Top 10 hackingmetoder, du bør kende

Er du bekymret for, hvor farlige hackere kan være? Her er de bedste hackingmetoder og de farer, de udgør.

hacker

Udviklingen af ​​internetteknologier har medført mange vækster og forretningsmuligheder, såvel som nye hackingmetoder, der matcher.

Fra private brugere af sociale medier til små virksomheder og store virksomheder er rækken af ​​ofre for den moderne hacker enorm.

Det er derfor i din bedste interesse at få en idé om de mulige farer, der lurer på World Wide Web, samt at have de rigtige oplysninger til at afbøde disse sikkerhedstrusler. Dette indlæg kaster lidt lys.

Indholdsfortegnelse skjule
Top hackingmetoder
Konklusion

Top hackingmetoder

Her er de bedste hackingmetoder:

1. Socialteknik

Social manipulation er processen med at manipulere et potentielt offer til at videregive vigtig information eller til at foretage visse handlinger, der vil give angriberen den nødvendige adgang. Der er mange måder at nærme sig social engineering på, såsom at ringe til offeret på telefonen og anmode om følsomme oplysninger. Denne metode kaldes vishing og bruges ofte til at indsamle bankoplysninger fra intetanende ofre, som mener, at en rigtig bankmedarbejder er i den anden ende.

En anden populær metode er Phishing, og ligesom telefonmetoden inkluderer den efterligninger. Her kan det være en falsk bankside, der ligner den originale banks hjemmeside 100 %. Offeret modtager en e-mail eller tekst med et link til det falske websted, hvor han anmodes om hurtigst muligt at opdatere sine oplysninger af sikkerhedsmæssige årsager. Alle oplysninger, der er indtastet på det falske websted, kopieres dog af angriberen og bruges til at tømme ofrets konto.

Andre metoder omfatter, at hackeren bliver venner med offeret og gradvist får adgang til de nødvendige oplysninger eller udgiver sig for at være en myndighedsperson, såsom en statsansat, en chef eller en sikkerhedsagent for at skræmme et offer til at videregive oplysninger.

Mådene at undgå at blive offer for social engineering inkluderer ikke at stole på fremmede, altid at tjekke for at sikre, at du er på den rigtige hjemmeside med "https://” og giv aldrig dine adgangskoder eller PIN-koder ud, uanset hvad.

2. Aflytning

En anden farlig hackingmetode er aflytning. Det er farligt, fordi der er så mange måder at gøre det på, og der er ingen grænser for mængden af ​​information, som hackeren kan få.

Eksempler på metoder omfatter sniffning af et netværks pakker for at udtrække information ved hjælp af netværksanalysatorsoftware som f.eks Wireshark. En anden måde er at installere en lillebitte app på ofrets computer eller smartphone, der logger hvert tastetryk eller fanger al tekstkommunikation.

Andre aflytningsmetoder omfatter man-in-the-middle-angreb, der lader en hacker videresende information til to parter, mens de mener, at de kommunikerer direkte. For eksempel linker GSM-netværk automatisk til det stærkeste signal, så ved at spoofe et bestemt netværks GSM-tårn, linker alle mobiltelefoner i det område automatisk til hackeren og sender deres oplysninger gennem hans system.

3. Session & Cookie Hijacking

Browsere og apps kommunikerer med servere ved hjælp af sessioner. For at komme ind i en session med en server, skal brugeren først identificere sig selv ved hjælp af en login/adgangskode combo, og eventuelt 2-faktor autentificering. Når brugerens identitet er verificeret, starter serveren en session med brugerens browser, hvor der ikke kræves yderligere verifikation, før brugeren logger af.

Et lille problem her er, at serveren gemmer en cookie på den godkendte brugers maskine eller føj et sessions-id til URL'en ved at sige noget som f.eks denne bruger er god til at gå, får du afdriften. Men problemet er, at hvis en hacker kan stjæle disse cookies eller sessions-id'er, så får han adgang til det begrænsede miljø, som offeret skulle godkende for at komme ind i. Han kan derefter lave indlæg, overføre penge eller gøre hvad han ellers kan lide.

Nu er der mange måder at opnå dette på:

  1. XSS eller Cross-Site Scripting – Dette involverer at narre offeret til at klikke på et link til et legitimt websted, men det inkluderer JavaScript-kode til at stjæle hans cookies til det legitime websted og sende dem til hackerens websted.
  2. Session sniffing – Hackeren kan bruge netværkssniffer som Wireshark til at opsnappe sessions- og cookieinformation.
  3. Sessionfiksering – Angriberen sender et link til et offer, der indeholder et sessions-id. Hvis offeret logger ind, og systemet ikke formår at generere et nyt sessions-id, kan hackeren også bruge det samme sessions-id til at logge på. Løsningen her er, at systemet altid genererer et nyt sessions-id efter hvert login.
  4. Session donation – En hacker logger ind på et legitimt websted og sender derefter et link med sessionsdataene til et offer og beder ham om at opdatere oplysninger. Offeret vil se, at han er logget ind, og hvis han ikke opdager, at det ikke er hans konto, kan han indtaste følsomme oplysninger, som hackeren senere kan stjæle. En løsning er altid at logge ud, når du er færdig.

4. XSS & CSRF

Som allerede nævnt ovenfor, står XSS for Cross-Site Scripting, mens CSRF står for Cross-Site Request Forgery. Du skal her bemærke, at XSS går ud over almindeligt cookie-tyveri, da det handler om at køre et script på en side, som offeret har tillid til, mens han forbinder med andre, mindre betroede websteder.

Et offer behøver ikke at være logget ind, være autentificeret eller foretage nogen handling for at falde for et XSS-angreb, som normalt er automatisk. For CSRF skal offeret dog være logget ind på et bestemt websted og desuden tage handling, såsom at klikke på en knap.

Tag for eksempel, Victim-Bob er logget på sin banks hjemmeside, så er der noget der distraherer ham, og han lander på en hjemmeside, der tilbyder en Gratis ferie til Macau, alt hvad han behøver er at klikke på knappen. Når først han klikker på det, sender webstedet en anmodning om pengeoverførsel til hans bank, og da han har en aktiv session med banken, kan den gå igennem. 

Alt hvad angriberens hjemmeside skal bruge er at oprette en formular rettet mod banken med de rigtige felter, såsom:

5. Hotspot Honeypot

Har du nogensinde brugt gratis WiFi til at få adgang til internettet? Håber du brugte en VPN (Virtual Private Network) til at beskytte dig selv, ellers kunne du have været et honeypot-offer.

Ordningen går sådan her: En hacker opretter et gratis WiFi-hotspot med en pakkesniffer bag kulisserne for at høste adgangskoder og andre værdigenstande fra dem, der gratis surfer på nettet. Nogle opretter endda falske firmahotspots, som du ville finde på kaffebarer, lufthavne og restauranter.

For at undgå sådanne hacks skal du blot holde dig væk fra gratis hotspots eller bruge en VPN, hvis du skal bruge offentlige WiFis.

6. Brute Force

Et brute force-angreb er et forsøg på at logge ind på et offers konto ved at prøve alle mulige kombinationer af brugernavn og adgangskode. Det kan også henvise til cracking af en algoritme ved at prøve så mange nøgler som muligt.

Kali Linux, det populære hacker-operativsystem, kommer med brute force-værktøjer som f.eks John Ripper, ncrack, og Hydra. Der er også ordlister, som hjælper med ordbogsangreb. Disse indeholder en liste over de mest populære adgangskoder og ord fra ordbogen, som f.eks abe, 12345, mit hemmelige kodeord, 00000,  og så videre.

Metoder til at undgå brute force-angreb omfatter tilføjelse af en captcha til login-siden, begrænsning af antallet af loginforsøg og håndhævelse af brugen af ​​sikre adgangskoder – 8 tegn eller mere, med en kombination af symboler, tal og store og små bogstaver bogstaver.

7. DoS & DDoS

DoS står for Denial of Service attack, mens DDoS står for Distribueret Denial of Service angreb. Målet her er at overvælde et computersystem, såsom en server, med så mange anmodninger, at det bliver ude af stand til at opfylde yderligere anmodninger – går offline.

DoS kommer fra en enkelt maskine og er let at få øje på og blokere. DDoS på den anden side kommer fra flere computere, og dette kan være et botnet, der er spredt over hele kloden, ofte stammende fra computere inficeret med malware.

Du skal bemærke, at i modsætning til de fleste andre metoder på denne liste, har DDoS-angreb ikke til formål at stjæle eller udføre ondsindet kode på ofrets computer. De bruges snarere til at holde virksomhedsservere under belejring, da disse virksomheder umuligt kan fortsætte deres tjenester, indtil en løsesum er betalt.

Den enkleste måde at undgå DDoS-angreb på er at bruge en webhost, der inkluderer DDoS-beskyttelse i den tilbudte pakke.

8. Målrettede og ikke-målrettede webstedsangreb

Et målrettet angreb er et angreb, der er rettet specifikt mod offerets websted, mens et ikke-målrettet angreb sker på et websted, fordi angriberen udnyttede en generel softwaresvaghed.

WordPress-websteder er for eksempel tilbøjelige til ikke-målrettede angreb, især dem, der kører på ældre, uopdaterede versioner. Angriberen opdager en udnyttelse, der fungerer med en bestemt platform, version eller udviklingsramme, og kører derefter udnyttelsen gennem en liste over webstedsadresser, der bruger platformen, for at se, hvilke der går i stykker.

Ved målrettede angreb vil hackeren bruge lidt mere tid på at lære ofrets hjemmeside at kende, og det kan variere alt fra få dage til mange måneder. Målrettede angreb er normalt mere farlige og kan være katastrofale, især for store virksomheder.

9. SQL-injektion

Hvornår LulzSec brød ind på Sony PlayStation Networks servere i 2011 og stjal 1 million adgangskoder, beskrev de operationen som et simpelt SQL-injektionshack.

SQL-injektion er handlingen med at tilføje SQL-sprogdirektiver til et websteds anmodningsadresse i håb om, at programmøren ikke rensede sådanne potentielt skadelige inputs ud. Og når SQLi fungerer, får hackeren ofte administratoradgang til databasen, som det skete hos Sony.

Det er muligt at forhindre SQL-injektion ved at bruge de nyeste versioner af populære platforme og rammer. De, der bygger alene, bliver dog nødt til at fokusere på korrekt inputvalidering, brug af forberedte erklæringer, lagrede procedurer og sårbarhedsscanning.

10. Plugin sårbarheder

Bortset fra kernesikkerhedsproblemer med populære platforme som WordPress, som ofte kan undgås ved at opgradere til de nyeste softwareversioner, kan plugins på den anden side skabe en stor hacking-trussel.

Der er over 50,000 plugins i WordPress-økosystemet, og hver enkelt udgør en potentiel sikkerhedsrisiko, da størstedelen af ​​de nuværende WordPress-hacks kommer fra disse plugin-sårbarheder.

Selvom 100 % sikkerhed ikke er mulig her, kan du stadig forbedre et websteds forsvar mod plugins sårbarhed ved kun at vælge topkvalitets plugins med høje vurderinger. Foretag derefter regelmæssigt kernesystem- og plugin-opdateringer, og undgå at bruge gamle temaer eller udvidelser af nogen art.

Konklusion

Vi har listet de 10 bedste metoder til hackere derude, og du har set deres årsager og mulige forebyggelsesmetoder. Som du også må have konkluderet, er hacking en del af computerverdenen, så hacktrusler er altid til at regne med. 

Ved at være opmærksom på disse trusler og anvende de rigtige beskyttelsesforanstaltninger, hvor det er nødvendigt, kan du også reducere din risiko for at blive hacket drastisk.

Nnamdi Okeke

Nnamdi Okeke

Nnamdi Okeke er en computerentusiast, der elsker at læse en bred vifte af bøger. Han har en præference for Linux frem for Windows/Mac og har brugt
Ubuntu siden dens tidlige dage. Du kan fange ham på twitter via bongotrax

Artikler: 298

Modtag teknologiske ting

Tech trends, startup trends, anmeldelser, online indkomst, webværktøjer og markedsføring en eller to gange om måneden

Relaterede artikler

Del
Kopier link
×