7-3 駭客入侵
「駭客」是什麼人?他們可不是電影「駭客任務」中的人物,而是現實世界中的電腦犯罪者。以下介紹駭客常用的攻擊手法,以及防範駭客入侵的措施。
7-3.1 駭客攻擊的手法
駭客(hacker)通常具有相當豐富的電腦知識,犯罪者動機很多,如挾怨報復、為了獲取不法利益,或是為了證明自己的功力等。以下介紹幾種駭客常用的攻擊手法:
●擅自入侵他人網站:入侵他人網站,竊取或篡改網站內容,或在網站中植入病毒,企圖使他人在開啟遭「下毒」的網頁時即感染惡意程式。
●偽造假網站騙取資料:偽造與知名網站一模一樣的假網站,誘使民眾在假網站中輸入帳號密碼(俗稱「網路釣魚」)。
●散布惡意程式:製作並散布惡意軟體(如特洛伊木馬程式),以炫耀自己的電腦能力,或竊取他人的私密資料,以獲取不法的利益。
●字典攻擊法:駭客蒐集常用來作為密碼的字串,做成「字典」檔,再利用程式依序地從「字典」檔中讀取這些字串,以嘗試找出正確的密碼,目的是要從事竊取個人資料、冒用身分…等不法行為。許多網站要求登入帳號密碼時,還需要輸入圖形驗證碼,即是為了防範字典攻擊法。
▼圖形驗證碼
●鍵盤側錄:駭客在使用者電腦中植入「鍵盤側錄程式」,記錄使用者所輸入的帳號、密碼,再利用竊得的帳號密碼來進行不法行為。因此部分網站為了防止這類鍵盤側錄程式,會使用「螢幕虛擬鍵盤」,讓使用者以滑鼠點按的方式來輸入密碼。
▼螢幕虛擬鍵盤
●阻斷服務(Denial of Service, Dos)攻擊:藉由不斷地發送大量訊息,使被攻擊的網站癱瘓,而無法提供服務。
▼阻斷服務攻擊
●BotNet攻擊:駭客透過網路散布具有遠端遙控功能的惡意軟體,電腦遭到感染後,就會成為駭客手下的殭屍電腦。駭客常集結大量的殭屍電腦,來構成殭屍網路(BotNet),以進行濫發垃圾郵件、竊取他人個人資料等不法行為。
▼BotNet攻擊
7-3.2 駭客入侵的防範措施
你知道一台沒有防護的電腦,在駭客眼中就像一頭肥羊嗎?如果同學以為自己的電腦不會被駭客「看上」,那可就太樂觀了。要防範駭客的入侵,我們可以從安裝防火牆及養成良好的電腦使用習慣等方面來著手。
安裝防火牆
防火牆(firewall)是一種可以用來過濾資料來源,以維護內部網路安全的軟體或硬體設備;它的運作原理類似於在使用者的電腦與網際網路之間建立一道防衛的城牆,讓駭客無法直接存取使用者電腦中的資料。
▼防火牆的運作示意圖
養成良好的電腦使用習慣
為避免駭客入侵,除了安裝防火牆之外,還須養成下列良好的電腦使用習慣:
●配合軟體公司所發布的更新訊息,下載並安裝修補程式。
●遵照以下原則,設定及管理密碼:
■至少8個字元以上。
■宜混和使用英文、數字、符號,避免使用“1111”、“1234”等簡單好記的懶人密碼。
■避免使用個人相關的資料(如生日)作為密碼。
■不定期更換密碼,且勿隨意透漏自己的密碼。
●為避免駭客入侵竊取硬碟中的資料,機密資料最好儲存在隨身碟或光碟中。
●若需要在網站中登入帳號、密碼等私密資料,應確認網址是否正確,例如政府網站的網址類別應為gov,公司行號應為com,以避免落入網路釣魚的陷阱。
●若要在網站中註冊會員、登入帳號或網路下單,應選擇較知名的網站,及使用SSL安全規範的網站,以確保資料傳輸的安全。
▼使用SSL安全規範的網站
●公用電腦容易遭受電腦病毒感染,我們應避免使用公用電腦進行線上交易,以免私密資料外洩。若必須在公用電腦中輸入帳號密碼,務必在離開前,刪除儲存在電腦中的cookie檔案與帳號密碼等資料。
▼刪除cookie檔案
