駭客攻擊 (hacking) 是指未經授權擅自存取電腦系統、網路或資料的行為,這通常是利用軟體、硬體或人類行為上的弱點來避開資安控管。
目錄
為何駭客攻擊仍是一項嚴重風險
駭客攻擊早已跳脫早期那種充滿好奇的個人在自家地下室潛心鑽研的行為。如今,它支撐著一個規模數十億英鎊的全球網路犯罪經濟,其背後是專業化的勒索病毒集團、國家級駭客集團,以及提供各種駭客攻擊服務 (hacking-as-a-service) 的地下市集。現在的駭客攻擊之所以特別危險,是因為它的規模可在幾秒鐘內從投機性入侵發展到橫掃全球的自動化攻擊行動。
現代化攻擊已不再只想獲得資料,還想要切斷企業營運、破壞信任、趁著數位轉型所帶來的不安作亂。我們的連網程度越高,駭客可利用的機會就越多:雲端服務、遠距上班、IoT 裝置以及行動優先平台,這些都讓攻擊面因而擴大,而且速度經常快到企業防護跟不上它們的腳步。
2024 年,趨勢科技 Pwn2Own Ireland 大會報告顯示,許多企業系統都相當脆弱,資安研究人員只需幾分鐘時間就能經由零時差漏洞駭入伺服器和智慧裝置。此外,像 LockBit 5.0 勒索病毒集團所發動的真實攻擊,經常能越過那些過時的防禦,向企業勒索數百萬美元。
駭客能做些什麼?
駭客能做的遠遠超過單純只是「駭入」系統而已。今日,他們可以讓一家公司的整個數位基礎架構為他們服務。基本上,駭客攻擊始於未經授權的存取,但這之後的發展,卻很可能是嚴重的營運停擺。駭客一旦進入系統,通常會在系統之間橫向移動、提升自己的權限、建立一些後門,或是一開始先默默蒐集敏感資訊,最後才發動看得見的攻擊。
既然進到了內部,駭客就有各式各樣的機會來攻擊企業,他們可能假扮成員工來操弄匯款流向、混入電子郵件討論串來插入惡意連結,或者盜取客戶資料庫然後拿到暗網 (dark web) 市集上販售。有些駭客甚至會植入勒索病毒將企業的所有檔案加密,導致系統無法使用,然後勒索一筆虛擬加密貨幣贖金來救回系統。但很多時候,企業就算支付了贖金,資料也沒救回來。
惡意的駭客攻擊常導致哪些結果
資料外洩:客戶資料、智慧財產或商業機密遭到竊取。
植入惡意程式:利用勒索病毒、間諜程式或木馬程式進行滲透。
系統中斷:癱瘓服務、清除資料或挾持資源。
- 金融竊盜:更改匯款流向、竊取登入憑證,或勒索贖金。
駭客可利用惡意程式做些什麼?
散播惡意程式是駭客攻擊最常見的手法之一,因為惡意程式就像是駭客的瑞士刀,它有許多不同的形態,每一種都針對特定目標而量身訂做。有些惡意程式的設計是要默默執行,以便能夠長期觀察、記錄、竊取資料;有些則是高調又立竿見影,例如將檔案加密或鎖住系統讓使用者無法進入。
惡意程式一旦被安裝到系統內,就能:
將檔案加密,然後勒索贖金 (勒索病毒)。
竊取登入憑證或瀏覽器連線階段 (間諜程式)。
記錄鍵盤輸入來擷取敏感資料。
將資料庫和使用者檔案外傳以供轉售。
讓駭客從遠端遙控系統 (遠端存取木馬程式)。
從網路內部發動阻斷服務攻擊。
許多資安事件一開始都起因於電子郵件內隨附的惡意程式、網站上的惡意腳本,或是遭駭客篡改的軟體更新。惡意程式一旦執行,就能在企業偵測到危險訊號之前在內部擴散。
例如,LockBit 勒索病毒集團將其工具套件修改成可攻擊 Windows、Linux 和 VMware ESXi 系統,能經由竊取的登入憑證或含有漏洞的 RDP 連接埠進入系統,而且,在啟動最終加密程序之前還會先關閉備份機制。
今日駭客攻擊使用的手法與工具
駭客攻擊並非單一技巧,而是各種不斷演進、專門躲避防禦並且攻擊弱點的策略。今日的駭客會根據攻擊目標來挑選適合的工具:有時是像鈍器一樣的網路釣魚電子郵件,有時則是設計精巧的零時差漏洞攻擊。
常見的駭客攻擊手法
網路釣魚:這是駭客突破防線最常用的攻擊途徑,它需要誘騙使用者自己提供登入憑證、點選惡意連結,或下載惡意程式。網路釣魚的特性是低投入、高報酬,尤其是量身訂做的個人化網路釣魚。
攻擊軟體漏洞:許多企業修補漏洞的速度都不夠快,駭客隨時都在掃描網際網路上是否有系統還在使用含有已知漏洞的過時版本。
憑證填充 (credential stuffing):利用過去在資料外洩事件中取得的使用者名稱與密碼組合來登入新的系統。由於許多使用者都會重複使用相同的密碼,因此這方法出奇地非常有效。
中間人攻擊:攔截雙方的通訊,從中竊取或篡改資料。這可能發生在 Wi-Fi 網路不安全或 VPN 組態設定錯誤的情況。
- 供應鏈攻擊:攻擊受信任的第三方軟體或廠商,將其當成後門,以便進入其他有安全防護的系統。這類攻擊特別難以偵測,而且經常過了好幾個月才被發現。
進階工具和 AI 強化攻擊
現代化駭客攻擊之所以特殊,就在於它們的自動化程度。駭客不再需要從頭撰寫程式碼,他們可使用預先做好的套件、開放原始碼工具,甚至是訂閱制的攻擊平台,這些平台在暗網市集上比比皆是。
根據趨勢科技對 AI 驅動網路犯罪的研究,駭客越來越常將人工智慧用於:
製作深偽 (deepfake) 音訊來假冒高階主管或受害者。
自動化產生文字流暢的網路釣魚電子郵件。
模擬人類即時互動的聊天機器人詐騙。
這些 AI 驅動的威脅讓攻擊變得更難偵測、更容易擴大,而且還能以傳統過濾規則難以偵測的方式量身打造。過去可能需要花費一星期來完成的工作,現在幾分鐘之內就能完成,而且效果驚人。
此外,他們的工具也越來越模組化,光是一個漏洞攻擊套件就能包含:登入憑證竊取程式、橫向移動工具、權限提升腳本,以及資料外傳機制,全部整合在單一套件當中。今日的駭客比較像一名組裝人員,而非程式設計師,從網路上現成的元件就能建構出一套攻擊程序。
什麼是商業化駭客攻擊?
商業化駭客攻擊通常稱為「駭客雇用」(hack-for-hire) 服務,指的是個人或團體以一定的價格提供自己的技能作為服務,這包括代替第三方從事間諜活動、破壞活動,或是竊取資料。這使得國家級駭客與犯罪組織之間的界線變得模糊,也讓溯源與防禦的工作變得更加困難。
駭客的種類:從合乎道德到從事犯罪皆有
並非所有的駭客攻擊都是違法的,事實上,一些全球最優秀的網路資安專家也是職業駭客,他們會參與滲透測試、漏洞懸賞計畫,以及漏洞研究。
駭客分類
類型
說明
白帽 (White Hat) 駭客
專門合法測試系統來尋找並修正漏洞的道德駭客。
黑帽 (Black Hat) 駭客
專門攻擊弱點來謀取個人利益或獲取錢財的不法駭客。
灰帽 (Grey Hat) 駭客
遊走在合法與非法邊緣的駭客。
懷有政治意圖的駭客。
腳本小子 (Script Kiddie)
技術層次較低的駭客,只能使用預先做好的工具。
關於駭客的幾項事實
許多道德駭客都會經由漏洞懸賞計畫來通報漏洞。
某些大型資安廠商會僱用前駭客來提升防禦能力。
並非所有駭客都會撰寫程式碼,有些專門從事社交工程技巧。
趨勢科技一直在贊助 Pwn2Own 競賽來提倡合乎道德的駭客攻擊,並且在駭客發現零時差漏洞之前預先發掘。
駭客攻擊在英國是否違法?
是的。根據 1990 年電腦濫用法 (Computer Misuse Act 1990),大多數非經授權的系統或資料存取在英國都屬於非法行為。
罪行包括:
未經許可擅自存取資料。
中斷或損壞系統。
使用惡意程式來入侵網路。
懲罰可包括罰鍰和監禁,視嚴重性而定。不過,如果是在取得明確同意的情況下,根據合約或經由負責任的揭露方式進行合乎道德的駭客攻擊是合法的。
近期的駭客攻擊案例
LockBit 5.0 勒索病毒攻擊
是的。根據 1990 年電腦濫用法 (Computer Misuse Act 1990),大多數非經授權的系統或資料存取在英國都屬於非法行為。
罪行包括:
未經許可擅自存取資料。
中斷或損壞系統。
使用惡意程式來入侵網路。
懲罰可包括罰鍰和監禁,視嚴重性而定。不過,如果是在取得明確同意的情況下,根據合約或經由負責任的揭露方式進行合乎道德的駭客攻擊是合法的。
今日最受矚目的駭客攻擊案例之一是由 LockBit 5 勒索病毒集團所發動,他們在 2024 年攻擊了跨平台環境,包括:
Windows 工作站與伺服器。
Linux 系統。
VMware ESXi 虛擬化監管程式 (Hypervisor)。
駭客經由未修補的軟體和強度太弱的登入憑證來駭入系統,接著植入加密惡意程式來挾持資料。受到這波攻擊影響的包括醫療、製造和法律等產業,這證明了沒有任何產業能夠倖免。
這類攻擊行動迅速、以獲利為動機,並且經過精心策劃。根據趨勢科技的研究指出,LockBit 變種一直在持續更新,其惡意檔案在設計上很會躲避偵測工具,而且在執行之前還會先停用系統的備份功能。
MOVEit 漏洞與檔案傳輸漏洞
另一個知名的案例是:駭客利用熱門應用程式 MOVEit Transfer 的一個漏洞,從數十家企業機構竊取了敏感資料。這個漏洞攻擊手法使用了一個 SQL 資料隱碼攻擊 (SQL Injection) 漏洞來提供無須認證的遠端存取,使得它很容易發動,也很難被阻止。
受到這波攻擊影響的有政府、金融和醫療機構,突顯出單一未修補的入侵點可造成多大的連鎖效應。這起資安事故證明了設計即安全 (secure-by-design) 的應用程式與主動式修補管理有多麼重要。
針對中小企業的駭客攻擊:中小企業為何會遭到鎖定
駭客集團越來越常攻擊中小企業來牟利,原因並非這些企業有多高調,而是因為它們通常缺乏大型企業所擁有的多層式防禦。中小企業、醫療機構、律師事務所,甚至是學校,都因為基礎架構老舊、IT 資源有限,以及擁有高價值的資料而成為最常被覬覦的目標。
針對中小企業的常見攻擊包括:
變臉詐騙 (BEC):駭客冒充成高階主管或廠商來重新指定匯款流向或者竊取登入憑證。
發票詐騙:駭客集團會藉由操弄帳單週期和付款詳細資訊來轉移款項。
攻擊託管服務供應商 (MSP):入侵託管服務供應商可以讓駭客進入其整個客戶群。
橫向移動:駭客一旦進入企業內部,就會悄悄幫自己提升存取權限、蒐集資料,以及植入勒索病毒。
以上風險在各種產業天天上演,中小企業必須假設自己可能成為攻擊目標,並採取一些工具和流程來因應這樣的現況。
如何避免您的企業遭到駭客攻擊
防範駭客攻擊需要的不單只有防火牆和防毒軟體,今日企業需要的是多層式整合防護來同時保護端點、網路、身分以及雲端工作負載。
防範駭客攻擊的最佳實務原則:
哪裡可以取得有關防範駭客攻擊的協助?
TrendAI Vision One™ 為企業提供了一套全方位平台來偵測、回應及防範現代化 IT 環境所面對的駭客攻擊。提供下列功能:
涵蓋端點、網路、雲端及身分的跨層次偵測。
AI 驅動的數據分析,可真正偵測威脅,而非只是一堆雜訊。
延伸式偵測及回應 (XDR) 能將您整個堆疊的訊號串連起來。
數十年的真實資安事故應變經驗所累積的整合式威脅情資。
Vision One 有別於單一面向解決方案,能協助資安團隊判斷真正重要的威脅、提早發現橫向移動,並且交叉關聯各種活動來攔截正在發生的資安事故。它將各自獨立的警報轉化成可化為行動的洞見。
探索 TrendAI Vision One 如何讓您降低曝險,並且更快回應今日最先進的駭客攻擊技巧。
Jon Clay has worked in the cybersecurity space for over 29 years. Jon uses his industry experience to educate and share insights on all Trend Micro externally published threat research and intelligence.
常見問題 (FAQ)
網路資安領域中的駭客攻擊指的是什麼?
駭客攻擊在網路資安領域是指未經授權擅自存取系統、網路或資料,通常是經由漏洞來竊取資訊、中斷營運,或造成損害。
什麼是駭客?
駭客是利用自身的技術和知識來進入電腦系統的人,有些是在合法情況下進行 (道德駭客),有些則是心懷惡意 (黑帽駭客)。
駭客可利用惡意程式做些什麼?
惡意程式可讓駭客竊取資料、將檔案加密來勒索贖金、監控使用者的活動,或是獲得遠端存取能力。這是許多網路攻擊的重要工具之一。
什麼是商業化駭客攻擊?
商業化駭客攻擊是指駭客受雇提供服務,幫付錢的客戶入侵某些目標,這可包括從事間諜活動或干擾政治局勢。
駭客攻擊在英國是否違法?
是的。根據 1990 年電腦濫用法 (Computer Misuse Act 1990),駭客攻擊是違法行為,除非是為了進行合乎道德的測試或研究,而且已獲得明確許可。
駭客攻擊的類型有哪些?
駭客攻擊的類型包括:網路釣魚、SQL 資料隱碼攻擊、密碼破解、中間人攻擊、供應鏈入侵等等。
如何防範駭客攻擊?
企業應建置嚴格的存取控管、定期修補系統、使用威脅偵測工具,並且教育使用者如何防範網路釣魚和社交工程攻擊。