أفضل 10 طرق اختراق يجب عليك معرفتها

هل تشعر بالقلق بشأن مدى خطورة المتسللين؟ إليك أفضل أساليب الاختراق والمخاطر التي يشكلونها.

هاكر

لقد جلب تطور تكنولوجيا الإنترنت العديد من النمو وفرص الأعمال، فضلاً عن أساليب القرصنة الجديدة التي تتناسب معها.

من مستخدمي وسائل التواصل الاجتماعي الخاصة إلى الشركات الصغيرة والمؤسسات الكبرى، فإن نطاق الضحايا للقراصنة المعاصرين واسع.

لذا، من مصلحتك أن تكون على دراية بالمخاطر المحتملة الكامنة على شبكة الإنترنت، وأن تحصل على المعلومات الصحيحة للحد من تلك التهديدات الأمنية. تُلقي هذه المقالة الضوء على هذه المخاطر.

جدول المحتويات إخفاء
أفضل طرق الاختراق
الخاتمة

أفضل طرق الاختراق

فيما يلي أفضل طرق الاختراق:

1. الهندسة الاجتماعية

الهندسة الاجتماعية هي عملية التلاعب بالضحية المحتملة لإفشاء معلومات مهمة أو اتخاذ إجراءات معينة من شأنها أن تمنح المهاجم حق الوصول المطلوب. هناك العديد من الطرق للتعامل مع الهندسة الاجتماعية، مثل الاتصال بالضحية على الهاتف وطلب معلومات حساسة. تسمى هذه الطريقة vishing ويتم استخدامه في كثير من الأحيان لجمع معلومات مصرفية من الضحايا غير المطمئنين، الذين يعتقدون أن موظفًا حقيقيًا في البنك موجود على الطرف الآخر.

طريقة أخرى شائعة هي التصيدوكما هو الحال في طريقة الهاتف، تتضمن هذه الطريقة انتحال الهوية. في هذه الحالة، قد يكون موقعًا مصرفيًا مزيفًا يُشبه تمامًا موقع البنك الأصلي. يتلقى الضحية بريدًا إلكترونيًا أو رسالة نصية تحتوي على رابط للموقع المزيف، يطلب منه تحديث بياناته بشكل عاجل لأغراض أمنية. ومع ذلك، يقوم المهاجم بنسخ جميع المعلومات المُدخلة على الموقع المزيف واستخدامها لتفريغ حساب الضحية.

وتشمل الأساليب الأخرى أن يصبح المخترق صديقًا للضحية ويتمكن تدريجيًا من الوصول إلى المعلومات المطلوبة، أو انتحال شخصية ذات سلطة، مثل موظف حكومي أو رئيس أو وكيل أمن لتخويف الضحية وإرغامه على الكشف عن المعلومات.

تتضمن الطرق لتجنب الوقوع ضحية للهندسة الاجتماعية عدم الثقة في الغرباء، والتحقق دائمًا للتأكد من أنك على الموقع الصحيح مع "https://” ولا تعطي كلمات المرور أو رموز التعريف الشخصية الخاصة بك أبدًا، مهما كان الأمر.

2. التنصت

هناك طريقة أخرى خطيرة للاختراق وهي التنصت. وهي خطيرة لأن هناك العديد من الطرق للقيام بذلك ولا يوجد حد لكمية المعلومات التي يمكن للمخترق الحصول عليها.

تتضمن طرق المثال استنشاق حزم الشبكة لاستخراج المعلومات باستخدام برنامج محلل الشبكة مثل يريشاركهناك طريقة أخرى وهي تثبيت تطبيق صغير على كمبيوتر الضحية أو هاتفه الذكي والذي يقوم بتسجيل كل ضغطة مفتاح أو التقاط كل الاتصالات النصية.

وتتضمن أساليب التنصت الأخرى هجمات الوسيط التي تسمح للمخترق بنقل المعلومات إلى طرفين، بينما يعتقدان أنهما يتواصلان بشكل مباشر. على سبيل المثال، ترتبط شبكات GSM تلقائيًا بأقوى إشارة، وبالتالي من خلال انتحال برج GSM لشبكة معينة، ترتبط جميع الهواتف المحمولة في تلك المنطقة تلقائيًا بالمخترق وتمرر معلوماتها عبر نظامه.

3. اختطاف الجلسة وملفات تعريف الارتباط

تتواصل المتصفحات والتطبيقات مع الخوادم باستخدام الدورات. للدخول إلى جلسة مع خادم، يجب على المستخدم أولاً تحديد هويته باستخدام مجموعة من بيانات تسجيل الدخول وكلمة المرور، وربما مصادقة ثنائية العوامل. عندما يتم التحقق من هوية المستخدم، يبدأ الخادم جلسة مع متصفح المستخدم، وخلال هذه الجلسة لا يلزم إجراء مزيد من التحقق حتى يقوم المستخدم بتسجيل الخروج.

هناك مشكلة صغيرة هنا وهي أن الخادم سوف يقوم بتخزين كوكي على جهاز المستخدم المعتمد أو إضافة معرف جلسة إلى عنوان URL، مع قول شيء مثل هذا المستخدم جاهز للذهابلقد فهمت ما أقصده. لكن المشكلة هي أنه إذا تمكن أحد المتسللين من سرقة ملفات تعريف الارتباط أو معرف الجلسة، فإنه بذلك يتمكن من الوصول إلى البيئة المقيدة التي كان على الضحية المصادقة عليها للدخول إليها. ومن ثم، يمكنه نشر المنشورات أو تحويل الأموال أو القيام بأي شيء آخر يحلو له.

والآن، هناك العديد من الطرق لتحقيق ذلك:

  1. XSS أو Cross-Site Scripting - يتضمن ذلك خداع الضحية للنقر على رابط لموقع شرعي، لكن هذا يتضمن كود JavaScript لسرقة ملفات تعريف الارتباط الخاصة به لهذا الموقع الشرعي وإرسالها إلى موقع المخترق.
  2. شم الجلسة – يمكن للمخترق استخدام برامج مراقبة الشبكة مثل Wireshark لاعتراض معلومات الجلسة وملفات تعريف الارتباط.
  3. تثبيت الجلسة – يرسل المهاجم رابطًا إلى الضحية يحتوي على معرف جلسة. إذا قام الضحية بتسجيل الدخول وفشل النظام في إنشاء معرف جلسة جديد، فيمكن للمخترق استخدام معرف الجلسة نفسه لتسجيل الدخول أيضًا. والحل هنا هو أن يقوم النظام دائمًا بإنشاء معرف جلسة جديد بعد كل تسجيل دخول.
  4. التبرع بالجلسة – يقوم المخترق بتسجيل الدخول إلى موقع شرعي، ثم يرسل رابطًا ببيانات الجلسة إلى الضحية، ويطلب منه تحديث المعلومات. سيرى الضحية أنه مسجل الدخول وإذا فشل في ملاحظة أن هذا ليس حسابه، فيمكنه إدخال معلومات حساسة، والتي يمكن للمخترق سرقتها لاحقًا. أحد الحلول هو تسجيل الخروج دائمًا عند الانتهاء.

4. XSS وCSRF

كما ذكرنا سابقًا، فإن XSS تعني Cross-Site Scripting، بينما CSRF تعني Cross-Site Request Forgery. يجب أن تلاحظ هنا أن XSS يتجاوز سرقة ملفات تعريف الارتباط العادية، حيث يتعلق الأمر بتشغيل نص برمجي على صفحة يثق بها الضحية أثناء الاتصال بمواقع ويب أخرى أقل ثقة.

لا يحتاج الضحية إلى تسجيل الدخول أو المصادقة أو اتخاذ أي إجراء للوقوع في فخ هجوم XSS، والذي يكون عادةً تلقائيًا. ومع ذلك، في حالة هجوم CSRF، يتعين على الضحية تسجيل الدخول إلى موقع ويب معين واتخاذ إجراء إضافي، مثل النقر فوق زر.

على سبيل المثال، إذا كان الضحية بوب مسجلاً الدخول إلى موقع البنك الذي يتعامل معه، ثم يشتت انتباهه شيء ما، فينتقل إلى موقع ويب يقدم إجازة مجانية إلى ماكاو، كل ما يحتاجه هو النقر على الزر. وبمجرد النقر عليه، يرسل الموقع طلب تحويل الأموال إلى البنك، وبما أن لديه جلسة نشطة مع البنك، فقد يتم قبول الطلب. 

كل ما يحتاجه موقع المهاجم هو إنشاء نموذج موجه إلى البنك بالحقول الصحيحة، مثل:

5. نقطة اتصال هوت سبوت

هل سبق لك استخدام شبكة واي فاي مجانية للوصول إلى الإنترنت؟ نأمل أنك استخدمت VPN (شبكة افتراضية خاصة) لحماية نفسك، وإلا لكانت ضحيةً لخدعة.

تسير الخطة على هذا النحو: يقوم أحد القراصنة بإنشاء نقطة اتصال واي فاي مجانية مع برنامج لتتبع الحزم خلف الكواليس لجمع كلمات المرور وغيرها من الأشياء الثمينة من أولئك الذين يتصفحون الويب مجانًا. حتى أن البعض يقومون بإنشاء نقاط اتصال وهمية للشركات، مثل تلك التي تجدها في المقاهي والمطارات والمطاعم.

لتجنب مثل هذه الاختراقات، ابتعد ببساطة عن نقاط الاتصال المجانية، أو استخدم VPN إذا كان عليك استخدام شبكات WiFi العامة.

6. القوة الغاشمة

هجوم القوة الغاشمة هو محاولة تسجيل الدخول إلى حساب الضحية من خلال تجربة كل مجموعات اسم المستخدم وكلمة المرور الممكنة. ويمكن أن يشير أيضًا إلى اختراق خوارزمية من خلال محاولة استخدام أكبر عدد ممكن من المفاتيح.

كالي لينكس، نظام التشغيل الشهير للقراصنة، يأتي مع أدوات القوة الغاشمة مثل جون الخارق, نكرانك, و العدارتوجد أيضًا قوائم كلمات تساعد في هجمات القاموس. تحتوي هذه القوائم على قائمة بكلمات المرور والكلمات الأكثر شيوعًا من القاموس، مثل قرد، 12345، كلمة المرور السرية الخاصة بي، 00000،  وما إلى ذلك وهلم جرا.

تتضمن طرق تجنب هجمات القوة الغاشمة إضافة رمز التحقق إلى صفحة تسجيل الدخول، والحد من عدد محاولات تسجيل الدخول، وفرض استخدام كلمات مرور آمنة - 8 أحرف أو أكثر، مع مزيج من الرموز والأرقام والأحرف الكبيرة والصغيرة.

7. الحرمان من الخدمة و الحرمان من الخدمة الموزع

DoS تعني الحرمان من الخدمة الهجوم، في حين أن DDoS تعني وزعت الحرمان من الخدمة الهجوم. الهدف هنا هو إغراق نظام الكمبيوتر، مثل الخادم، بعدد كبير من الطلبات، بحيث يصبح غير قادر على تلبية المزيد من الطلبات - ينقطع الاتصال بالإنترنت.

يأتي هجوم الحرمان من الخدمة من جهاز واحد ومن السهل اكتشافه وحظره. من ناحية أخرى، يأتي هجوم الحرمان من الخدمة من أجهزة كمبيوتر متعددة وقد يكون عبارة عن شبكة روبوتات منتشرة في جميع أنحاء العالم، وغالبًا ما تنشأ من أجهزة كمبيوتر مصابة ببرامج ضارة.

يجب أن تلاحظ أنه على عكس معظم الطرق الأخرى في هذه القائمة، لا تهدف هجمات الحرمان من الخدمة الموزعة إلى سرقة أو تنفيذ تعليمات برمجية ضارة على جهاز كمبيوتر الضحية. بل تُستخدم هذه الهجمات لإبقاء خوادم الشركات تحت الحصار، حيث لا تستطيع هذه الشركات الاستمرار في تقديم خدماتها إلا بعد دفع فدية.

الطريقة الأسهل لتجنب هجمات DDoS هي استخدام مضيف ويب يتضمن حماية DDoS في الحزمة المقدمة.

8. هجمات المواقع المستهدفة وغير المستهدفة

الهجوم المستهدف هو هجوم يستهدف موقع الويب الخاص بالضحية على وجه التحديد، في حين أن الهجوم غير المستهدف يحدث لموقع الويب لأن المهاجم كان يستغل ضعفًا عامًا في البرنامج.

على سبيل المثال، تكون مواقع الويب التي تعمل بنظام WordPress عرضة للهجمات غير المستهدفة، وخاصة تلك التي تعمل على إصدارات أقدم وغير محدثة. يكتشف المهاجم ثغرة أمنية تعمل مع منصة أو إصدار أو إطار تطوير معين، ثم يقوم بتشغيل الثغرة عبر قائمة بعناوين مواقع الويب التي تستخدم المنصة، لمعرفة أي منها قد تعطل.

بالنسبة للهجمات المستهدفة، سيقضي المخترق وقتًا أطول قليلاً في التعرف على موقع الضحية، وقد يستغرق ذلك من بضعة أيام إلى عدة أشهر. وعادةً ما تكون الهجمات المستهدفة أكثر خطورة وقد تكون كارثية، وخاصة بالنسبة للشركات الكبيرة.

9. حقن SQL

متى لولزسك في عام 2011، قام قراصنة إنترنت باختراق خوادم شبكة سوني بلاي ستيشن وسرقوا مليون كلمة مرور، ووصفوا العملية بأنها عملية اختراق بسيطة عن طريق حقن SQL.

حقن SQL هو عملية إضافة توجيهات لغة SQL إلى عنوان طلب موقع ويب، على أمل ألا يقوم المبرمج بتنظيف مثل هذه المدخلات الضارة المحتملة. وعندما يعمل SQLi، غالبًا ما يحصل المخترق على حق الوصول إلى قاعدة البيانات كمشرف، كما حدث في شركة Sony.

من الممكن منع حقن SQL باستخدام أحدث إصدارات المنصات والأطر الشائعة. ومع ذلك، سيتعين على أولئك الذين يقومون بالبناء بأنفسهم التركيز على التحقق من صحة الإدخالات بشكل صحيح، واستخدام العبارات المعدة مسبقًا، والإجراءات المخزنة، وفحص الثغرات الأمنية.

10. نقاط ضعف المكونات الإضافية

وبعيدًا عن مشكلات الأمان الأساسية مع المنصات الشهيرة مثل WordPress، والتي يمكن تجنبها غالبًا عن طريق الترقية إلى أحدث إصدارات البرامج، فإن المكونات الإضافية، من ناحية أخرى، يمكن أن تشكل تهديدًا كبيرًا للاختراق.

يوجد أكثر من 50,000 مكون إضافي في نظام WordPress البيئي، وكل منها يشكل خطرًا أمنيًا محتملاً، حيث تأتي غالبية عمليات اختراق WordPress الحالية من ثغرات المكونات الإضافية هذه.

على الرغم من أن الأمان بنسبة 100% غير ممكن هنا، فلا يزال بإمكانك تحسين دفاع موقع الويب ضد نقاط ضعف المكونات الإضافية من خلال اختيار المكونات الإضافية عالية الجودة فقط ذات التقييمات العالية. ثم قم بتحديث النظام الأساسي والمكونات الإضافية بانتظام، وتجنب استخدام السمات أو الإضافات القديمة من أي نوع.

الخاتمة

لقد قمنا بإدراج أفضل 10 طرق يستخدمها المتسللون، وقد رأيت أسبابها وطرق الوقاية الممكنة منها. وكما يجب أن تكون قد استنتجت أيضًا، فإن الاختراق جزء من عالم الكمبيوتر، لذا فإن تهديدات الاختراق يجب أن تؤخذ في الحسبان دائمًا. 

ومع ذلك، من خلال الوعي بهذه التهديدات، وتطبيق تدابير الحماية الصحيحة عند الضرورة، يمكنك أيضًا تقليل خطر تعرضك للاختراق بشكل كبير.

ننامدي أوكيكي

ننامدي أوكيكي

ننامدي أوكيكي هو من عشاق الكمبيوتر ويحب قراءة مجموعة كبيرة من الكتب. يفضل Linux على Windows/Mac وكان يستخدمه
أوبونتو منذ بداياته. يمكنك متابعته على تويتر عبر بونجوتراكس

المقالات: 298

تلقي المواد التقنية

اتجاهات التكنولوجيا، واتجاهات الشركات الناشئة، والمراجعات، والدخل عبر الإنترنت، وأدوات الويب والتسويق مرة أو مرتين شهريًا

مقالات ذات صلة

مشاركة
انسخ الرابط
×