常見的網路攻擊 (Common Cyber Attacks)

1. 惡意軟體 (Malware)

這是個大傘，底下包含了很多種有害的程式，它們會偷偷溜進你的電腦或網路，搞破壞。

• 病毒 (Virus): 💻
• • 比喻： 就像生物病毒，需要依附在其他程式（宿主）上才能傳播。當你執行帶有病毒的程式時，病毒就會啟動並感染其他檔案。
  • 行為： 破壞檔案、佔用系統資源、偷取資料。
  • 例子： 過去常見的 .exe 檔病毒，點擊後會感染你的電腦。
• 蠕蟲 (Worm):
• • 比喻： 像蚯蚓一樣，不需要依附在宿主上，可以獨立地在網路中自我複製和傳播。它們利用網路漏洞，自己找到其他電腦感染。
  • 行為： 快速消耗網路頻寬、造成系統崩潰、成為殭屍網路的一員。
  • 例子： 著名的 Code Red 蠕蟲，在網路上快速傳播，影響大量伺服器。
• 木馬程式 (Trojan Horse):
• • 比喻： 就像古希臘的木馬屠城記。它偽裝成一個看似有用或無害的軟體（例如免費遊戲、工具程式），但背後卻隱藏著惡意的程式碼。
  • 行為： 開啟後門（讓駭客遠端控制你的電腦）、竊取敏感資料（密碼、銀行資訊）、傳送垃圾郵件。
  • 例子： 你下載了一個聲稱是「免費修圖軟體」，結果安裝後電腦卻被駭客控制了。
• 勒索軟體 (Ransomware):
• • 比喻： 把你的檔案鎖起來，然後跟你勒索贖金。
  • 行為： 加密你電腦或伺服器上的檔案，然後要求你支付比特幣等加密貨幣來解密。如果你不支付，檔案就可能永遠丟失。
  • 例子： WannaCry 勒索軟體曾經在全球範圍內造成巨大影響，許多企業和個人檔案被加密。
• 間諜軟體 (Spyware):
• • 比喻： 像偷偷摸摸的偵探，在你的電腦上監視你的一舉一動。
  • 行為： 收集你的上網習慣、鍵盤輸入（可能包括密碼）、個人資料等，並發送給第三方。
  • 例子： 一些看似合法的免費軟體，可能偷偷捆綁了間諜軟體，追蹤你的行為並彈出廣告。

2. 網路釣魚 (Phishing)

• 比喻： 就像漁夫用魚餌釣魚一樣，駭客用偽裝成可信來源的訊息來騙你上鉤。
• 行為： 透過電子郵件、簡訊、社交媒體訊息等方式，偽裝成銀行、電商、政府機關、知名品牌甚至是你的朋友，誘騙你點擊惡意連結、下載有害附件，或直接輸入你的帳號密碼、信用卡資訊等敏感資料。
• 常見特徵：
• • 要求你「立即」處理，營造緊急感。
  • 訊息中包含錯別字或語法錯誤。
  • 連結的網址看起來很像真網站，但仔細看會發現不一樣（例如 google.com 變成 go0gle.com）。
  • 要求你提供個人敏感資料。
• 例子： 你收到一封看起來像銀行寄來的 Email，說你的帳戶有問題，點擊連結重新登入。但實際上連結指向的是一個假網站，你輸入的帳密就被偷走了。

3. 分散式阻斷服務攻擊 (Distributed Denial-of-Service, DDoS) 🌊💥

• 比喻： 就像無數的人同時打爆一家商店的電話，或者同時湧入一家餐廳，導致真正想消費的顧客進不去或打不進去。
• 行為： 攻擊者控制數以萬計甚至百萬計的受感染電腦（稱為殭屍電腦或殭屍網路，botnet），這些殭屍電腦會同時向某個目標伺服器發送大量無用的請求，使得目標伺服器因為資源耗盡（例如頻寬被佔滿、CPU 使用率飆高）而無法正常回應合法的用戶請求，導致服務中斷。
• 目的： 癱瘓目標網站或服務，使其無法對外提供服務。

4. 中間人攻擊 (Man-in-the-Middle Attack, MitM) 🕵️‍♂️↔️🕵️‍♀️

• 比喻： 就像你在跟朋友講電話，但有個間諜偷偷在中間聽你們說話，甚至可以假冒其中一方跟你說話。
• 行為： 攻擊者在通信雙方不知情的情況下，攔截他們之間的網路通訊。攻擊者可以竊聽、攔截傳輸的資料，甚至修改資料後再轉發給另一方。
• 例子： 在不安全的 Wi-Fi 環境下，攻擊者可能設定一個假的 Wi-Fi 熱點，你連上後，你的所有網路流量都經過攻擊者的設備，他就能監聽你的所有通訊。

5. SQL 注入 (SQL Injection) 💉🗄️

• 比喻： 就像你在跟一個資料庫管理員說話，但是你在正常的問題裡，偷偷塞了一段只有管理員才能聽懂的「後門指令」。
• 行為： 攻擊者在應用程式的輸入欄位（例如登入框、搜尋框）中，注入惡意的 SQL 程式碼。如果應用程式沒有對輸入進行嚴格驗證，這些惡意程式碼就會被資料庫執行，從而允許攻擊者：
• • 繞過身份驗證。
  • 竊取資料庫中的敏感資訊。
  • 修改或刪除資料庫中的資料。
  • 甚至完全控制資料庫伺服器。
• 例子： 在登入頁面，使用者名稱輸入 admin' OR '1'='1，如果網站沒有過濾，可能就會直接登入，繞過密碼驗證。

6. 跨站腳本攻擊 (Cross-Site Scripting, XSS) 📝😈

• 比喻： 就像一個壞人在公共佈告欄上貼了一張有惡意指令的傳單。當其他人來看佈告欄時，他們的眼睛不只看到傳單內容，還會「自動執行」傳單上的指令。
• 行為： 攻擊者將惡意的客戶端腳本（通常是 JavaScript）注入到一個受信任的網站中。當其他使用者瀏覽這個被注入惡意腳本的網頁時，他們的瀏覽器就會執行這些腳本，可能導致：
• • 竊取用戶的 Cookie（用於維持登入狀態的資訊），從而劫持用戶會話。
  • 竊取用戶的個人資訊。
  • 惡意重新導向到釣魚網站。
  • 在用戶的瀏覽器上執行其他惡意行為。
• 例子： 在一個留言板上，攻擊者輸入了一段惡意的 JavaScript 程式碼作為留言。其他用戶瀏覽這個留言時，這段程式碼會在他們的瀏覽器中執行，竊取他們的登入憑證。

7. 社交工程 (Social Engineering) 🗣️🤥

• 比喻： 這不是技術攻擊，而是利用人性的弱點，用說服、欺騙、恐嚇等方式，來騙取資訊或讓受害者執行特定動作。
• 行為：
• • 恐嚇 (Intimidation): 偽裝成執法單位，要求你提供資訊。
  • 誘惑 (Lure): 用獎品、優惠等誘惑你點擊連結或下載軟體。
  • 假冒 (Impersonation): 假扮成 IT 人員、供應商或老闆來騙取資訊或權限。
  • 利用同情心或好奇心。
• 例子：
• • 電話詐騙 (Vishing): 偽裝成銀行客服打電話給你，要求你提供銀行帳號和密碼。
  • 裝熟騙取資訊。
  • 在辦公室假扮清潔工，趁機偷看電腦螢幕或尋找被丟棄的敏感文件。