前言 🐵

昨天針對攻擊者的資料搜集有了一個簡單的介紹，並分享了資料搜集的一些方法（包含如何透過修改、調整、新增 headers 的內容，模擬真實訪問瀏覽器的情況等等）。今天我們就接續這個主題繼續深入吧！GoGoGo～

🤔 攻擊者會如何運用搜集到的資料呢？

Hacker 在第一步做完最基礎的資料搜集後，一定會根據手上的情報來達成自己想要的目的（找到你的帳密、竊取公司機密等等），其中我列出幾種常見運用方式：

• 釣魚郵件、社交工程（用資料搜集找到的人名、職稱、郵件等等來做假冒 🥷）

有了員工名單、職稱和郵件地址，攻擊者就能發送超級像真的「通知信」或「公司公告」給你，甚至能精確用你的主管或同事名字來騙你點擊惡意連結。這種「專人量身訂做」的釣魚信，讓人很難不受騙。

• 找出內部系統入口、弱點（例如公開子網域，測試網站等）

攻擊者如果抓到你公司還沒關閉的測試網站、後台子網域，或者舊系統的入口，這些都是潛在的「後門」。有時候一個不起眼的 admin.test.example.com，就能成為入侵突破口。

• 密碼重設攻擊（利用個資/生日等弱資訊）→ 騙你要重設密碼，先登入你原本密碼 💀

公開的個資像生日、電話這種，其實很容易被用來重設密碼。如果你覺得只有你和親友知道的「小秘密」，那就大錯特錯！因為很有可能在臉書、IG 這邊早就被第三方有心人士挖走了 😱

• 結合後續攻擊：弱密碼爆破、漏洞掃描

有了帳號名單、常用信箱，攻擊者可以自動化嘗試「123456」、「password」這類弱密碼。也可以針對公開的入口進行漏洞掃描，尋找沒有被修補的安全洞！

👻 那攻擊者如何做到不被發現啊？

針對這個部分，由於本人也還只算是一個資安小白，對於怎麼躲避偵查這點也涉世未深，但也還是能通過所學想到一些可能的方式，有時候我們其實不需要知道事情的全貌，也可以透過現有的知識去做推敲！

1. 合法取得公開資料，不易偵測

多數資料都是從公開網頁、社群、新聞、甚至公開的程式碼平台取得，並沒有違法或明顯異常的行為，一般資安設備也不會把這類瀏覽判定為攻擊。因此，從資料搜集這點來看，其實大家都可以做到！端看你資料使用的目的為何而已！

2. 使用VPN、Tor等匿名工具

為了不暴露真實身分，攻擊者會用 VPN、Tor 等工具（購買、租用 IP 等），讓來源 IP 每天都不一樣，就算有異常流量，也很難追查到本人。

3. 自動化腳本降低人為痕跡

許多資料蒐集、暴力破解工具，都能自動化執行，模仿真人操作，降低異常行為的出現頻率。昨天的程式實作就是使用 pyton 的自動化程式！

4. 偽裝成正常用戶流量

有些攻擊者會模仿一般使用者的瀏覽行為，甚至故意帶上常見的瀏覽器 header，讓流量看起來「很正常」，不容易被WAF或IDS等資安設備攔截。昨天的 python 程式實作也有 cover 到這個部分！

🤔 如何預防、減少被資料搜集的風險？

雖然我們無法完全阻止攻擊者「看」到這些公開資訊，但其實有蠻多種方式，可以大幅減少他們能利用的資料，以及我們資料被找到的機會！

1. 定期檢查、更新、或移除公開敏感資料

像是員工名冊、內部分機、專案名稱等敏感資訊，建議定期檢查，必要時移除或隱藏。而像我們個人的各式平台、遊戲的帳號密碼等，密碼都更換成「強」密碼，可以大幅減少密碼被破解的機率！並且必要的時候，可以設定 MFA（多因子認證）機制，雖然我個人覺得其實這個有時候蠻麻煩的 ><

2. 網站 robots.txt、敏感資料設權限

利用 robots.txt 阻擋搜尋引擎索引不該公開的路徑，或對敏感資料加上密碼、權限管控，不讓他們直接被外部存取。

3. 內部教育

定期提醒同事不要在公開場合（像社群、論壇、新聞稿）洩漏太多內部細節，包含專案進度、設備型號等。

4. 使用資安工具監控公開面資產

現在有很多商業或開源的外部攻擊面管理（EASM）工具，可以自動掃描、監控你的網站、雲端資產、公開 API，及時發現有沒有敏感資訊外洩。

5. 假資料、蜜罐誘捕技術（進階）

可以在公開網站埋設「假資料」或蜜罐，例如假的email地址，讓攻擊者誤以為撿到寶，實際卻被你監控和記錄，達到誘捕與預警效果。

多一層保護本來就會相對帶來一些便利性的取捨，要越安全，相對來說操作就越複雜；想要越便利，相對而言就會失去一定安全性。

結語 🙈

今天主要是用偏文字的方式去針對「攻擊者利用資料的方式、如何不被發現，以及如何有效預防資料洩漏」來做分享！希望大家都能學到帶得走的東西～ 明天就會越來越深入我們的攻擊核心前進咯！大家盡情期待～ 🤩