描述驗證型攻擊

  • 4 分鐘

有人嘗試竊取他人的認證時,即發生驗證攻擊。 得逞後,他們可以偽裝成該人。 由於這類攻擊的目標是要模擬合法使用者,因此我們也常稱之為身分識別攻擊。 常見的攻擊包括 (但不限於):

  • 暴力密碼破解攻擊
  • 字典攻擊
  • 認證填充
  • 鍵盤側錄
  • 社交工程

暴力密碼破解攻擊

在暴力密碼破解攻擊中,罪犯會嘗試不同的使用者名稱和密碼組合,以取得存取權。 攻擊者通常會使用數百萬個使用者名稱和密碼組合,將這個程序自動化。 使用簡單的密碼進行單一要素驗證,很容易遭受暴力密碼破解攻擊。

字典攻擊

字典攻擊是暴力密碼破解攻擊的其中一種形式,會套用常用單字的字典。 若要防止字典攻擊,請務必在密碼中使用符號、數字和多個單字的組合。

認證填充

認證填充是一種攻擊方法,利用許多人會在多個網站使用相同使用者名稱和密碼的漏洞來發動。 攻擊者會使用遭竊的認證 (通常是在站台上的資料外洩後取得的) 嘗試存取其他區域。 攻擊者通常會使用軟體工具自動執行此程序。 為了防止認證填充,切勿重複使用密碼,且應定期變更密碼,特別是在發生安全性缺口之後。

鍵盤側錄

鍵盤側錄牽涉到記錄按鍵輸入的惡意軟體。 攻擊者可使用鍵盤記錄木馬程式來記錄 (竊取) 使用者名稱和密碼組合,繼而用來發動認證填充攻擊。 這是網咖或您使用共用電腦進行存取的任何場所常見的攻擊。 為了防止鍵盤側錄,請勿安裝不受信任的軟體,且應使用可信賴的病毒掃描軟體。

並非只有電腦會遭到鍵盤側錄。 假設惡意執行者在 ATM 的讀卡機和數字鍵台上安裝了匣盒或裝置。 當您插入卡片時,卡片會先通過惡意執行者的讀卡機,在讀卡機擷取卡片詳細資料後,再將其送入 ATM 讀卡機。 此時,當您使用惡意執行者的數字鍵台輸入 PIN 碼時,他們也會取得您的 PIN 碼。

社交工程

社交工程涉及試圖使人顯露資訊或完成某動作,藉以發動攻擊。

大部分的驗證攻擊都涉及惡意探索電腦或試圖以多種認證組合進行破解。 社交工程攻擊的不同之處,在於其利用的是人類弱點。 攻擊者會嘗試獲取合法使用者的信任。 他們會誘導使用者洩露資訊或採取某動作,讓他們得以造成損害或竊取資訊。

有許多社交工程技術可用於驗證竊取,包括:

  • 若攻擊者傳送看似合法的電子郵件,目標是讓使用者顯露其驗證認證,網路釣魚就此發生。 例如,電子郵件可能看似來自使用者的銀行。 連結開啟後所顯示的就像是銀行的登入頁面,但實際上卻是個假網站。 當使用者在假網站上登入時,其認證就會落入攻擊者手中。 網路釣魚有數種變化,包括以特定組織、企業或個人為目標的魚叉式網路釣魚。
  • 托詞是攻擊者獲取犧牲者的信任,並誘使他們洩漏安全資訊的方法。 接著,此方法可用來竊取其身分識別。 例如,駭客可能會偽裝成銀行行員打電話給您,並要求您提供密碼來驗證您的身分。 另一種方法會使用社交媒體。 攻擊者可能會要求您完成問卷或測驗,在此過程中,他們會詢問看似隨機且無關緊要的問題讓您透露個資,或是向您提出一些有趣的構想,例如用您第一隻寵物的名字和您的出生地來命名虛構的搖滾樂團。
  • 誘餌是一種攻擊形式,犯罪會提供假獎勵或獎品來誘使犧牲者洩露安全資訊。

其他驗證型攻擊方法

這些只是驗證型攻擊的一些範例。 攻擊型態隨時有可能推陳出新,但此處所列的各種攻擊類型,都可藉由常識教育和使用多重要素驗證來防止。