谁是脚本小子？他们对您的安全构成威胁吗？

编剧小子听起来可能就像是不怀好意的顽皮青少年。虽然这种情况经常发生，但编剧小子并不一定是居心不良的青少年。也可能是成年人。

尽管如此，如果您不小心，脚本小子，无论年轻还是年老，都可能造成真正的伤害。

谁是脚本小子？

简而言之，脚本小子是一个想成为黑客的人，他们不具备执行复杂网络攻击的技能或知识。相反，他们依靠其他人开发的预先编写的脚本和程序来渗透网络和系统。

想象一下，有人下载了一个现成的黑客工具，并使用它来未经授权地访问他人的计算机。您没有自己编写该工具，只是运行它。这基本上就是脚本小子所做的事情。

脚本小子的共同特征包括：

几乎没有编程知识： 他们无法从头开始编写自己的黑客工具。
受声誉而非道德驱动： 他们通过黑客行为来炫耀自己的“技能”。
针对容易受害的目标： 脚本小子的目标是像个人网站这样容易实现的目标，而不是高度安全和专业的网络。
使用蛮力技术： 他们依靠乏味的黑客程序来破解密码并淹没系统。
由于中断而发生攻击： 他们通过破坏性攻击而不是经济利益来寻求关注和争议。

尽管缺乏复杂性，编剧小子仍然可以通过常见的、恶作剧的技巧造成严重破坏。

孩子们常用的战术脚本

脚本小子可能不是特别熟练，但他们的网络滑稽动作仍然会引起严重的头痛。以下是他们所依赖的一些最常见的策略。

1. 拒绝服务 (DoS) 攻击

脚本小子使用暴力攻击来压垮网站和在线服务，使它们承受超出其处理能力的流量，然后使它们崩溃。他们严重依赖低轨道离子炮 (LOIC)、高轨道离子炮 (HOIC) 等 DDoS 工具或僵尸网络，但他们并未自行编写代码，用垃圾请求淹没目标并使它们离线。

例如，由17岁的Julius“zeekill”Kivimaki组成的黑客组织Lizard Squad被击败 Xbox Live 和 PlayStation Network 在 2014 年使用现成工具进行了 DoS 攻击。

2、SQL注入

SQL 注入技术涉及查找易受攻击的网站并将恶意 SQL 数据库查询注入登录表单或搜索栏等输入字段。如果成功，攻击者可以访问、修改或删除站点的后端数据。

脚本小子所要做的就是找到一个不安全的网站并将 SQL 注入代码粘贴到一个简单的表单字段中。

3. 网络钓鱼尝试

脚本小子使用简单 Social- 设计诈骗，诱骗不知情的用户泄露密码或敏感信息。这包括向热门网站发送垃圾邮件虚假登录页面，例如 Google 或者 Facebook。或者，他们发送虚假电子邮件称“帐户已暂停”，以诱骗受害者在攻击者的虚假网站上输入其凭据。

虽然这些网络钓鱼尝试对许多人来说很容易发现，但不太懂技术的人仍然会对它们感兴趣。

4.破解密码

由于无法编写自己的密码破解工具，脚本小子会转向 Cain 和 Abel 等程序来发起暴力字典攻击。他们还可以轻松猜测“123456”等弱密码，或破解数据库转储中泄露的散列密码。

他们利用了人类的常见倾向，例如使用简单的密码或在网站上重复使用它们。

5. 网站篡改

快速劫持来装饰奇怪的图像或令人讨厌的涂鸦 – 例如“黑客攻击” [hacker name]“- 网站上有一张名片，适合想要恶搞和吸引注意力的编剧小子。

2006 年 5 月，在有史以来最大的网站篡改攻击之一中，一个名为 iSKORPiTX 的脚本小子在一次攻击中成功入侵了数千个网站（根据黑客新闻）。

正如我们所看到的，编剧小子依靠基本但有时有效的技术来制造不成比例的破坏。为了保护自己免受这些无情的潜在黑客的侵害，了解他们的策略非常重要。

如何防御脚本小子攻击

首先要做的事情是：知道你正在处理什么。脚本小子基本上是新手黑客，他们使用他人开发的脚本和工具来发起网络攻击。他们经常追踪简单的目标，因为他们缺乏渗透复杂系统的技能。

好消息是他们的攻击总体来说并不是特别先进。然而，坏消息是，有大量免费的黑客工具可供任何人下载并用来瞄准您。如何保护自己。

1.使用强密码

图片来源：家庭安全英雄

对于想要使用暴力破解帐户访问权限的脚本小子来说，弱且易于猜测的密码是一种受欢迎的尝试。创建包含最多 15 个以上随机字符、数字、大写字母和符号的唯一密码，而不是“password123”。想想像 3Th!sL0ng 这样的密码短语。

如果您在所有网站上使用“baseball”等弱密码，脚本小子可能会立即危害您的 eBay、银行和电子邮件帐户。（因此，我们不建议在多个网站上使用相同的密码。）

2.启用双因素身份验证

短信代码、生物识别技术和一次性推送通知可能是黑客最可怕的噩梦。即使手边有密码，打开 2FA 也会阻止脚本小子。

无论是发送到手机的代码、指纹扫描还是单独设备上的通知，第二个因素都可以阻止未经授权的登录，即使黑客已经获得了被盗的密码。

虽然启用 2FA 并不能完全抵御复杂的攻击，但它极大地提高了安全性，并使常见的脚本小子策略变得更加困难。

3. 修补和更新软件

更新您的应用程序就像一个提升 – 它可以保护您免受最近发现的漏洞的影响。脚本小子会寻找过时的软件，使他们的工具容易受到攻击，就像流感病毒捕食那些不注射流感疫苗的人一样。自动更新，让您无需考虑。

还记得 WannaCry 勒索软件吗？它是有史以来最臭名昭著的恶意软件攻击之一？大部分损坏是由于疏忽造成的 Windows 更新。

4. 使用 VPN 和防火墙

大多数攻击脚本的第一步是发现目标 IP 地址。但把你的IP隐藏在一个后面 VPN 或者使用防火墙阻止访问将破坏该链接。

通过屏蔽或限制您的公共 IP 地址，脚本小子无法确定您在网络上的精确位置和设备。 VPN 服务会为您分配不同的虚拟 IP，从而隐藏您的真实地址。

防火墙仅创建规则以允许来自可信来源的连接。这两种机制都充当路障，阻碍攻击者的初始侦察并使基于 IP 的脚本失效。

5. 备份数据

勒索软件和删除的文件可能会导致永久数据丢失。安排定期备份，以便在脚本攻击攻击您的计算机时可以恢复损坏或加密的数据。

每天或每周在后台运行的自动备份解决方案可在外部驱动器或外部驱动器上创建文件的安全副本 Cloud-节省。

如果恶意脚本加密您的数据并要求付款，您可以拒绝赎金，因为您知道您有完整的备份可以依靠。即使是不可逆转地删除或覆盖文件的攻击也可以通过从备份存档中检索来恢复。

通过这些安全实践，领先脚本小子一步。你可能会继续尝试，但你会成为一个太难的目标。

Script Kiddies 缺乏技巧并不意味着缺乏风险

虽然乍一看，脚本小子似乎并不是危险的对手，但他们鲁莽地使用攻击工具可能会造成真正的损害。你不能低估这些狡猾的麻烦制造者。