2.勒索软件攻击

勒索软件通常在用户访问恶意网站或打开被篡改的电子邮件附件时安装。传统上，它利用受感染设备上的漏洞来加密重要文件，例如Word文档、Excel电子表格、PDF、数据库和系统文件，使其无法使用。然后，攻击者索要赎金，以换取恢复锁定文件所需的解密密钥。攻击可能以关键任务服务器为目标，或尝试在激活加密过程之前将勒索软件安装在连接到网络的其他设备上，以便所有设备同时受到攻击。

为了给受害者施加更大压力，攻击者还经常威胁称，如果不支付赎金，他们就会出售或泄露攻击期间窃取的数据。事实上，勒索软件策略正在发生转变，一些攻击者现在完全依赖数据盗窃和潜在的公开披露来勒索赎金，甚至懒得加密数据。这种变化可能是导致网络安全供应商和研究人员报告的2023年勒索软件攻击数量创历史新高的原因之一。Check Point Research表示，全球10%的组织机构曾遭受过未遂攻击。

每个人都可能是勒索软件的目标，从个人和小型企业到大型组织和政府机构。这些攻击可能造成严重的破坏性影响。在众所周知的事件中， 2017 年的WannaCry 勒索软件攻击影响了150多个国家的组织，医院的中断导致英国国家医疗服务体系 (NHS) 损失约1.11亿美元。最近，英国皇家邮政在 2023 年成为勒索软件攻击的受害者，关键文件被加密，导致国际货运中断六周。皇家邮政拒绝支付最初8000万美元或随后减少的金额，但表示已花费近1300万美元用于补救工作和安全改进。此外，攻击中窃取的数据被发布到网上。

同样在2023年，米高梅国际酒店集团（MGM Resorts International）遭受勒索软件攻击，损失约1亿美元，运营中断，客户个人信息被盗。据《华尔街日报》报道，凯撒娱乐公司在遭受类似攻击后，协商支付了1500万美元的赎金，以防止被盗数据被公开。勒索软件问题十分严重，以至于美国政府在2021年创建了一个名为“StopRansomware”的网站，提供各种资源来帮助组织预防攻击，并提供了一份应对攻击的清单。

3.密码攻击（口令攻击）

尽管密码存在诸多已知缺陷，但它仍然是计算机服务中最常用的身份验证方法。因此，获取目标密码是绕过安全控制、访问关键数据和系统的简单方法。攻击者会使用各种方法非法获取密码，包括：

• 暴力攻击。攻击者可以尝试一些众所周知的密码，例如 password123，或者根据目标社交媒体帖子收集的信息（例如宠物的名字）创建的密码，通过反复试验来猜测用户的登录凭据。在其他情况下，他们会部署自动密码破解工具来尝试所有可能的字符组合。
• 字典攻击。与暴力攻击类似，字典攻击使用预先选定的常用单词和短语库，具体取决于受害者的位置或国籍。
• 社会工程学。攻击者很容易通过从某人的社交媒体帖子和其他来源收集信息，制作看似真实的个性化电子邮件或短信。作为一种社会工程学形式，这些邮件可以通过操纵或诱骗用户泄露信息，以虚假借口获取登录凭证，尤其是在这些邮件是从冒充受害者认识的人的虚假账户发送的情况下。
• 键盘记录器。键盘记录器是一种软件程序，它会秘密监控并记录用户的每一次击键，从而获取通过键盘输入的密码、PIN 码和其他机密信息。这些信息会通过互联网发送给攻击者。
• 密码嗅探。密码嗅探器是一个安装在网络上的小程序，可以提取通过网络以明文形式发送的用户名和密码。虽然攻击者仍在使用这种技术，但它已不再像以前那样构成威胁，因为现在大多数网络流量都已加密。
• 窃取或购买密码数据库。黑客可能会试图突破组织的网络防御，窃取其用户凭证数据库，然后自己使用这些数据或将其出售给他人。

TechTarget 企业战略集团研究部门在 2023 年进行的一项调查中，377 名受访者中 45% 表示，他们知道过去 12 个月内其组织中的用户帐户或凭证遭到泄露，32% 的受访者怀疑这些账户或凭证已被泄露。在所有这些受访者中，59% 表示此类泄露导致了成功的网络攻击。此外，Verizon 的《2023 年数据泄露调查报告》发现，使用被盗凭证是攻击者访问受入侵组织系统的主要方式，在 4,291 起记录在案的入侵事件中，49% 涉及使用被盗凭证。

4. DDoS攻击

分布式拒绝服务 (DDoS) 攻击是指利用大量受感染的计算机系统或移动设备来攻击服务器、网站或其他网络资源。其目的是通过发送大量消息、连接请求或畸形数据包来降低其速度或使其完全崩溃，从而拒绝向合法用户提供服务。

根据性能管理和安全软件供应商 Netscout 的报告，2023 年上半年发生了近 790 万次 DDoS 攻击，同比增长 31%。许多攻击背后都有政治或意识形态动机，但它们也被用来索要赎金——在某些情况下，攻击者会威胁某个组织，如果该组织不满足赎金要求，就会对其发动 DDoS 攻击。攻击者还利用人工智能工具的力量来改进攻击技术，并指挥其从属机器网络相应地执行 DDoS 攻击。令人担忧的是，尽管人工智能在网络安全方面也有潜在的用途，但它现在正被用于增强各种形式的网络攻击。

5. 网络钓鱼

在网络钓鱼中，攻击者伪装成信誉良好的组织或个人，诱骗毫无戒心的受害者交出有价值的信息，例如密码、信用卡信息和知识产权。基于社会工程学技术，网络钓鱼活动易于发起，且效果惊人。电子邮件最常用于分发恶意链接或附件，但网络钓鱼攻击也可以通过短信（短信网络钓鱼，简称“短信钓鱼”）和电话（语音网络钓鱼，简称“语音钓鱼”）进行。

鱼叉式网络钓鱼针对特定的个人或公司，而鲸钓攻击则是针对组织高管的一种鱼叉式网络钓鱼。与之相关的攻击是商业电子邮件入侵 (BEC)，攻击者冒充高管或其他权威人士，要求员工转账、购买礼品卡或采取其他行动。美国联邦调查局 (FBI) 互联网犯罪投诉中心将网络钓鱼和 BEC 攻击分为不同的类别。2022 年（即公布数据的最后一年），该中心收到了 21,832 起 BEC 攻击投诉，总损失超过 27 亿美元；网络钓鱼投诉共收到 300,497 起，造成 5,200 万美元的损失。

6. SQL注入攻击

任何数据库驱动的网站（大多数网站都是如此）都容易受到SQL 注入攻击。SQL 查询是请求对数据库执行某些操作，精心构造的恶意请求可以创建、修改或删除数据库中存储的数据。它还可以读取和提取知识产权、客户或员工的个人信息、管理凭证以及私人业务信息等数据。

SQL 注入仍然是一种广泛使用的攻击媒介。它在Mitre 公司维护的2023 年常见漏洞枚举 (CWE) 前 25 个最危险软件漏洞列表中排名第三。根据CVE 详细信息网站 (CVE.com ) 的数据，2023 年，CVE 数据库中新增了超过 2100 个 SQL 注入漏洞。CVE 数据库是 Mitre 管理的常见漏洞和暴露的单独目录。在一个备受关注的 SQL 注入攻击案例中，攻击者利用其中一个新漏洞访问了 Progress Software 的 MoveIt Transfer Web 应用程序，导致数千家使用该文件传输软件的组织发生数据泄露。

7. 跨站脚本

这是另一种注入攻击，攻击者将恶意脚本添加到合法网站的内容中。跨站脚本 ( XSS ) 攻击是指不受信任的来源能够将代码注入 Web 应用程序，然后将恶意代码包含在动态生成并传递给受害者浏览器的网页中。这使得攻击者能够在毫无戒心的网站用户的浏览器中执行用 JavaScript、Java 和 HTML 等语言编写的脚本。

攻击者可以利用 XSS 窃取会话 Cookie，从而伪装成受害用户。但他们也可以通过 XSS 传播恶意软件、破坏网站、获取用户凭证以及执行其他破坏性操作。在许多情况下，XSS 会与网络钓鱼等社会工程技术相结合。XSS 是常见的攻击媒介之一，在 2023 年 CWE Top 25 榜单中排名第二。

8.中间人攻击

在中间人 (MitM) 攻击中，攻击者会秘密拦截双方之间的消息——例如，最终用户和 Web 应用程序之间的消息。合法方认为他们正在直接通信，但实际上，攻击者已经介入并控制了电子对话。攻击者可以实时读取、复制和更改消息（包括其中包含的数据），然后将其转发给毫无戒心的收件人。

成功的中间人攻击 (MitM) 可使攻击者获取或操纵敏感个人信息，例如登录凭证、交易详情、账户记录和信用卡号。此类攻击通常以网上银行应用程序和电子商务网站的用户为目标，许多攻击会使用钓鱼邮件诱骗用户安装恶意软件，从而引发攻击。

9. URL 解释/URL 中毒

攻击者很容易修改 URL 来获取信息或资源。例如，如果攻击者登录到他们在网站上创建的用户帐户，并可以在 https://www.awebsite.com/acount?user=2748 查看其帐户设置，那么他们可以轻松地将 URL 更改为 https://www.awebsite.com/acount?user=1733，看看是否可以访问相应用户的帐户设置。如果网站的 Web 服务器没有检查每个用户是否拥有访问所请求资源的正确授权（尤其是在请求包含用户提供的输入的情况下），攻击者很可能能够查看网站上所有其他用户的帐户设置。

URL 解释攻击（有时也称为URL 中毒）用于收集机密信息（例如用户名和数据库记录），或访问用于管理网站的管理页面。如果攻击者确实通过操纵 URL 成功访问特权资源，通常是由于存在不安全的直接对象引用漏洞，导致网站未正确应用访问控制检查来验证用户身份。

10. DNS欺骗

DNS 通过将域名和 URL 映射到计算机用于定位站点的 IP 地址，使用户能够访问网站。长期以来，黑客一直利用 DNS 的不安全性，用虚假条目覆盖 DNS 服务器和解析器上存储的 IP 地址，从而将受害者定向到攻击者控制的网站，而不是合法网站。这些虚假网站被设计成与用户预期访问的网站完全一样。因此，当 DNS 欺骗攻击的受害者被要求在他们以为是真实网站上输入帐户登录凭据时，他们不会产生怀疑。这些信息使攻击者能够登录被欺骗网站上的用户帐户。

11. DNS隧道

由于 DNS 是一项受信任的服务，DNS 消息通常会双向穿越组织的防火墙，几乎不受监控。然而，这意味着攻击者可以在 DNS 查询和响应中嵌入恶意数据（例如命令与控制消息），以绕过（或绕过）安全控制。例如，据悉与伊朗有关联的黑客组织 OilRig 就使用 DNS 隧道技术来维护其命令与控制服务器与其攻击系统之间的连接。

DNS 隧道攻击利用部署在注册域名的 Web 服务器上的隧道恶意软件程序。一旦攻击者感染了组织防火墙后的计算机，安装在那里的恶意软件就会尝试使用隧道程序连接到该服务器，这需要发送 DNS 请求来定位服务器。这为攻击者提供了进入受保护网络的连接。

DNS 隧道也有其实际用途——例如，杀毒软件供应商会通过 DNS 隧道在后台发送恶意软件配置文件更新。因此，必须监控 DNS 流量，以确保只有受信任的流量才能通过网络。

12.僵尸网络攻击

僵尸网络是指一组联网的计算机和网络设备，它们感染了恶意软件，并被网络犯罪分子远程控制。易受攻击的物联网设备也受到攻击者的攻击，以扩大僵尸网络的规模和威力。它们通常被用来发送垃圾邮件、参与点击欺诈活动，并生成用于 DDoS 攻击的恶意流量。

例如，当 2021 年发现 Meris 僵尸网络时，软件供应商 Cloudflare 的安全研究人员表示，攻击者每天使用它对大约 50 个不同的网站发起 DDoS 攻击。由于 Meris 使用 HTTP 管道技术，且规模庞大（据估计，2021 年 Meris 的僵尸网络规模约为 25 万台），它还造成了有记录以来一些规模最大的 DDoS 攻击。创建僵尸网络的目标是感染尽可能多的设备，然后利用这些设备的综合计算能力和资源来自动化和放大恶意活动。

13. 水坑攻击

在所谓的“路过式攻击”中，攻击者利用安全漏洞向合法网站添加恶意代码，当用户访问该网站时，代码会自动执行并感染其计算机或移动设备。这是水坑攻击的一种形式，攻击者会识别并利用他们想要攻击的用户（例如特定组织的员工或客户，甚至整个行业，如金融、医疗保健和军事）经常访问的不安全网站。

由于用户很难识别遭受水坑攻击的网站，因此这是一种在其设备上安装恶意软件的高效方法。由于潜在受害者信任该网站，攻击者甚至可能将恶意软件隐藏在用户故意下载的文件中。水坑攻击中使用的恶意软件通常是一种远程访问木马，可让攻击者远程控制受感染的系统。

14.内部威胁

员工和承包商拥有访问组织系统的合法权限，其中一些人对组织的网络安全防御措施有着深入的了解。这可能会被恶意利用，获取受限资源的访问权限、进行破坏性的系统配置更改或安装恶意软件。内部人员也可能因疏忽或缺乏对网络安全政策和最佳实践的认知和培训而无意中造成问题。

人们曾普遍认为内部威胁事件的数量超过外部攻击，但如今情况已大不相同。Verizon 的 2023 年数据泄露报告称，在调查的泄露事件中，超过 80% 是由外部行为者造成的。然而，内部人员参与了其中的 19%，接近五分之一。一些最突出的数据泄露事件是由拥有特权账户访问权限的内部人员实施的。例如，拥有管理账户访问权限的国家安全局承包商爱德华·斯诺登 (Edward Snowden) 是 2013 年以来美国历史上最大的机密信息泄露事件之一的幕后黑手。2023 年，马萨诸塞州空军国民警卫队一名成员因在网上发布绝密和高度机密的军事文件而被捕并受到指控。

15.窃听攻击

窃听攻击也称为网络嗅探或数据包嗅探，利用安全性较差的通信，在计算机和其他设备通过网络传输信息时实时捕获流量。硬件、软件或两者结合可用于被动监控和记录信息，并“窃听”网络数据包中的未加密数据。网络嗅探可以是网络管理员和IT安全团队为解决网络问题或验证流量而进行的合法活动。然而，攻击者可以利用类似的手段窃取敏感数据或获取信息，从而进一步渗透到网络中。

为了实施窃听攻击，攻击者可以利用钓鱼邮件在联网设备上安装恶意软件，或者将硬件插入系统。攻击不需要持续连接到受感染的设备——捕获的数据可以在之后通过物理方式或远程访问进行检索。由于现代网络的复杂性以及连接到网络的设备数量庞大，窃听攻击可能难以检测，尤其是因为它对网络传输没有明显的影响。

16.生日袭击

这是一种密码暴力攻击，通过攻击用于表示数字签名、密码和加密密钥的哈希值来获取它们。它基于“生日悖论”，该悖论指出，在一个由23人组成的随机群体中，其中两人生日相同的概率超过50%。类似的逻辑也可以应用于哈希值，从而实现生日攻击。

哈希函数的一个关键特性是抗碰撞性，这使得从两个不同的输入生成相同的哈希值极其困难。然而，如果攻击者生成数千个随机输入并计算它们的哈希值，则匹配被盗值以发现用户登录凭据的概率就会增加，尤其是在哈希函数较弱或密码较短的情况下。此类攻击还可用于创建虚假消息或伪造数字签名。因此，开发人员需要使用旨在抵御生日攻击的强加密算法和技术，例如消息认证码和基于哈希的消息认证码。