Οι 10 κορυφαίες μέθοδοι hacking που πρέπει να γνωρίζετε

Ανησυχείτε για το πόσο επικίνδυνοι μπορεί να είναι οι χάκερ; Εδώ είναι οι κορυφαίες μέθοδοι hacking και οι κίνδυνοι που ενέχουν.

  • Nnamdi OkekeBy
  • Ενημερώθηκε
  • Διαβάστε την ώρα9 λεπτά
χάκερ

Η ανάπτυξη των τεχνολογιών του Διαδικτύου έχει φέρει πολλές εξελίξεις και επιχειρηματικές ευκαιρίες, καθώς και νέες μεθόδους hacking που ταιριάζουν.

Από ιδιώτες χρήστες μέσων κοινωνικής δικτύωσης έως μικρές επιχειρήσεις και μεγάλες εταιρείες, το εύρος των θυμάτων για τον σύγχρονο χάκερ είναι τεράστιο.

Επομένως, είναι προς το συμφέρον σας να πάρετε μια ιδέα για τους πιθανούς κινδύνους που ελλοχεύουν στον Παγκόσμιο Ιστό, καθώς και να έχετε τις κατάλληλες πληροφορίες για τον μετριασμό αυτών των απειλών ασφαλείας. Αυτή η ανάρτηση ρίχνει λίγο φως.

Πίνακας περιεχομένων απόκρυψη
Κορυφαίες μέθοδοι hacking
Συμπέρασμα

Κορυφαίες μέθοδοι hacking

Εδώ είναι οι κορυφαίες μέθοδοι hacking:

1. Κοινωνική Μηχανική

Η κοινωνική μηχανική είναι η διαδικασία χειραγώγησης ενός πιθανού θύματος για να αποκαλύψει σημαντικές πληροφορίες ή να λάβει ορισμένες ενέργειες που θα δώσουν στον εισβολέα την απαραίτητη πρόσβαση. Υπάρχουν πολλοί τρόποι προσέγγισης της κοινωνικής μηχανικής, όπως να καλέσετε το θύμα στο τηλέφωνο και να ζητήσετε ευαίσθητες πληροφορίες. Αυτή η μέθοδος ονομάζεται vishing και χρησιμοποιείται συχνά για τη συλλογή τραπεζικών πληροφοριών από ανυποψίαστα θύματα, που πιστεύουν ότι ένας πραγματικός τραπεζικός υπάλληλος βρίσκεται στην άλλη άκρη.

Μια άλλη δημοφιλής μέθοδος είναι Phishing, και όπως και η τηλεφωνική μέθοδος, περιλαμβάνει πλαστοπροσωπίες. Εδώ, θα μπορούσε να είναι ένας πλαστός τραπεζικός ιστότοπος που μοιάζει 100% με τον ιστότοπο της αρχικής τράπεζας. Το θύμα λαμβάνει ένα email ή ένα μήνυμα κειμένου με έναν σύνδεσμο προς τον ψεύτικο ιστότοπο, ζητώντας του να ενημερώσει επειγόντως τα στοιχεία του για λόγους ασφαλείας. Ωστόσο, όλες οι πληροφορίες που εισάγονται στον ψεύτικο ιστότοπο αντιγράφονται από τον εισβολέα και χρησιμοποιούνται για να αδειάσουν τον λογαριασμό του θύματος.

Άλλες μέθοδοι περιλαμβάνουν ο χάκερ να γίνει φίλος με το θύμα και σταδιακά να αποκτήσει πρόσβαση στις απαραίτητες πληροφορίες ή να υποδυθεί μια αυθεντία, όπως έναν δημόσιο υπάλληλο, ένα αφεντικό ή έναν πράκτορα ασφαλείας για να εκφοβίσει ένα θύμα να αποκαλύψει πληροφορίες.

Οι τρόποι για να αποφύγετε να γίνετε θύμα κοινωνικής μηχανικής περιλαμβάνουν το να μην εμπιστεύεστε αγνώστους, να ελέγχετε πάντα για να βεβαιωθείτε ότι βρίσκεστε στον σωστό ιστότοπο με "https://” και μην δίνετε ποτέ τους κωδικούς πρόσβασης ή τους κωδικούς PIN, ό,τι κι αν γίνει.

2. Υποκλοπή

Μια άλλη επικίνδυνη μέθοδος hacking είναι η υποκλοπή. Είναι επικίνδυνο επειδή υπάρχουν τόσοι πολλοί τρόποι για να το πετύχετε και δεν υπάρχει όριο στον όγκο των πληροφοριών που μπορεί να αποκτήσει ο χάκερ.

Παραδείγματα μεθόδων περιλαμβάνουν την ανίχνευση πακέτων ενός δικτύου για την εξαγωγή πληροφοριών χρησιμοποιώντας λογισμικό αναλυτή δικτύου όπως π.χ Wireshark. Ένας άλλος τρόπος είναι να εγκαταστήσετε μια μικροσκοπική εφαρμογή στον υπολογιστή ή το smartphone του θύματος που καταγράφει κάθε πάτημα πλήκτρων ή καταγράφει όλη την επικοινωνία κειμένου.

Άλλες μέθοδοι υποκλοπής περιλαμβάνουν επιθέσεις «man-in-the-middle» που επιτρέπουν σε έναν χάκερ να μεταδίδει πληροφορίες σε δύο μέρη, ενώ πιστεύουν ότι επικοινωνούν απευθείας. Για παράδειγμα, τα δίκτυα GSM συνδέονται αυτόματα με το ισχυρότερο σήμα, επομένως, πλαστογραφώντας τον πύργο GSM ενός συγκεκριμένου δικτύου, όλα τα κινητά τηλέφωνα σε αυτήν την περιοχή συνδέονται αυτόματα με τον χάκερ και περνούν τις πληροφορίες τους μέσω του συστήματός του.

3. Session & Cookie Hijacking

Τα προγράμματα περιήγησης και οι εφαρμογές επικοινωνούν με διακομιστές χρησιμοποιώντας συνεδρίες. Για να συμμετάσχει σε μια συνεδρία με έναν διακομιστή, ο χρήστης πρέπει πρώτα να αναγνωρίσει τον εαυτό του χρησιμοποιώντας έναν συνδυασμό σύνδεσης/κωδικού πρόσβασης και, ενδεχομένως, έλεγχο ταυτότητας 2 παραγόντων. Όταν επαληθευτεί η ταυτότητα του χρήστη, τότε ο διακομιστής ξεκινά μια περίοδο λειτουργίας με το πρόγραμμα περιήγησης του χρήστη, κατά την οποία δεν απαιτείται περαιτέρω επαλήθευση μέχρι να αποσυνδεθεί ο χρήστης.

Ένα μικρό ζήτημα εδώ είναι ότι ο διακομιστής θα αποθηκεύσει ένα κουλουράκι στον υπολογιστή του πιστοποιημένου χρήστη ή προσθέστε ένα αναγνωριστικό περιόδου σύνδεσης στη διεύθυνση URL, λέγοντας κάτι σαν αυτός ο χρήστης είναι καλός να πάει, παίρνεις το drift. Αλλά το πρόβλημα είναι ότι εάν ένας χάκερ μπορεί να κλέψει αυτά τα cookie ή το αναγνωριστικό περιόδου σύνδεσης, τότε αποκτά πρόσβαση σε αυτό το περιορισμένο περιβάλλον στο οποίο το θύμα έπρεπε να ελέγξει την ταυτότητα για να εισέλθει. Στη συνέχεια μπορεί να κάνει αναρτήσεις, να μεταφέρει χρήματα ή να κάνει ό,τι άλλο του αρέσει.

Τώρα, υπάρχουν πολλοί τρόποι για να επιτευχθεί αυτό:

  1. XSS ή δέσμη ενεργειών μεταξύ τοποθεσιών – Αυτό περιλαμβάνει την εξαπάτηση του θύματος για να κάνει κλικ σε έναν σύνδεσμο προς έναν νόμιμο ιστότοπο, αλλά αυτό περιλαμβάνει κώδικα JavaScript για να κλέψει τα cookie του για αυτόν τον νόμιμο ιστότοπο και να τα στείλει στον ιστότοπο του χάκερ.
  2. Sniffing συνεδρίας – Ο χάκερ μπορεί να χρησιμοποιήσει sniffers δικτύου όπως το Wireshark για να υποκλέψει πληροφορίες περιόδου λειτουργίας και cookie.
  3. Διόρθωση συνεδρίας – Ο εισβολέας στέλνει έναν σύνδεσμο σε ένα θύμα που περιέχει ένα αναγνωριστικό περιόδου σύνδεσης. Εάν το θύμα συνδεθεί και το σύστημα αποτύχει να δημιουργήσει ένα νέο αναγνωριστικό περιόδου σύνδεσης, τότε ο χάκερ μπορεί να χρησιμοποιήσει το ίδιο αναγνωριστικό συνεδρίας για να συνδεθεί επίσης. Η λύση εδώ είναι το σύστημα να δημιουργεί πάντα ένα νέο αναγνωριστικό περιόδου σύνδεσης μετά από κάθε σύνδεση.
  4. Δωρεά συνεδρίας – Ένας χάκερ συνδέεται σε μια νόμιμη τοποθεσία και στη συνέχεια στέλνει έναν σύνδεσμο με τα δεδομένα της περιόδου σύνδεσης σε ένα θύμα, ζητώντας του να ενημερώσει τις πληροφορίες. Το θύμα θα δει ότι είναι συνδεδεμένο και αν δεν παρατηρήσει ότι δεν είναι ο λογαριασμός του, τότε μπορεί να εισάγει ευαίσθητες πληροφορίες, τις οποίες ο χάκερ μπορεί αργότερα να κλέψει. Μια λύση είναι να αποσυνδέεστε πάντα όταν τελειώσετε.

4. XSS & CSRF

Όπως αναφέρθηκε ήδη παραπάνω, το XSS σημαίνει Cross-Site Scripting, ενώ το CSRF σημαίνει πλαστογράφηση αιτημάτων μεταξύ τοποθεσιών. Θα πρέπει να σημειώσετε εδώ ότι το XSS υπερβαίνει τη συνηθισμένη κλοπή cookie, καθώς έχει να κάνει με την εκτέλεση ενός σεναρίου σε μια σελίδα που εμπιστεύεται το θύμα ενώ συνδέεται με άλλους, λιγότερο αξιόπιστους ιστότοπους.

Ένα θύμα δεν χρειάζεται να συνδεθεί, να πιστοποιηθεί ή να κάνει οποιαδήποτε ενέργεια για να υποκύψει σε επίθεση XSS, η οποία είναι συνήθως αυτόματη. Για το CSRF, ωστόσο, το θύμα πρέπει να είναι συνδεδεμένο σε έναν συγκεκριμένο ιστότοπο και επιπλέον να προβεί σε ενέργειες, όπως να κάνει κλικ σε ένα κουμπί.

Πάρτε, για παράδειγμα, ότι ο Victim-Bob είναι συνδεδεμένος στον ιστότοπο της τράπεζάς του, μετά κάτι του αποσπά την προσοχή και προσγειώνεται σε έναν ιστότοπο που προσφέρει Δωρεάν διακοπές στο Μακάο, το μόνο που χρειάζεται είναι να κάνει κλικ στο κουμπί. Μόλις κάνει κλικ σε αυτό, ωστόσο, ο ιστότοπος υποβάλλει ένα αίτημα μεταφοράς χρημάτων στην τράπεζά του και, καθώς έχει μια ενεργή περίοδο σύνδεσης με την τράπεζα, μπορεί να ολοκληρωθεί. 

Το μόνο που χρειάζεται ο ιστότοπος του εισβολέα είναι να δημιουργήσει μια φόρμα που θα απευθύνεται στην τράπεζα με τα σωστά πεδία, όπως:

5. Hotspot Honeypot

Χρησιμοποιήσατε ποτέ δωρεάν WiFi για πρόσβαση στον Ιστό; Ελπίζω να χρησιμοποιήσατε ένα VPN (Εικονικό Ιδιωτικό Δίκτυο) για να προστατεύσετε τον εαυτό σας, διαφορετικά θα μπορούσατε να είχατε γίνει θύμα honeypot.

Το σχέδιο έχει ως εξής: Ένας χάκερ δημιουργεί ένα δωρεάν hotspot WiFi με έναν ανιχνευτή πακέτων στα παρασκήνια για να συλλέξει κωδικούς πρόσβασης και άλλα τιμαλφή από όσους σερφάρουν στον Ιστό δωρεάν. Μερικοί μάλιστα δημιουργούν ψεύτικα hotspot εταιρειών, όπως θα βρείτε σε καφετέριες, αεροδρόμια και εστιατόρια.

Για να αποφύγετε τέτοιες εισβολές, απλώς μείνετε μακριά από δωρεάν hotspot ή χρησιμοποιήστε ένα VPN εάν πρέπει να χρησιμοποιήσετε δημόσια WiFi.

6. Brute Force

Μια επίθεση ωμής βίας είναι μια προσπάθεια σύνδεσης στο λογαριασμό ενός θύματος δοκιμάζοντας όλους τους πιθανούς συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης. Μπορεί επίσης να αναφέρεται στο σπάσιμο ενός αλγορίθμου επιχειρώντας όσο το δυνατόν περισσότερα πλήκτρα.

Kali Linux, το δημοφιλές λειτουργικό σύστημα χάκερ, έρχεται με εργαλεία ωμής βίας όπως π.χ Ιωάννης ο Αντεροβγάλτης, κρακ, και  Έδρα. Υπάρχουν επίσης λίστες λέξεων, που βοηθούν στις επιθέσεις λεξικών. Αυτά περιέχουν μια λίστα με τους πιο δημοφιλείς κωδικούς πρόσβασης και λέξεις από το λεξικό, όπως π.χ μαϊμού, 12345, mysecretpassword, 00000,  και ούτω καθεξής.

Οι μέθοδοι για την αποφυγή επιθέσεων ωμής βίας περιλαμβάνουν την προσθήκη captcha στη σελίδα σύνδεσης, τον περιορισμό του αριθμού των προσπαθειών σύνδεσης και την επιβολή της χρήσης ασφαλών κωδικών πρόσβασης – 8 χαρακτήρες ή περισσότεροι, με συνδυασμό συμβόλων, αριθμών και κεφαλαίων και πεζών γραμμάτων.

7. DoS & DDoS

DoS σημαίνει Denial of Service επίθεση, ενώ το DDoS σημαίνει Distributed Denial of Service επίθεση. Ο στόχος εδώ είναι να κατακλύσουμε ένα σύστημα υπολογιστή, όπως έναν διακομιστή, με τόσα πολλά αιτήματα, ώστε να μην μπορεί να εκπληρώσει περαιτέρω αιτήματα - πηγαίνει εκτός σύνδεσης.

Το DoS προέρχεται από ένα μόνο μηχάνημα και είναι εύκολο να εντοπιστεί και να αποκλειστεί. Το DDoS από την άλλη πλευρά προέρχεται από πολλούς υπολογιστές και αυτό μπορεί να είναι ένα botnet που διαδίδεται σε όλο τον κόσμο, συχνά προέρχεται από υπολογιστές που έχουν μολυνθεί με κακόβουλο λογισμικό.

Θα πρέπει να σημειώσετε ότι σε αντίθεση με τις περισσότερες άλλες μεθόδους σε αυτήν τη λίστα, οι επιθέσεις DDoS δεν στοχεύουν στην κλοπή ή την εκτέλεση κακόβουλου κώδικα στον υπολογιστή του θύματος. Αντίθετα, χρησιμοποιούνται για να κρατούν επιχειρησιακούς διακομιστές υπό πολιορκία, καθώς αυτές οι εταιρείες μπορούν να συνεχίσουν απίστευτα τις υπηρεσίες τους μέχρι να πληρωθούν λύτρα.

Ο απλούστερος τρόπος για να αποφύγετε επιθέσεις DDoS είναι να χρησιμοποιήσετε έναν οικοδεσπότη Ιστού που περιλαμβάνει προστασία DDoS στο προσφερόμενο πακέτο.

8. Στοχευμένες & μη στοχευμένες επιθέσεις σε ιστότοπους

Μια στοχευμένη επίθεση είναι μια επίθεση που στοχεύει ειδικά στον ιστότοπο του θύματος, ενώ μια μη στοχευμένη επίθεση συμβαίνει σε έναν ιστότοπο επειδή ο εισβολέας εκμεταλλευόταν μια γενική αδυναμία λογισμικού.

Οι ιστότοποι WordPress, για παράδειγμα, είναι επιρρεπείς σε μη στοχευμένες επιθέσεις, ειδικά εκείνες που εκτελούνται σε παλαιότερες, μη ενημερωμένες εκδόσεις. Ο εισβολέας ανακαλύπτει ένα exploit που λειτουργεί με μια συγκεκριμένη πλατφόρμα, έκδοση ή πλαίσιο ανάπτυξης και, στη συνέχεια, εκτελεί το exploit μέσω μιας λίστας διευθύνσεων ιστότοπου που χρησιμοποιούν την πλατφόρμα, για να δει ποιες χαλάνε.

Για στοχευμένες επιθέσεις, ο χάκερ θα αφιερώσει λίγο περισσότερο χρόνο για να γνωρίσει τον ιστότοπο του θύματος και αυτό μπορεί να κυμαίνεται από μερικές ημέρες έως πολλούς μήνες. Οι στοχευμένες επιθέσεις είναι συνήθως πιο επικίνδυνες και μπορεί να είναι καταστροφικές, ειδικά για μεγάλες επιχειρήσεις.

9. Έγχυση SQL

Όταν LulzSec εισέβαλαν στους διακομιστές του Sony PlayStation Network το 2011 και έκλεψαν 1 εκατομμύριο κωδικούς πρόσβασης, περιέγραψαν τη λειτουργία ως μια απλή εισβολή SQL.

Η έγχυση SQL είναι η πράξη προσθήκης οδηγιών γλώσσας SQL στη διεύθυνση αιτήματος ενός ιστότοπου, με την ελπίδα ότι ο προγραμματιστής δεν είχε καθαρίσει τέτοιες δυνητικά επιβλαβείς εισόδους. Και όταν το SQLi λειτουργεί, ο χάκερ αποκτά συχνά πρόσβαση διαχειριστή στη βάση δεδομένων, όπως συνέβη στη Sony.

Η αποτροπή της ένεσης SQL είναι δυνατή χρησιμοποιώντας τις πιο πρόσφατες εκδόσεις δημοφιλών πλατφορμών και πλαισίων. Ωστόσο, όσοι κατασκευάζουν από μόνοι τους θα πρέπει να επικεντρωθούν στη σωστή επικύρωση των εισροών, στη χρήση προετοιμασμένων δηλώσεων, στις αποθηκευμένες διαδικασίες και στη σάρωση ευπάθειας.

10. Ευπάθειες πρόσθετων

Εκτός από τα βασικά ζητήματα ασφάλειας με δημοφιλείς πλατφόρμες όπως το WordPress, τα οποία συχνά μπορούν να αποφευχθούν με την αναβάθμιση στις πιο πρόσφατες εκδόσεις λογισμικού, τα πρόσθετα, από την άλλη πλευρά, μπορούν να δημιουργήσουν μια σημαντική απειλή hacking.

Υπάρχουν πάνω από 50,000 πρόσθετα στο οικοσύστημα του WordPress και καθεμία από αυτές ενέχει έναν πιθανό κίνδυνο ασφάλειας, καθώς η πλειονότητα των τρεχόντων hacks του WordPress προέρχεται από αυτά τα τρωτά σημεία των προσθηκών.

Παρόλο που η 100% ασφάλεια δεν είναι δυνατή εδώ, μπορείτε να βελτιώσετε την άμυνα ενός ιστότοπου έναντι της ευπάθειας των προσθηκών επιλέγοντας μόνο προσθήκες κορυφαίας ποιότητας με υψηλές αξιολογήσεις. Στη συνέχεια, κάνετε τακτικά ενημερώσεις βασικών συστημάτων και προσθηκών και αποφύγετε τη χρήση παλαιών θεμάτων ή επεκτάσεων οποιουδήποτε είδους.

Συμπέρασμα

Έχουμε παραθέσει τις 10 κορυφαίες μεθόδους χάκερ εκεί έξω και έχετε δει τις αιτίες τους και τις πιθανές μεθόδους πρόληψης. Όπως θα πρέπει να έχετε συμπεράνει επίσης, η πειρατεία είναι μέρος του κόσμου των υπολογιστών, επομένως οι απειλές hack πρέπει πάντα να υπολογίζονται. 

Έχοντας επίγνωση αυτών των απειλών, ωστόσο, και εφαρμόζοντας τα σωστά μέτρα προστασίας όπου είναι απαραίτητο, μπορείτε επίσης να μειώσετε δραστικά τον κίνδυνο να δεχθείτε εισβολή.

Nnamdi Okeke

Nnamdi Okeke

Ο Nnamdi Okeke είναι ένας λάτρης των υπολογιστών που του αρέσει να διαβάζει ένα ευρύ φάσμα βιβλίων. Έχει προτίμηση στο Linux έναντι των Windows/Mac και το χρησιμοποιεί
Το Ubuntu από τις πρώτες μέρες του. Μπορείτε να τον πιάσετε στο twitter μέσω bongotrax

Άρθρα: 297

Λάβετε είδη τεχνολογίας

Τεχνικές τάσεις, τάσεις εκκίνησης, κριτικές, διαδικτυακό εισόδημα, διαδικτυακά εργαλεία και μάρκετινγκ μία ή δύο φορές το μήνα

Σχετικά άρθρα

Κοινοποίηση
Copy Link
×