10 parimat häkkimismeetodit, mida peaksite teadma

Kas olete mures selle pärast, kui ohtlikud võivad häkkerid olla? Siin on populaarseimad häkkimismeetodid ja nendega kaasnevad ohud.

häkker

Interneti-tehnoloogiate areng on toonud kaasa palju kasvu ja ärivõimalusi, aga ka uusi häkkimismeetodeid.

Kaasaegse häkkeri ohvrite hulk on eraisikust sotsiaalmeedia kasutajatest väikeettevõtete ja suurkorporatsioonideni suur.

Seetõttu on teie huvides saada ülevaade veebis varitsevatest võimalikest ohtudest, samuti omada õiget teavet nende turvaohtude leevendamiseks. See postitus heidab veidi valgust.

Sisukord peida
Populaarseimad häkkimismeetodid
Järeldus

Populaarseimad häkkimismeetodid

Siin on populaarseimad häkkimismeetodid:

1. Sotsiaaltehnika

Sotsiaalne manipuleerimine on protsess, mille käigus manipuleeritakse potentsiaalse ohvriga, et avaldada olulist teavet või teha teatud toiminguid, mis annavad ründajale vajaliku juurdepääsu. Sotsiaalsele manipuleerimisele lähenemiseks on palju võimalusi, näiteks ohvrile telefoni teel helistamine ja tundliku teabe küsimine. Seda meetodit nimetatakse vishing ja seda kasutatakse sageli pangateabe kogumiseks pahaaimamatutelt ohvritelt, kes usuvad, et tõeline pangatöötaja on teises otsas.

Teine populaarne meetod on Phishing, ja nagu telefonimeetod, hõlmab see ka kehastamist. Siin võib see olla võltspanga veebisait, mis näeb 100% välja nagu panga algne veebisait. Ohver saab e-kirja või tekstisõnumi lingiga võltsitud saidile, paludes tal turvalisuse huvides kiiresti oma andmeid värskendada. Ründaja kopeerib aga kogu võltsitud saidile sisestatud teabe ja kasutab seda ohvri konto tühjendamiseks.

Teised meetodid hõlmavad seda, et häkker saab ohvriga sõbraks ja omandab järk-järgult juurdepääsu vajalikule teabele või kehastab end autoriteetse tegelasena, näiteks valitsuse töötaja, ülemuse või turvatöötajana, et hirmutada ohvrit teavet avaldama.

Võimalused, kuidas vältida sotsiaalse manipuleerimise ohvriks langemist, on mitte usaldada võõraid inimesi, alati kontrollida, kas olete õigel veebisaidil "https://” ja ärge kunagi avaldage oma paroole ega PIN-koode, ükskõik mida.

2. Pealtkuulamine

Teine ohtlik häkkimisviis on pealtkuulamine. See on ohtlik, kuna selle lahendamiseks on palju võimalusi ja häkker saab hankida piiramatu teabe hulk.

Näidismeetodid hõlmavad võrgu pakettide nuusutamist teabe eraldamiseks, kasutades võrguanalüsaatori tarkvara, näiteks Wireshark. Teine võimalus on installida ohvri arvutisse või nutitelefoni pisike rakendus, mis logib iga klahvivajutuse või jäädvustab kogu tekstisuhtluse.

Teised pealtkuulamismeetodid hõlmavad rünnakuid, mis võimaldavad häkkeritel teavet kahele osapoolele edastada, samal ajal kui nad usuvad, et suhtlevad otse. Näiteks ühenduvad GSM-võrgud automaatselt kõige tugevama signaaliga, nii et konkreetse võrgu GSM-torni võltsimisel lingivad kõik selles piirkonnas olevad mobiiltelefonid automaatselt häkkeriga ja edastavad oma teabe läbi tema süsteemi.

3. Seansi ja küpsiste kaaperdamine

Brauserid ja rakendused suhtlevad serveritega kasutades istungid. Serveriga seansse sisenemiseks peab kasutaja end esmalt identifitseerima, kasutades sisselogimise/parooli kombinatsiooni ja võimalusel ka kahefaktorilist autentimist. Kui kasutaja identiteet on kontrollitud, alustab server seanssi kasutaja brauseriga, mille käigus pole vaja täiendavat kontrollimist enne, kui kasutaja välja logib.

Üks väike probleem on see, et server salvestab a küpsis autentitud kasutaja masinas või lisage URL-ile seansi ID, öeldes midagi sarnast selle kasutajaga on hea minna, saate triivist aru. Probleem on aga selles, et kui häkker saab need küpsised või seansi ID varastada, pääseb ta ligi sellele piiratud keskkonnale, millesse ohver pidi end autentima. Seejärel saab ta postitusi teha, raha üle kanda või teha kõike muud, mis talle meeldib.

Nüüd on selle saavutamiseks palju võimalusi:

  1. XSS või saidiülene skriptimine – See hõlmab ohvri meelitamist klõpsata õigustatud saidile viival lingil, kuid see sisaldab JavaScripti koodi, et varastada selle seadusliku saidi küpsised ja saata need häkkeri saidile.
  2. Seansi nuusutamine – Häkker saab seansi ja küpsiste teabe pealtkuulamiseks kasutada võrgu nuusutajaid, nagu Wireshark.
  3. Seansi fikseerimine – Ründaja saadab ohvrile lingi, mis sisaldab seansi ID-d. Kui ohver logib sisse ja süsteem ei suuda uut seansi ID-d genereerida, saab häkker kasutada sama seansi ID-d ka sisselogimiseks. Siin on lahendus selles, et süsteem genereerib pärast iga sisselogimist alati uue seansi ID.
  4. Seansi annetamine – Häkker logib sisse seaduslikule saidile ja saadab seejärel ohvrile seansiandmetega lingi, paludes tal teavet värskendada. Ohver näeb, et ta on sisse logitud ja kui ta ei märka, et see pole tema konto, saab ta sisestada tundlikku teavet, mille häkker võib hiljem varastada. Üks lahendus on alati välja logida, kui olete lõpetanud.

4. XSS ja CSRF

Nagu eespool juba viidatud, tähistab XSS sõnu Cross-Site Scripting, CSRF aga Cross-Site Request Forgery. Peaksite siinkohal märkima, et XSS läheb kaugemale tavalisest küpsiste vargusest, kuna see seisneb skripti käivitamises lehel, mida ohver usaldab teiste vähem usaldusväärsete veebisaitidega ühenduse loomisel.

Ohver ei pea olema sisse logitud, autentitud ega midagi ette võtma, et langeda XSS-i rünnaku alla, mis tavaliselt on automaatne. CSRF-i jaoks peab ohver aga olema konkreetsele veebisaidile sisse logitud ja lisaks tegema toiminguid, näiteks klõpsama nuppu.

Võtame näiteks selle, et ohver-Bob on oma panga veebisaidile sisse logitud, siis tõmbab miski tema tähelepanu kõrvale ja ta satub veebisaidile, mis pakub Tasuta puhkus Macausse, kõik, mida ta vajab, on klõpsata nuppu. Kui ta seda klõpsab, saadab veebisait tema pangale rahaülekande taotluse ja kuna tal on pangaga aktiivne seanss, võib see läbi minna. 

Ründaja veebisaidil on vaja ainult luua pangale suunatud vorm, millel on õiged väljad, näiteks:

5. Hotspot Honeypot

Kas olete kunagi kasutanud veebi pääsemiseks tasuta WiFi-ühendust? Loodetavasti kasutasite enda kaitsmiseks VPN-i (virtuaalne privaatvõrk), vastasel juhul oleksite võinud olla meepoti ohver.

Skeem näeb välja selline: häkker loob kulisside taga tasuta WiFi-leviala koos paketinuusutajaga, et koguda veebis surfajatelt tasuta paroole ja muud väärtuslikku. Mõned isegi loovad võltsitud ettevõtte levialasid, nagu näiteks kohvikutes, lennujaamades ja restoranides.

Selliste häkkide vältimiseks hoidke lihtsalt tasuta levialadest eemal või kasutage VPN-i, kui peate kasutama avalikke WiFi-sid.

6. Toores jõud

Brute force rünnak on katse logida sisse ohvri kontole, proovides kõiki võimalikke kasutajanime ja parooli kombinatsioone. See võib viidata ka algoritmi murdmisele, proovides võimalikult palju võtmeid.

Kali Linux, populaarne häkkerite operatsioonisüsteem, on varustatud jõhkra jõu tööriistadega, nagu John Ripper, pragu, ja hüdra. Samuti on olemas sõnaloendid, mis aitavad sõnaraamaturünnakutel. Need sisaldavad loendit sõnastikust kõige populaarsematest paroolidest ja sõnadest, nt ahv, 12345, salasõna, 00000,  ja nii edasi.

Meetodid jõhkra jõu rünnakute vältimiseks hõlmavad captcha lisamist sisselogimislehele, sisselogimiskatsete arvu piiramist ja turvaliste paroolide (8 või enama tähemärgi pikkuse) kasutamist koos sümbolite, numbrite ning suur- ja väiketähtede kombinatsiooniga.

7. DoS ja DDoS

DoS tähistab Denial of Service rünnak, samas kui DDoS tähistab Distributed Denial of Service rünnak. Siin on eesmärk koormata arvutisüsteem, näiteks server, nii paljude päringutega, et see ei suuda enam taotlusi täita – läheb võrguühenduseta.

DoS pärineb ühest masinast ning seda on lihtne märgata ja blokeerida. Teisest küljest pärineb DDoS mitmest arvutist ja see võib olla üle maailma levinud robotvõrk, mis sageli pärineb pahavaraga nakatunud arvutitest.

Pange tähele, et erinevalt enamikust teistest selles loendis olevatest meetoditest ei ole DDoS-i rünnakute eesmärk ohvri arvutis pahatahtliku koodi varastamine või käivitamine. Pigem kasutatakse neid äriserverite piiramise all hoidmiseks, kuna need ettevõtted ei saa oma teenuseid kuni lunaraha maksmiseni jätkata.

Lihtsaim viis DDoS-i rünnakute vältimiseks on kasutada veebimajurit, mis sisaldab pakutavas paketis DDoS-kaitset.

8. Sihitud ja mittesihitud veebisaitide rünnakud

Sihitud rünnak on rünnak, mis on suunatud konkreetselt ohvri veebisaidile, samas kui mittesihitud rünnak toimub veebisaidi vastu, kuna ründaja kasutas ära üldist tarkvara nõrkust.

Näiteks WordPressi veebisaidid on altid mittesihitud rünnakutele, eriti need, mis töötavad vanematel, värskendamata versioonidel. Ründaja avastab ärakasutamise, mis töötab konkreetse platvormi, versiooni või arendusraamistikuga, ja seejärel käivitab ärakasutamise platvormi kasutavate veebisaitide aadresside loendi kaudu, et näha, millised neist purunevad.

Sihitud rünnakute korral kulutab häkker veidi rohkem aega ohvri veebisaidi tundmaõppimisele ja see võib ulatuda mõnest päevast mitme kuuni. Sihitud rünnakud on tavaliselt ohtlikumad ja võivad olla katastroofilised, eriti suurtele ettevõtetele.

9. SQL-i süstimine

Kui LulzSec tungisid 2011. aastal Sony PlayStation Networki serveritesse ja varastasid 1 miljon parooli, kirjeldasid nad operatsiooni kui lihtsat SQL-i süstimise häkkimist.

SQL-i süstimine on SQL-keele direktiivide lisamine veebisaidi päringuaadressile, lootuses, et programmeerija ei puhastanud selliseid potentsiaalselt kahjulikke sisendeid. Ja kui SQLi töötab, saab häkker sageli andmebaasile administraatori juurdepääsu, nagu juhtus Sony puhul.

SQL-i süstimist saab vältida populaarsete platvormide ja raamistike uusimate versioonide abil. Ent need, kes ise ehitavad, peavad keskenduma õigele sisendi valideerimisele, ettevalmistatud avalduste kasutamisele, salvestatud protseduuridele ja haavatavuse skannimisele.

10. Pistikprogrammi haavatavused

Lisaks populaarsete platvormide (nt WordPress) peamistele turbeprobleemidele, mida saab sageli vältida tarkvara uusimatele versioonidele üleminekuga, võivad pistikprogrammid tekitada suure häkkimisohu.

WordPressi ökosüsteemis on üle 50,000 XNUMX pistikprogrammi ja igaüks neist kujutab endast potentsiaalset turvariski, kuna suurem osa praegustest WordPressi häkkidest tulenevad nendest pistikprogrammide haavatavusest.

Kuigi 100% turvalisus pole siin võimalik, saate siiski parandada veebisaidi kaitset pistikprogrammide haavatavuse vastu, valides ainult kõrge reitinguga tippkvaliteediga pistikprogrammid. Seejärel värskendage regulaarselt põhisüsteemi ja pistikprogramme ning vältige vanade teemade või mis tahes laienduste kasutamist.

Järeldus

Oleme loetletud 10 parimat häkkerite meetodit ning olete näinud nende põhjuseid ja võimalikke ennetusmeetodeid. Nagu olete ka järeldanud, on häkkimine osa arvutimaailmast, seega tuleb häkkimisohtudega alati arvestada. 

Olles nendest ohtudest teadlik ja rakendades vajadusel õigeid kaitsemeetmeid, saate ka teie häkkimise ohtu drastiliselt vähendada.

Nnamdi Okeke

Nnamdi Okeke

Nnamdi Okeke on arvutihuviline, kes armastab lugeda mitmesuguseid raamatuid. Ta eelistab Linuxit Windowsile/Macile ja on seda kasutanud
Ubuntu selle algusaegadest peale. Saate teda Twitteris tabada bongotrax

Artiklid: 298

Võtke vastu tehnilisi asju

Tehnilised suundumused, käivitamistrendid, ülevaated, veebisissetulek, veebitööriistad ja turundus üks või kaks korda kuus

seotud artiklid

Jaga
Copy Link
×