信息技术与伦理/网络犯罪 I

计算机攻击类型

病毒是计算机编程代码的一部分，它会导致计算机以不希望的方式运行。病毒可以附加到文件或存储在计算机内存中。病毒可以被编程为在下载或被特定操作激活时执行不同的操作，例如附加到文件的病毒会感染该计算机以及在该机器上创建或修改的任何文件。病毒也可以被编程为在执行某些操作以执行病毒时显示一条消息。蠕虫就像病毒一样，它们会将自己埋藏在机器的内存中，然后在任何帮助的帮助下复制自己。它可以通过电子邮件和其他连接将自己发送出去。网络钓鱼是指黑客试图从互联网用户那里获取财务或其他机密信息，通常是通过发送看起来像是来自合法组织（通常是金融机构）的电子邮件，但包含指向复制真实网站的假网站的链接。这些骗子敦促此类电子邮件的接收者采取行动以获得奖励或避免后果。黑客可能会利用易受攻击的计算机系统中的后门，这使他们能够在访问重要信息时保持不被察觉。键盘记录程序允许攻击者在不被察觉的情况下查看记录到特定机器的信息。僵尸网络是一组分布在世界各地的连接到互联网的计算机，它们由一台计算机控制。

恶意软件

恶意软件是指从计算机中传播并干扰计算机操作的恶意软件。恶意软件可能是破坏性的，例如删除文件或导致系统“崩溃”，但也可能被用来窃取个人数据。

恶意软件形式

病毒：是最容易理解的恶意软件类型之一。它们会导致轻微的计算机故障，但也可能导致更严重的影响，例如损坏或删除硬件、软件或文件。它们是自我复制程序，在计算机内部和之间传播。 ^[1]它们需要一个主机（例如，文档、圆圈或电子表格）作为“载体”在计算机中运行，但如果没有人类活动运行或打开受感染的记录，它们就无法感染计算机。
蠕虫：也是自我复制程序，但它们可以在计算机内部和之间独立传播，不需要主机或任何人类活动。因此，蠕虫的影响可能比病毒更严重，造成整个网络的破坏。蠕虫还可以用于在网络框架上投放木马。 ^[2]
木马：是一种恶意软件，它看起来像真正的程序，但可以促进对计算机的非法访问。它们可以在没有用户知情的情况下执行功能（例如，窃取信息），并且可能会通过执行正常任务来欺骗用户，而实际上执行隐藏的、未经授权的操作。
间谍软件：是一种通过从受感染的系统收集敏感或个人数据并监控用户访问的网站来攻击用户安全性的程序。然后，这些数据可能会被传输给第三方。间谍软件有时会隐藏在广告软件（免费且通常不受欢迎的软件，需要您观看广告才能使用它）中。间谍软件的一个例子是键盘记录程序，它会捕获和记录在计算机上输入的按键，从而能够收集敏感信息（如密码或帐户详细信息）。另一种间谍软件会捕获受害者计算机的屏幕截图。间谍软件被认为是最危险的恶意软件类型之一，因为它的目标只是攻击隐私。

网络钓鱼

网络钓鱼攻击在电子邮件、社交软件、网站、便携式存储设备和手机等渠道有多种形式。有几种不同的方法试图引导用户访问虚假网站

网络钓鱼攻击类型

垃圾邮件，欺骗性电子邮件，它会分散客户注意力，使其看起来像银行电子邮件或任何金融机构的电子邮件。
恶意用户画像，上述方法的定向版本：网络罪犯利用使用电子邮件地址进行用户注册或秘密密钥提醒的网站，并将网络钓鱼技巧指向特定用户（要求他们确认密码等）。引入一个修改 hosts 文件的木马，以便当受害者尝试浏览到他们的银行网站时，他们会被重定向到虚假网站。
“鱼叉式钓鱼”，针对特定组织的攻击，其中网络钓鱼者只需询问一名员工的详细信息，并利用这些信息获得对网络其他部分的更广泛访问权限。 ^[3]
传统的网络钓鱼攻击类型并非所有网络钓鱼攻击都以刚刚描述的方式运作。
“石鱼”团伙3已经调整了他们的攻击策略，以逃避检测并最大限度地提高网络钓鱼网站的可访问性。他们在包含冗余以应对撤销请求的同时，将攻击元素分离出来。该团伙首先购买了一些具有简短、通常毫无意义的名称的域名，例如，lof80.info。垃圾邮件然后包含一个长 URL，例如，http://www.bank.com.id123.lof80.info/vr，其中 URL 的主要部分旨在使该网站看起来真实，并且可以使用机制（例如，`通配符 DNS`）将每个这样的变体解析为特定的 IP 地址。然后，它根据团伙控制的名称服务器，将每个域名映射到一组受感染的动态机器。每台受感染的机器都运行一个中间系统，该系统将请求转发到后端服务器系统。该服务器加载了大量的（一次最多 20 个）假银行网站，所有这些网站都可以从任何石鱼机器访问。但是，访问哪个银行网站完全取决于 URL 路径，在主“/”之后。（由于该组使用代理，因此持有所有网页并收集被盗数据的真实服务器可以位于任何地方。）
鲸鱼钓鱼是一种鱼叉式钓鱼，攻击目标是公司或组织中的高知名度人物。这些个人通常是 CEO、CFO、COO 等，因为他们拥有敏感信息，一旦被盗，就会被用于恶意目的，例如勒索 ^[4]。

密码攻击

密码攻击顾名思义，是指外部实体试图通过破解或猜测用户的密码来获取对任何特定系统的访问权限。在当今世界，这类攻击十分普遍，因为可以使用弱密码和容易猜到的密码，以及暴力破解等方法，市场上有大量高性能计算机可提供强大的处理能力。这种类型的攻击无需在用户系统上运行任何恶意软件或代码。攻击者使用自己的计算机，借助软件和方法来破解最终用户的密码，从而获得其安全帐户的访问权限。

密码攻击的类型

猜测

尽管可能存在多种方法和手段用于破解密码并突破系统中可能存在的漏洞，但最简单、最非技术性的方法，同时也是证明有效的突破任何访问控制机制的方法，就是猜测最常用的密码。对许多用户而言，密码更像是一种难以记住的东西，而不是安全问题。因此，大多数此类用户会使用容易记住的密码，比如他们的出生日期、妻子/丈夫的名字、宠物的名字、与用户名相同的密码，甚至“password”。所有这些条目或相关条目都是密码猜测技术的易攻击目标。需要注意的是，这种技术只有在攻击者了解目标的某些信息或目标非常知名的情况下才会有效。这使得攻击者能够利用一些常用的猜测来入侵目标的帐户。还要记住，当攻击者突破一个帐户后，受害者经常会使用相同的登录凭据访问多个帐户，因此攻击者也可能会获得这些帐户的访问权限。

字典攻击

字典攻击基于一个假设，即大多数帐户中使用的密码都是一组给定数字（如出生日期等）以及地址、姓名、宠物的名字、孩子的名字等的排列组合。字典攻击的工作原理是，从给定的字符和数字字典中选择单词，并使用代码将其组合成各种组合，然后尝试获取相应帐户的访问权限。^[5] 问题在于，字典攻击与其他密码攻击不同，它只能从给定的字典中选择值并以多种方式排列/重新排列它们来破解密码。好的一面是，即使密码中的一个字符不在字典中，这种攻击也注定会失败。但是，由于单词字典有限，攻击速度很快。

暴力破解攻击

暴力破解攻击是最不受欢迎的密码攻击类型，原因很简单，它们效率低下。暴力破解攻击基本上从头开始检查所有可能的排列组合。因此，这种类型的攻击需要大量时间和处理能力。此外，现今大多数机制都足够智能，能够在暴力破解攻击进行时提醒用户，因为它必须检查所有错误选项才能达到目标值。当密码长度小于或等于 4 个字符时，这些攻击仍然值得考虑。但是，当密码的最大长度增加时，情况就会变得难以控制。为了说明问题，假设只允许字母字符（全部大写或全部小写），则需要 267（8,031,810,176）次猜测。^[6] 此外，在这些情况下，还会假设密码的长度是否已知。其他可能导致结果改变和复杂度增加的约束条件包括：是否允许使用数字值，是否区分大小写，是否允许使用特殊字符等。从好的方面来看，暴力破解攻击的工作方式保证它最终会找到密码，虽然何时找到尚不清楚。

窃听攻击

窃听攻击是指攻击者在受害者敏感数据从受害者设备传输到预期目标的途中拦截受害者的网络流量。这通常通过监控受害者连接到弱加密或未加密网络（如公共 Wi-Fi 热点）时的网络流量的软件来实现 ^[7]。

网络攻击

更广为人知的是 Web 应用程序攻击，攻击者利用网站代码的漏洞，通过多种方法从网站数据库窃取个人或敏感信息 ^[8]。

网络攻击的类型

SQL 注入

SQL（结构化查询语言）用于编程，允许用户创建、操作和删除数据库。攻击者通常会尝试利用具有数据输入字段、Web 表单甚至搜索栏的网站。正常用户通常会在输入字段中输入他们的姓名、电话号码或身份证号码，而攻击者则使用相同的输入字段，并尝试通过输入 SQL 提示或查询来访问网站的数据库。如果输入字段未经过适当测试，则攻击者可以执行特定的 SQL 命令来检索、更改或删除被入侵数据库中的任何信息 ^[9]。

跨站点脚本 (XSS)

跨站点脚本是另一种网络攻击，攻击者利用网站或 Web 应用程序的漏洞。SQL 注入攻击针对网站的数据库，而 XSS 攻击则直接针对访问这些网站的用户。攻击者通过在用户最有可能与之交互的网站上嵌入恶意代码或脚本来实现这一点；最常见的选择是输入字段。一旦被入侵，攻击者将控制受害者的浏览器。利用浏览器，他们可以查看浏览历史记录，窃取 cookie，植入木马，远程控制受害者的计算机等 ^[10]。

拒绝服务 (DoS) 攻击

拒绝服务 (DoS) 攻击阻止授权用户访问系统，主要是通过向现有系统发送大量无意义数据/请求，导致系统阻塞。这种攻击本质上是用服务器无法预料的大量数据包来淹没系统，导致系统速度变慢或阻塞。^[11] 这会导致互联网连接速度变慢，从而阻碍授权用户访问关键数据，如电子邮件或通过 FTP 访问的文件等。这会导致时间和金钱的巨大损失。此类攻击很少用于入侵授权用户的系统，但有些情况下，此类 DoS 攻击被用来锁定网络并获取对易受攻击的防火墙的访问权限。这些攻击很难识别，因为它们很容易与互联网连接速度变慢等混淆，并且可能持续存在于环境中长达数月之久。

除了常规的 DoS 攻击之外，还有一种名为分布式拒绝服务 (DDoS) 的 DoS 攻击。这种攻击与常规 DoS 攻击非常相似，它们也通过向目标发送大量数据包来减慢系统速度。但基本的区别在于，DDoS 攻击效率更高、危害更大，因为它们是从整个受影响的网络运行，而不是单个受影响的用户。因此，对于任何系统而言，DDoS 攻击都非常难以躲避，因为来自多个来源的数据同时传入。

驱动下载

“Drive-by 下载”一词让我们了解到，当用户仅仅点击了一个运行恶意代码的网站时，恶意软件是如何感染整个系统的。恶意软件感染系统有多个阶段。第一个阶段称为入口点，如上所述。第二阶段称为分发，一些最受信赖的网站会被入侵并重定向到黑客控制的网站。第三阶段称为利用阶段，浏览器会屈服于利用工具包，让黑客了解到易于攻击的安全漏洞。接下来的阶段是感染阶段，黑客已经清楚地了解了漏洞点，它会下载有效载荷包，并将其安装到计算机中。最后阶段是执行下载的程序，该程序旨在为幕后主使赚钱。

安全措施

我们可以通过以下三件事来防御此类利用和感染。首先是为用户设置帐户，其中将概述有限的访问权限，不允许修改应用程序或操作系统。为了安装、删除或更新任何软件，必须有单独的管理员帐户来进行更改，并且此帐户不能用于上网或阅读电子邮件。其次，应自动安装操作系统的更新，并且每次都应打开防火墙。最后，应该安装健壮的防病毒软件产品，该产品可以及时更新并进行适当的扫描。

网络犯罪分子类型

脚本小子

这类黑客可能是任何受幼稚冲动驱使，想要成为黑客的人。他们技术知识较少，急于运行预编译的脚本，以便在软件中造成干扰。他们缺乏理解软件本来应该做什么的技术专业知识，这使得他们可以入侵安全性非常低的系统。

诈骗者

这些是我们经常遇到的日常诈骗邮件。无论何时登录到我们的邮箱收件箱，我们可能都会收到更多来自诈骗者的电子邮件，这些电子邮件提供各种优惠旅行或药物、分时度假或个人广告的提案。

垃圾邮件发送者

他们不是直接的罪犯，而是犯了浪费时间罪。垃圾邮件发送者用广告和所有可能的胡言乱语淹没了电子邮件收件箱。他们本身并不危险，但总被认为是令人厌烦且浪费时间的。垃圾邮件发送者甚至通过引入安装昂贵且不稳定的反垃圾邮件技术的必要性，给人们带来了真正的经济成本。

黑客行动组织

他们通常被称为“黑客行动主义者”。他们可以被认为是试图证明其破坏性行为的小偷小摸的罪犯，他们在其中窃取机密信息并将其公开发布。他们通常匿名工作，并负责创建使黑客入侵更容易的工具。

网络钓鱼者

这类活动最突出的例子是我们收到关于账户即将过期的通知，并需要更新信息。事实上并非如此。这都是网络钓鱼者提取个人信息或身份的活动。一项关于此问题的调查表明，每月都会发现大约 20,000 到 30,000 个网络钓鱼网站。

政治/宗教/商业团体

这些团体可以归类为那些不以经济利益为目标的团体。他们通常的目标是开发恶意软件来获得政治上的成功。Stuxnet 就是这类恶意软件的最佳例子之一！这种恶意软件是在伊朗的原子计划中发现的，但据信它起源于某个外国政府。这些恶意软件不能被认为是无害的，因为它们会对政治、宗教或商业层面的利益造成损失。

职业网络犯罪分子

这类人是最危险的，因为他们拥有适当的技术专业知识，知道他们想要伤害什么以及如何伤害。这是一个由将自己变成网络犯罪分子的技术人员组成的群体。他们对政府、金融机构或电子商务企业造成的损失最大。与其他罪犯相比，他们可能要对更多犯罪负责。

攻击原因

网络、计算机、操作系统、应用程序和其他技术的复杂性相互关联，并由许多代码行驱动。随着连接设备的增多，后门的数量也会增加。无法跟上技术变化的步伐，导致 IT 专业人员难以快速找到解决问题的方案。依赖于存在已知漏洞的产品，允许在程序员能够创建补丁之前进入网络和个人计算机。

对业务的影响

修复被攻击的网络所需的停机时间可能会损害企业的生产力、收入、财务业绩并损害公司的声誉。对企业的冲击可能从轻微到极端不等。例如，对企业影响较小的停机时间可能意味着受影响的系统数量最少。而另一方面，对企业造成极端影响的停机时间可能会危及公司的未来，而恢复成本是微不足道的。以下列出了停机成本。

直接损失
未来收益损失
收入计费损失
现金流
股票价格
加班费
声誉损失

预防和检测

预防

防火墙保护公司网络免受外部入侵，并防止员工访问禁止的网站。入侵防御系统通过阻止病毒和其他威胁进入网络来防止攻击。防病毒软件通过扫描病毒特征来防止病毒感染计算机。为了使防病毒软件有效，它必须是最新的，并在整个企业中统一部署。

检测

入侵防御系统是软件或硬件，它监控系统资源，识别来自组织内部或外部的系统入侵。有三种类型的入侵系统。

NIDS（网络入侵检测系统）通过网络流量识别入侵并监控多个主机。
HIDS（基于主机的入侵检测系统）通过查看主机活动识别入侵。
SIDS（基于堆栈的入侵系统）在数据包通过 TCP/IP 堆栈时对其进行检查。

安全审计

公司网络是沟通和信息共享的工具。然而，它每天都受到专业或新手黑客的攻击，他们试图利用公司信息或数据库来谋取私利。但这不仅会被外部人员破坏，有时也会被公司内部的人员破坏。在执行审计时，您将使用组织的任何安全策略作为您所进行工作的基础。您需要最初将该策略视为威胁。安全审计是对现有站点程序和做法的基于策略的监控，以及评估这些行动所带来的风险。为了完成安全审计，需要执行许多步骤。例如

准备
审查策略和文档
讨论（访谈）
技术调查
报告演示
审计后行动

为了解决与公司网络安全相关的问题，审计是公司需要采取的众多措施之一。

审计类型

自我审计（非正式审计）：每家公司都有几台服务器为公司提供服务。为了监控这些流程，每家公司都会制定某种类型的自我审计流程，以便定期执行。一些公司拥有监控所有流程的软件，然后注册所有日志以供专业人员稍后评估。根据这些审计结果，如果检测到错误的事件或不正确的事件，您甚至可以撤销该事件并将发起者的帐户事件锁定。收集器将每天将所有日志发送到一个合并器，您可以在其中创建许多关于安全事件的报告和图表。您还可以将其用于趋势分析。

信息技术审计（正式 IT 审计；正式审计主要由 KPMG、德勤和其他审计公司等公司进行）：内部审计的目的是为运营管理提供对运营内部控制的充分性和有效性的独立审查。 ^[12] IT 审计基本上是外部审计，其中将聘请外部审计师来执行所有必要的审计操作。这些审计师联系内部审计部门，并将他们的审计要求告知公司。在审计结束时，通常会与管理层进行口头报告，并附有书面报告。此时，公司必须计划采取行动以应对报告，或决定是否愿意承担所涉及的风险。审计完成后并提交报告后，所有相关人员应会面讨论由此产生的行动事项，以及需要采取哪些步骤来解决这些问题。 ^[13]

参考资料

↑ 匿名，“恶意软件”布朗大学第 2 页，于 2016 年 4 月 25 日访问 http://cs.brown.edu/cgc/net.secbook/se01/handouts/Ch04-Malware.pdf
↑ TLP White，“恶意软件简介”第 4 页，于 2016 年 4 月 26 日访问 https://www.cert.gov.uk/wp-content/uploads/2014/08/An-introduction-to-malware.pdf
↑ Gunter Ollmann，“网络钓鱼指南”战略 IBM Internet Security Systems 第 20 页，于 2016 年 4 月 26 日访问 http://www-935.ibm.com/services/us/iss/pdf/phishing-guide-wp.pdf
↑ “什么是网络钓鱼？ - 来自 Techopedia 的定义。”（2019 年）。在Techopedia.com中。于 2019 年 4 月 29 日检索。
↑ Sam Martin 和 Mark Tokutomi，“密码破解”亚利桑那大学第 5 页，于 2016 年 4 月 26 日访问 http://www.cs.arizona.edu/~collberg/Teaching/466-566/2012/Resources/presentations/2012/topic7-final/report.pdf
↑ Will，Mitchell，“密码破解”丹佛大学，计算机科学训练营，于 2016 年 4 月 25 日访问 http://web.cs.du.edu/~mitchell/forensics/information/pass_crack.html
↑ Frankenfield，Jake。（2019 年）。“窃听攻击。”在Investopedia.com中。于 2019 年 4 月 29 日检索。
↑ “Web 应用程序攻击：它是什么以及如何防御？”（2019 年）。在Acunetix.com中。于 2019 年 4 月 29 日检索。
↑ “SQL 注入：漏洞以及如何防止 SQL 注入攻击。”（2019 年）。在Veracode.com中。于 2019 年 4 月 29 日检索。
↑ “跨站点脚本 (XSS) 教程：了解 XSS 漏洞、注入以及如何防止攻击。”（2019 年）。在Veracode.com中。于 2019 年 4 月 29 日检索。
↑ Qijun Gu 和 Peng Liu，“拒绝服务攻击”德克萨斯州立大学和宾夕法尼亚州立大学第 4 页，于 2016 年 4 月 26 日访问 https://s2.ist.psu.edu/paper/ddos-chap-gu-june-07.pdf
↑ Page，Pam“安全审计：一个持续的过程”SANS Institute InfoSec 阅读室2003 年 5 月 24 日，于 2013 年 7 月 30 日访问 http://www.sans.org/reading_room/whitepapers/auditing/security-auditing-continuous-process_1150
↑ Kapp，Justin“如何进行安全审计”PC 网络顾问第 120 期（2000 年 7 月）第 3 页，于 2013 年 7 月 30 日访问 http://png.techsupportalert.com/pdf/t04123.pdf

[Annon-1] 匿名，“恶意软件”布朗大学第 2 页，于 2016 年 4 月 25 日访问 http://cs.brown.edu/cgc/net.secbook/se01/handouts/Ch04-Malware.pdf

[TLP-2] TLP White，“恶意软件简介”第 4 页，于 2016 年 4 月 26 日访问 https://www.cert.gov.uk/wp-content/uploads/2014/08/An-introduction-to-malware.pdf

[Gunter-3] Gunter Ollmann，“网络钓鱼指南”战略 IBM Internet Security Systems 第 20 页，于 2016 年 4 月 26 日访问 http://www-935.ibm.com/services/us/iss/pdf/phishing-guide-wp.pdf

[4] “什么是网络钓鱼？ - 来自 Techopedia 的定义。”（2019 年）。在Techopedia.com中。于 2019 年 4 月 29 日检索。

[Sam-5] Sam Martin 和 Mark Tokutomi，“密码破解”亚利桑那大学第 5 页，于 2016 年 4 月 26 日访问 http://www.cs.arizona.edu/~collberg/Teaching/466-566/2012/Resources/presentations/2012/topic7-final/report.pdf

[Will-6] Will，Mitchell，“密码破解”丹佛大学，计算机科学训练营，于 2016 年 4 月 25 日访问 http://web.cs.du.edu/~mitchell/forensics/information/pass_crack.html

[7] Frankenfield，Jake。（2019 年）。“窃听攻击。”在Investopedia.com中。于 2019 年 4 月 29 日检索。

[8] “Web 应用程序攻击：它是什么以及如何防御？”（2019 年）。在Acunetix.com中。于 2019 年 4 月 29 日检索。

[9] “SQL 注入：漏洞以及如何防止 SQL 注入攻击。”（2019 年）。在Veracode.com中。于 2019 年 4 月 29 日检索。

[10] “跨站点脚本 (XSS) 教程：了解 XSS 漏洞、注入以及如何防止攻击。”（2019 年）。在Veracode.com中。于 2019 年 4 月 29 日检索。

[Qijun-11] Qijun Gu 和 Peng Liu，“拒绝服务攻击”德克萨斯州立大学和宾夕法尼亚州立大学第 4 页，于 2016 年 4 月 26 日访问 https://s2.ist.psu.edu/paper/ddos-chap-gu-june-07.pdf

[page-12] Page，Pam“安全审计：一个持续的过程”SANS Institute InfoSec 阅读室2003 年 5 月 24 日，于 2013 年 7 月 30 日访问 http://www.sans.org/reading_room/whitepapers/auditing/security-auditing-continuous-process_1150

[kapp-13] Kapp，Justin“如何进行安全审计”PC 网络顾问第 120 期（2000 年 7 月）第 3 页，于 2013 年 7 月 30 日访问 http://png.techsupportalert.com/pdf/t04123.pdf

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]