可能对其服务负有法律和监管责任。 违规可能会无意中导致公司不符合某些法规。
• 行业特定：在某些行业（如医疗保健行业）中，停机时间会影响到患者生命等至关重要的因素。

企业可以执行业务影响分析 (BIA) 来确定和评估攻击情况下的这些风险，并做好更充分的准备。 虽然停机时间可能成为企业的主要优先事项，但接下来的步骤是确保其系统的安全性比以前更强大。 攻击的响应和修复可能会给企业带来高昂的成本。 这是无论攻击是多么重大或轻微。 如果发现任何漏洞，预计这些漏洞将得到缓解。 以下是攻击响应的可能成本的清单

• 雇用第三方企业来识别风险并创建安全协议或可定制的解决方案。
• 定期测试和监控。
• 购买防护软件/硬件（例如防病毒软件）。
• 升级系统或彻底改革流程。

有许多工具可以防止网络犯罪的发生。 防火墙保护公司的网络免受外部入侵，并防止员工访问禁止的网站。 入侵防御系统通过阻止病毒和其他威胁进入网络来防止攻击。 防病毒软件通过扫描病毒特征来防止病毒感染计算机。 为了使防病毒软件有效，它必须是最新的，并在整个企业中统一部署。

这些技术通过根据预定义的安全规则监控和过滤传入和传出流量来帮助防止对网络和系统的未经授权的访问^[48]。

这些工具通过在恶意软件能够造成危害之前检测和删除系统中的恶意软件来帮助防止恶意软件感染。

这些工具采用基于特征的检测和行为检测技术来识别和删除系统中的恶意软件。

• 防病毒软件：扫描已知的恶意软件特征。
• 反恶意软件：检测和中和表现出可疑行为的新型或零日威胁。

严格的访问控制机制对于保护敏感数据和系统至关重要。

用户身份验证机制：在授予访问权限之前验证用户身份的合法性（例如，密码、多因素身份验证 (MFA)、生物识别）。

基于角色的访问控制 (RBAC)：根据用户在组织中的角色限制访问权限。

最小权限原则：为用户授予其特定功能所需的最低访问权限^[49]。

数据加密在保护敏感信息方面发挥着至关重要的作用，包括静止状态（存储在设备上）和传输中（通过网络传输）。

加密算法使用加密密钥对数据进行混淆，使其无法被未经授权的方读取。

网络犯罪分子可以利用软件漏洞来获取对系统的未经授权的访问权限。

强大的补丁管理程序可确保为操作系统和应用程序及时安装安全补丁，从而最大限度地减少攻击者利用这些漏洞的可能性。

教育员工和用户了解网络安全最佳实践是一项重要的预防措施。 培训计划应提高对常见网络威胁的认识^[50]

• 网络钓鱼邮件
• 社会工程学策略
• 恶意软件攻击
• 受过教育的用户可以识别可疑活动，避免成为这些恶意策略的受害者。

入侵防御系统和入侵检测系统是监控系统资源的软件或硬件。它识别来自组织内部或外部的系统可能存在的入侵。入侵系统有三种类型。

• NIDS（网络入侵检测系统）通过网络流量识别入侵并监控多个主机。
• HIDS（基于主机的入侵检测系统）通过查看主机活动来识别入侵。
• SIDS（基于堆栈的入侵系统）检查数据包在通过 TCP/IP 堆栈时的状态。

除了反病毒软件和入侵检测/防御系统之外，还可以使用 SIEM 或系统信息和事件管理工具。SIEM 收集输入和输出安全警报和报告。

SIEM 可用于分析疑似恶意软件事件并验证恶意软件是否在任何事件中使用。重要的是能够识别攻击是否发生以及攻击武器是什么，有了这些信息，人们就可以识别哪些主机被恶意软件感染。这将导致主机进行适当的遏制、根除和恢复操作。 ^[51]

由于其功能，SIEM 帮助完成此过程。SIEM 收集来自各种设备的日志并存储信息。SIEM 通过收集来自网络、安全设备、系统和应用程序的信息，可以提供实时监控和事件管理。

SIEM 的功能

• 日志整合
  • 将所有日志带到服务器进行存储
• 威胁关联
  • AI 可用于对保存的日志进行排序并帮助识别攻击者
• 工作流程
  • 帮助跟踪日志中记录的事件
• 报告
  • 为合规目的提供企业报告 ^[52]

EDR 解决方案专注于监控端点（例如，台式机、笔记本电脑、服务器）以发现可疑活动。 ^[53]

这些工具分析端点行为以发现异常情况，例如

• 非正常的文件访问尝试
• 未经授权的系统修改
• 可疑的网络连接

EDR 可以检测和响应单个设备上的潜在威胁，与传统的基于网络的检测方法相比，提供更精细的安全性。

系统日志记录系统中与安全相关的事件。定期监控和分析这些日志以发现异常或未经授权的活动，可以发现潜在的安全事件。 ^[54]

安全人员可以识别可疑事件，例如

• 登录失败尝试
• 非工作时间的文件修改
• 未经授权的访问尝试

在发生安全漏洞的情况下， ^[55] 取证分析工具对于调查事件至关重要。这些工具使调查人员能够从受损系统中收集和分析数字证据。收集潜在法律诉讼的证据。

取证分析有助于确定

• 攻击的原因和程度
• 攻击者的技术

制定记录的事件响应计划，确保对安全事件的协调和有效响应。 ^[56]

这些计划概述了以下步骤

• 识别
• 包含
• 根除
• 从安全漏洞中恢复

公司的网络是通信和信息共享的工具。然而，它每天都受到专业或新手黑客的攻击，他们试图利用公司信息或数据库来为自己谋取利益。但它不仅被外部个人破坏，有时也可能被公司内部人员破坏。

网络安全中的审计是信息安全合规性的重要衡量标准。审计有助于衡量组织中信息的机密性、完整性和可用性。信息系统审计有助于确保对组织成功至关重要的信息技术的有效、高效、安全和可靠运行。审计将确定信息安全的改进领域。进行审计是为了确保组织已实施控制措施，并且这些措施是有效的。

在任何给定的审计中，审计师都应该充分了解已实施的内部控制措施。这有助于审计师确定他们将进行的测试。审计师应注意可能影响其审计的任何因素。为了进行成功的审计，审计师应该对许多事情有了解。这些包括控制环境、风险评估过程、信息系统、控制活动和内部控制的监控。为了完成安全审计，需要执行许多步骤。例如

1. 定义审计
2. 定义可能的威胁
3. 讨论（访谈）
4. 技术调查
5. 报告演示
6. 审计后行动和建议

自我审计（非正式审计）：每家公司都有几台服务器为公司提供服务。为了监控这些流程，每家公司都会定期制定某种类型的自我审计流程。一些公司拥有软件来监控所有流程，然后注册所有日志以供专业人员日后评估。根据这些审计结果，如果检测到不良或错误事件，甚至可以撤消该事件并锁定发起者的帐户。收集器将每天将所有日志发送到整合器，在那里您可以创建围绕安全事件的众多报告和图表。您也可以将其用于趋势分析。

信息技术审计内部审计的目的是为运营管理提供对运营内部控制的充分性和有效性的独立审查。IT 审计基本上是外部审计，其中将聘请外部审计师执行所有必需的审计操作。这些审计师联系内部审计部门，并将他们的审计要求告知公司。在审计结束时，将与管理层进行口头和书面报告。此时，公司必须计划采取行动以应对报告，或者决定是否愿意承担所涉风险。完成审计并提交报告后，所有相关人员应开会讨论下一步需要采取的步骤，以确保公司资产的安全。

网络安全的新兴趋势和未来展望

这是网络安全领域目前面临的持续挑战和机遇所在。在一个快速发展的、技术不断变化的世界里，出现了新的漏洞，需要同样新的解决方案来进行缓解。这种观点是预防性的，考虑到随着防御机制的最新进展，将来可能会发生什么。让我们看看迄今为止网络安全领域的最新进展，以及未来几年保护我们的数字资产的预告。

网络威胁格局发生的一个关键转变可以通过关注点的变化来定义：从数据泄露和经济利益转向造成业务中断和声誉损害。最近的一项调查表明，大多数受访者现在认为，网络攻击者的行动集中在造成业务中断和声誉损害上。这两个因素现在成为最令人担忧的两个因素，它们引起了人们对新一波网络威胁的关注，这些威胁不仅在数据丢失的情况下带来了挑战。

可能促使攻击者改变策略的一些因素包括：对公司运营的破坏性不亚于甚至比数据盗窃更严重。一次时机恰当的网络攻击可以瘫痪关键系统，使生产线停滞，并导致经济损失。此外，声誉受损可能会对公司造成多年影响。如果敏感的客户数据泄露或品牌信任受到损害，这种网络攻击会导致巨大的业务和客户信任损失。领先的组织正在利用最新、最先进的技术，搭乘数字化转型的浪潮。通过将新技术整合到现有系统中，它们也创造了一把双刃剑。多重价值的机会很有吸引力，但也增加了 IT 环境的复杂性及其对网络风险的脆弱性。事实上，领导者们始终在努力取得适当的平衡，最大限度地利用新技术的优势，最小化相关网络风险。在这里，我们将深入探讨塑造网络犯罪格局的关键新兴趋势，以及它们对未来带来的挑战。

这项工作揭示的另一个趋势是供应链攻击，即攻击者试图破坏提供产品的完整性而对供应链进行的攻击。最近发生的事件，如 SolarWinds 漏洞，证明了这种攻击带来的可怕后果，这些攻击有可能将企业逼到绝境。一组黑客入侵了 SolarWinds 的软件开发流程，SolarWinds 是管理 IT 商店的最大软件供应商之一。通过这种方式，他们成功地在 Orion 平台中植入恶意代码，并随后将其分发给数千名客户，其中包括政府机构和私营公司。在本报告的 2022 年版中，近 40% 的受访公司受到其合作伙伴（例如供应商或客户）的网络攻击的损害。攻击本身就带来了干扰，而且是在公司本身没有成为目标的情况下发生的——它们的伤害就像在别人的网络战争中发生的“附带伤害”。因此，自然而然地，几乎所有受访者都对合作伙伴（特别是那些能够访问其数据的合作伙伴）的网络安全实力感到担忧。供应链风险是各个行业共同关心的问题，它会扰乱关键服务。

该报告还概述了公司利益冲突的可能性。在这种情况下，安全主管 (CISO) 向 IT 主管 (CIO) 报告，而 CIO 可能会在预算方面表现出色。然而，该报告指出，大多数经历过严重网络攻击的 CIO 往往会变得更加注重安全。这可能表明公司整体文化以及高层对网络风险的认可。解决方案可能在于构建正确的激励机制，无论报告线如何。

该报告最后指出，需要更好的网络治理实践，由世界经济论坛和美国企业董事协会等机构制定原则，以使董事会能够管理网络风险。

除了不断变化的数字威胁环境之外，最令人不安的趋势是网络攻击已经证明的复杂性。在不断迭代的过程中，攻击者进一步改进了他们的技术，改进了他们的方法，并突破了这些安全系统，以窃取敏感数据或破坏重要服务。推动这种变化的因素很多：从任何团伙都能使用的强大黑客工具库，到促进网络犯罪分子之间更广泛合作的在线论坛的激增，再到更令人担忧的国家支持的黑客团伙的兴起。

每个人都需要意识到并参与构建良好的安全文化。该研究发现，提高员工对网络威胁存在的认识将是提高网络弹性最具影响力的方面。能够管理网络风险的知情员工队伍，将增强整个组织的安全地位。它呼吁领导者通过追究他们对运营安全措施的责任，进一步授权业务领导者。例如，将安全例外情况要求高级管理人员进行论证，可以转变重视安全的思维方式。一直以来，安全团队在提供洞察力和解决方案方面发挥着至关重要的作用。例如，考虑到 HR 团队使用不安全的附件所面临的漏洞，安全团队可能会推荐诸如安全门户之类的解决方案，以便在这些漏洞造成损害之前堵住漏洞。良好的安全领导包括向其他业务部门提供建议并嵌入网络风险管理实践。优秀的安全领导确保网络安全要求被纳入业务部门的 KPI，以确保在整个组织中执行和激励安全行为。

不断上升的网络安全焦虑：今年，与去年（17%）相比，有更多比例的安全领导对他们组织的网络攻击后恢复感到焦虑。更有趣的是，业务领导对这方面的焦虑，他们在这一类别的担忧从 16% 上升到 27%。业务领导的意识正在提高，这可能是由于他们对网络攻击后果的理解更加深入——从运营损失到业务合作伙伴和声誉损失。

在安全领导和业务领导之间几乎达到同等水平的令人担忧的平行现象中，领导者们受到沟通问题的阻碍。那些能够弥合差距的安全领导是将技术数据转化为业务领导能够理解的清晰且有意义的信息的专家。这种沟通上的困难是由于，除其他因素外，将抽象的网络威胁转化为具体的运营风险的挑战。当然，像“勒索软件”这样简单的词很容易理解，但是很难解释复杂的网络攻击是如何运行的，尤其是针对某些业务资产和资源的攻击。^[57]

1. ↑ Moule, Ryan (February 2017). "Criminal Use of Technology". obo. doi:10.1093/obo/9780195396607-0211. Retrieved 2024-04-23.
2. ↑ Grivna, T (7 December 2019). "Attacks on the confidentiality, integrity and availability of data and computer systems in the criminal case law of the Czech Republic". Digital Investigation.
3. ↑ Dutt, D; Pandley, S; Arora, S; Tripathi, M (2022-05-06). "Need for Cyber Security Tools and Knowledge". International Journal of Research in Engineering, Science and Management.
4. ↑ Ryan, P. S (2004). "战争、和平或僵局：战争游戏、拨号攻击、无线网络攻击和黑客伦理的新兴市场".
5. ↑ Iftikhar, S (2024 年 1 月 15 日). "网络恐怖主义作为全球威胁：对后果和反制措施的回顾".
6. ↑ "GovInfo". www.govinfo.gov. 检索于 2024-04-22.
7. ↑ "身份盗窃和假冒威慑法". 联邦贸易委员会. 2013-08-12. 检索于 2024-04-22.
8. ↑ "GovInfo". www.govinfo.gov. 检索于 2024-04-22.
9. ↑ "美国法典第 15 篇 - 商业和贸易". www.govinfo.gov. 检索于 2024-04-22.
10. ↑ "布达佩斯公约 - 网络犯罪 - www.coe.int". 网络犯罪. 检索于 2024-04-22.
11. ↑ "非洲联盟网络安全和个人数据保护公约". 2024 年 4 月 22 日. {{cite web}}: |first= missing |last= (help)
12. ↑ "英联邦示范法承诺协调应对网络犯罪". 英联邦. 检索于 2024-04-22.
13. ↑ 英联邦民事和刑事司法改革办公室 (2017). 计算机和计算机相关犯罪示范法. 英联邦秘书处.
14. ↑ OEA (2009-08-01). "OEA - 美洲国家组织：为和平、安全和发展而民主". www.oas.org (以西班牙语).. 检索于 2024-04-22.
15. ↑ Tavani, Herman T. 伦理与技术：争议、问题和道德计算策略。Wiley，2016 年。
16. ↑ ^{a b c} 诺里奇大学在线 (2017 年 2 月 13 日). 谁是网络罪犯？从诺里奇大学在线检索：https://online.norwich.edu/academic-programs/resources/who-are-cyber-criminals
17. ↑ ^{a b c d} John, Edwards “十大网络罪犯类型”(2007 年 9 月) 2016 年 4 月 26 日访问 http://www.itsecurity.com/features/top-10-cybercriminals-091007/
18. ↑ https://www.wired.com/2015/01/german-steel-mill-hack-destruction/.
19. ↑ Tripwire Guest (2018 年 12 月 5 日). "什么是网络跟踪以及如何防止它". Tripwire.com.
20. ↑ John Sammons; Michael Cross (2017). "网络跟踪".
21. ↑ Chance Carter (2021 年 11 月 16 日). "报复色情法律现状更新".
22. ↑ Jessica Goldstein (2020 年 10 月 29 日). "'报复色情' 已经司空见惯。大流行加剧了这种情况".
23. ↑ Perry Robinson (2022 年 4 月 5 日). "FBI 警告性勒索骗局，受害者分享恐怖故事".
24. ↑ Nathan Daniels (2022 年 4 月 21 日). "什么是性勒索？如何防止在线敲诈".
25. ↑ https://pubmed.ncbi.nlm.nih.gov/20852011/
26. ↑ https://www.govtech.com/security/Hackers-Vandalize-Minnesota-Government-Websites.html
27. ↑ TLP 白皮书，“恶意软件入门”第 4 页，于 2016 年 4 月 26 日访问 https://www.cert.gov.uk/wp-content/uploads/2014/08/An-introduction-to-malware.pdf
28. ↑ Gunter Ollmann，“网络钓鱼指南”策略 IBM 互联网安全系统第 20 页，于 2016 年 4 月 26 日访问 http://www-935.ibm.com/services/us/iss/pdf/phishing-guide-wp.pdf
29. ↑ “什么是捕鲸？ - 来自 Techopedia 的定义。”Techopedia.com 在 https://www.techopedia.com/definition/28643/whaling/
30. ↑ RockYou 攻击：从坏到更糟 https://techcrunch.com/2009/12/14/rockyou-hack-security-myspace-facebook-passwords/
31. ↑ 《黑客军团》可以教会我们所有人关于安全的知识 https://www.kaspersky.com/blog/mr-robot-safety-tips/19713/
32. ↑ ^{a b} 谷启军和刘鹏，“拒绝服务攻击”德克萨斯州立大学和宾夕法尼亚州立大学第 4 页，于 2016 年 4 月 26 日访问 https://s2.ist.psu.edu/paper/ddos-chap-gu-june-07.pdf
33. ↑ Frankenfield，Jake。“窃听攻击。”Investopedia，Investopedia，2019 年 3 月 12 日 https://www.investopedia.com/terms/e/eavesdropping-attack.asp/
34. ↑ ^{a b} Tom's Guide 员工“Drive-By 下载：它们如何攻击以及如何防御”（2014 年 3 月 6 日）于 2016 年 4 月 25 日访问 http://www.tomsguide.com/us/driveby-download,news-18329.html
35. ↑ “Web 应用程序攻击：它是什么以及如何防御？”Acunetix 在 https://www.acunetix.com/websitesecurity/web-application-attack/
36. ↑ “SQL 注入：漏洞以及如何防止 SQL 注入攻击。”Veracode，2019 年 4 月 25 日，在 https://www.veracode.com/security/sql-injection/
37. ↑ US-CERT。“SQL 注入” (PDF).
38. ↑ “跨站脚本 (XSS) 教程：了解 XSS 漏洞、注入以及如何防止攻击。”Veracode，2019 年 4 月 18 日 https://www.veracode.com/security/xss/
39. ↑ ^{a b c d} Easttom (2022). 数字取证、调查和响应. Jones & Bartlett 学习。
40. ↑ Randall Dipert (2010). “网络战的伦理”. 军事伦理杂志。
41. ↑ ^{a b} Maxwell Montgomery (2019). “国际法下的网络战扩散：具有具体后果的虚拟攻击” (PDF).
42. ↑ William Banks (2017). “网络间谍活动和电子监控：超越媒体报道”. {{cite journal}}: Cite journal requires |journal= (help)
43. ↑ Kumar，Sumeet。“理解网络攻击背后的动机的途径。”卡内基梅隆大学电气与计算机工程系，2013 年。于 2020 年 4 月 26 日访问 http://casos.cs.cmu.edu/publications/papers/2016ApproachestoUnderstanding.pdf。 无效的 <ref> 标签；名称“kumar”定义多次且内容不同
44. ↑ Ghandi 等人。“网络攻击的维度：文化、社会、经济和政治。”内布拉斯加大学，2011 年 3 月 7 日。于 2020 年 4 月 26 日访问 https://www.academia.edu/21848823/Dimensions_of_Cyber-Attacks_Cultural_Social_Economic_and_Political。 无效的 <ref> 标签；名称“ghandi”定义多次且内容不同
45. ↑ Ghandi 等人。“网络攻击的维度：文化、社会、经济和政治。”内布拉斯加大学，2011 年 3 月 7 日。于 2020 年 4 月 26 日访问 https://www.academia.edu/21848823/Dimensions_of_Cyber-Attacks_Cultural_Social_Economic_and_Political.
46. ↑ Konraadt 等人。“网络钓鱼：对网络犯罪实施者的经济分析。”计算机与安全，第 58 卷，2016 年 5 月。于 2020 年 4 月 26 日访问 https://www.sciencedirect.com/science/article/pii/S0167404815001844。 无效的 <ref> 标签；名称“konraadt”定义多次且内容不同
47. ↑ “泰坦雨。”外交关系委员会。于 2020 年 4 月 26 日访问 https://www.cfr.org/interactive/cyber-operations/titan-rain.
48. ↑ “什么是入侵防御系统 (IPS)？| IBM”. www.ibm.com. Retrieved 2024-04-22.
49. ↑ Marvin，Michael (2023-10-12). “保护您的数字生态系统：访问控制在网络安全中的作用”. Portnox. Retrieved 2024-04-22.
50. ↑ “网络安全意识培训的重要性”. www.elev8me.com. 2023-07-31. Retrieved 2024-04-22.
51. ↑ Souppaya，Murugiah (2013 年 7 月). “台式机和笔记本电脑恶意软件事件预防和处理指南” (PDF). {{cite web}}: More than one of |first1= and |first= specified (help); More than one of |last1= and |last= specified (help)
52. ↑ Zope，Anita；Vidhate，Amarsinh (2013 年 4 月). “安全信息和事件管理中的数据挖掘方法” (PDF). {{cite web}}: |first3= missing |last3= (help); line feed character in |title= at position 55 (help)
53. ↑ "什么是 EDR？端点检测和响应定义". crowdstrike.com. 检索于 2024-04-22.
54. ↑ Kent, Karen. "计算机安全日志管理指南" (PDF). NIST.
55. ↑ "什么是数字取证和事件响应 (DFIR)？". fieldeffect.com. 检索于 2024-04-22.
56. ↑ "事件响应计划：如何构建、示例、模板". Security. 检索于 2024-04-22.
57. ↑ "全球网络安全展望 2023". 世界经济论坛.

<ref> 标签在 <references> 中定义，但没有 name 属性。^{[1] [2] [3] [4] [5] [6] [7] [8]}

1. ↑ 恶意软件 101：什么是病毒？在 https://us.norton.com/internetsecurity-malware-what-is-a-computer-virus.html
2. ↑ 计算机蠕虫，Margaret Rouse 计算机蠕虫？在 https://searchsecurity.techtarget.com/definition/worm
3. ↑ 特洛伊木马，Margaret Rouse-特洛伊木马 在 https://searchsecurity.techtarget.com/definition/Trojan-horse
4. ↑ 中间人攻击 (MITM)，在 https://www.incapsula.com/web-application-security/man-in-the-middle-mitm.html
5. ↑ DDoS，分布式拒绝服务 (DDoS) 在 https://www.incapsula.com/ddos/denial-of-service.html
6. ↑ 勒索软件，勒索软件 - 到底是怎么回事？在 https://www.malwarebytes.com/ransomware/
7. ↑ RockYou 黑客攻击：从坏到更糟 在 https://techcrunch.com/2009/12/14/rockyou-hack-security-myspace-facebook-passwords/
8. ↑ 《黑客军团》能教会我们关于安全的一切 在 https://www.kaspersky.com/blog/mr-robot-safety-tips/19713/