网络攻击的10种数据泄露攻击技术

网络安全最令人沮丧的事实之一，就是威胁的不断进化和数据泄露攻击技术的多种多样。漏洞补了一个又冒一个；攻击技术封了一个再来一堆。

2017年数据泄露攻击超过850起，其中很多都导致了客户个人信息和财务信息被盗。上升的还不仅仅是数据泄露事件数量，其造成的损失更是飞涨。《纽约时报》报道，到2017年3月，塔吉特百货已为其发生于2013年11月的数据泄露付出了超过2.02亿美元的代价。美国最大医疗保险公司Anthem最近刚刚同意支付1.15亿美元用于解决源自2015年客户信息被黑事件的集体诉讼问题。

最近几年最常见的10大攻击技术如下：

1.恶意软件/销售终端(PoS)

可能1/3的攻击都是奔着联网PoS去的，为了盗取信用卡和借记卡信息。家得宝和塔吉特就是此类攻击的受害者。

2.勒索软件

2017年可谓勒索软件年，WannaCry简直让全世界各大公司、政府机构、学校、医院等等团体和个人“想哭”。这种恶意软件的常见路数是“不付赎金就曝光你的秘密”，或者“不支付赎金就让你用不了自己的电脑”。还有另一种勒索方式是，“想隐瞒自己被黑的事实？先把赎金付了吧！”Uber遭遇到的就是这后一种勒索。

3.账户劫持

个人账户、公司账户和云账户都会被劫持，一旦电子邮件、计算机和系统账户被劫持，黑客就可能入手账户拥有者的个人信息、财务信息，用以直接从金融账户中转账，盗刷信用卡/借记卡，或者进行敲诈勒索。

4. SQL代码注入

因为本来就是为网上查询和互动设计的，所以数据库网站及应用特别扛不住SQL注入攻击。如果防护不佳，黑客可通过Web应用向数据库服务器发送代码，无需口令就能访问服务器，然后获取到该服务器连接的系统或网络的访问权，之后就可以为所欲为了，比如上传恶意软件、劫持账户之类的。

5.拒绝服务

单机拒绝服务或分布式拒绝服务。后者是网络战和激进黑客主义的主力拒绝服务攻击方式，黑客从成百上千乃至数十万个源头向目标系统或网站发送流量洪水，造成目标流量过载，带宽耗尽，致其系统宕机，网站下线。而且，此类攻击往往还会在大量流量的掩护下混入木马和其他恶意软件。

6. DNS劫持

类似域名盗窃，黑客将用户的域名查询请求重定向到自己控制下的域名服务器(DNS)，通过虚假“输入支付信息”页面来盗取Web流量或金融信息，或者诱骗Web用户下载恶意软件。

7.恶意跨框架/Java脚本

与DNS劫持类似，恶意软件在受害设备上加载貌似合法的页面，盗取用户输入的数据，或将用户导引到黑客控制的网站。

8.零日漏洞

新型散布技术。恶意软件通常在网上广为传播，但零日漏洞不一样：针对某个程序或系统漏洞的恶意软件会先行放出，但其激活要等到漏洞被发现的时候才进行（所谓“零日”），所有恶意动作都在“零日”完成——数据窃取、泄露、下载恶意代码等等。由于恶意软件并不是即时激活，便可在在“零日”之前有足够的时间悄悄扩散。

9.暴力破解

不耍任何花招，单纯靠自动化试错来定位口令或数据加密标准密钥。比如说，如果口令有5位，暴力破解程序就挨个尝试数字和字母的每一种排列组合，直到发现正确的口令。

10.凭证填充

暴力破解的另一版本——自动反复尝试利用部分登录信息获取账户权限。考虑到大量数据泄露事件已经让数亿人的信息全部或部分泄露，该技术可谓危害巨大。