Lo sviluppo delle tecnologie Internet ha portato molte crescite e opportunità di business, oltre a nuovi metodi di hacking da abbinare.
Dagli utenti privati dei social media alle piccole imprese e alle grandi aziende, la gamma di vittime per l'hacker moderno è vasta.
È quindi nel vostro interesse avere un'idea dei possibili pericoli che si nascondono nel World Wide Web, nonché disporre delle informazioni giuste per mitigare tali minacce alla sicurezza. Questo post fa luce.
Contenuti
I migliori metodi di hacking
Ecco i migliori metodi di hacking:
1. Ingegneria sociale
L'ingegneria sociale è il processo di manipolazione di una potenziale vittima per divulgare informazioni importanti o per intraprendere determinate azioni che garantiranno all'attaccante l'accesso necessario. Esistono molti modi per avvicinarsi all'ingegneria sociale, come chiamare la vittima al telefono e richiedere informazioni riservate. Questo metodo è chiamato Vishing ed è spesso utilizzato per raccogliere informazioni bancarie da vittime ignare, che credono che un vero impiegato di banca sia dall'altra parte.
Un altro metodo popolare è phishinge, proprio come il metodo telefonico, include le imitazioni. Qui, potrebbe essere un sito Web bancario falso che assomiglia al 100% al sito Web della banca originale. La vittima riceve un'e-mail o un sms con un link al sito falso, che gli chiede di aggiornare urgentemente i suoi dati per motivi di sicurezza. Tuttavia, tutte le informazioni inserite nel sito falso vengono copiate dall'attaccante e utilizzate per svuotare l'account della vittima.
Altri metodi includono l'hacker di diventare amico della vittima e ottenere gradualmente l'accesso alle informazioni necessarie, o impersonare una figura autoritaria, come un impiegato del governo, un capo o un agente di sicurezza per intimidire una vittima facendogli divulgare informazioni.
I modi per evitare di diventare una vittima dell'ingegneria sociale includono non fidarsi degli estranei, controllando sempre di essere sul sito Web giusto con "https://” e non fornire mai le tue password o codici PIN, qualunque cosa accada.
2. Intercettazioni
Un altro metodo di hacking pericoloso è l'intercettazione. È pericoloso perché ci sono tanti modi per farlo e non c'è limite alla quantità di informazioni che l'hacker può ottenere.
I metodi di esempio includono lo sniffing dei pacchetti di una rete per estrarre informazioni utilizzando un software di analisi di rete come Wireshark. Un altro modo è installare una piccola app sul computer o sullo smartphone della vittima che registra ogni sequenza di tasti o acquisisce tutte le comunicazioni di testo.
Altri metodi di intercettazione includono attacchi man-in-the-middle che consentono a un hacker di trasmettere informazioni a due parti, mentre credono di comunicare direttamente. Ad esempio, le reti GSM si collegano automaticamente al segnale più forte, quindi, falsificando la torre GSM di una particolare rete, tutti i telefoni cellulari in quell'area si collegano automaticamente all'hacker e trasmettono le loro informazioni attraverso il suo sistema.
3. Sessione e dirottamento dei cookie
I browser e le app comunicano con i server utilizzando sessioni. Per entrare in una sessione con un server, l'utente deve prima identificarsi utilizzando una combinazione di login/password e possibilmente un'autenticazione a 2 fattori. Quando l'identità dell'utente viene verificata, il server avvia una sessione con il browser dell'utente, durante la quale non è richiesta alcuna ulteriore verifica fino a quando l'utente non si disconnette.
Un piccolo problema qui è che il server memorizzerà a biscotto sulla macchina dell'utente autenticato o aggiungere un ID di sessione all'URL, dicendo qualcosa del genere questo utente è a posto, ottieni la deriva. Ma il problema è che se un hacker può rubare quei cookie o l'ID di sessione, ottiene l'accesso a quell'ambiente limitato in cui la vittima doveva autenticarsi per entrare. Può quindi pubblicare post, trasferire denaro o fare qualsiasi altra cosa gli piace.
Ora, ci sono molti modi per raggiungere questo obiettivo:
- XSS o scripting tra siti – Ciò implica indurre la vittima a fare clic su un collegamento a un sito legittimo, ma ciò include il codice JavaScript per rubare i suoi cookie per quel sito legittimo e inviarli al sito dell'hacker.
- Sniffing di sessione – L'hacker può utilizzare sniffer di rete come Wireshark per intercettare le informazioni sulla sessione e sui cookie.
- Sessione fissa – L'attaccante invia un collegamento a una vittima che contiene un ID di sessione. Se la vittima effettua l'accesso e il sistema non riesce a generare un nuovo ID di sessione, anche l'hacker può utilizzare lo stesso ID di sessione per accedere. La soluzione qui è che il sistema generi sempre un nuovo ID di sessione dopo ogni accesso.
- Donazione della sessione – Un hacker accede a un sito legittimo, quindi invia un collegamento con i dati della sessione a una vittima, chiedendogli di aggiornare le informazioni. La vittima vedrà che ha effettuato l'accesso e se non si accorge che non è il suo account, può inserire informazioni sensibili, che l'hacker può successivamente rubare. Una soluzione è disconnettersi sempre quando hai finito.
4. XSS e CSRF
Come già accennato in precedenza, XSS sta per Cross-Site Scripting, mentre CSRF sta per Cross-Site Request Forgery. Dovresti notare qui che XSS va oltre il normale furto di cookie, poiché si tratta di eseguire uno script su una pagina di cui la vittima si fida mentre si connette con altri siti Web meno affidabili.
Una vittima non ha bisogno di essere loggata, autenticata o intraprendere alcuna azione per cadere in un attacco XSS, che di solito è automatico. Per CSRF, tuttavia, la vittima deve aver effettuato l'accesso a un determinato sito Web e inoltre intraprendere un'azione, ad esempio fare clic su un pulsante.
Prendi, ad esempio, Victim-Bob è connesso al sito Web della sua banca, poi qualcosa lo distrae e arriva su un sito Web che offre un Vacanza gratuita a Macao, tutto ciò di cui ha bisogno è fare clic sul pulsante. Una volta che fa clic su di esso, tuttavia, il sito Web invia una richiesta di trasferimento di denaro alla sua banca e, poiché ha una sessione attiva con la banca, potrebbe andare a buon fine.
Tutto ciò di cui ha bisogno il sito web dell'attaccante è creare un modulo diretto alla banca con i campi giusti, come ad esempio:
5. Honeypot dell'hotspot
Hai mai usato il WiFi gratuito per accedere al web? Spero che tu abbia utilizzato una VPN (Virtual Private Network) per proteggerti, altrimenti avresti potuto essere una vittima di honeypot.
Lo schema è il seguente: un hacker crea un hotspot Wi-Fi gratuito con uno sniffer di pacchetti dietro le quinte per raccogliere password e altri oggetti di valore da coloro che navigano gratuitamente sul Web. Alcuni hanno persino creato falsi hotspot aziendali, come quelli che potresti trovare nei bar, negli aeroporti e nei ristoranti.
Per evitare tali hack, stai semplicemente lontano dagli hotspot gratuiti o utilizza una VPN se devi utilizzare Wi-Fi pubblici.
6. Forza bruta
Un attacco di forza bruta è un tentativo di accedere all'account di una vittima provando tutte le possibili combinazioni di nome utente e password. Può anche riferirsi al cracking di un algoritmo tentando quante più chiavi possibili.
Kali Linux, il popolare sistema operativo degli hacker, viene fornito con strumenti di forza bruta come John the Ripper, crack, e Hydra. Ci sono anche elenchi di parole, che aiutano negli attacchi del dizionario. Questi contengono un elenco delle password e delle parole più popolari del dizionario, ad esempio scimmia, 12345, password segreta, 00000, e così via.
I metodi per evitare attacchi di forza bruta includono l'aggiunta di un captcha alla pagina di accesso, la limitazione del numero di tentativi di accesso e l'imposizione dell'uso di password sicure – 8 caratteri o più, con una combinazione di simboli, numeri e lettere maiuscole e minuscole lettere.
7. DoS e DDoS
DoS sta per Denial of Service attacco, mentre DDoS sta per Distributed Denial of Service attacco. L'obiettivo qui è sovraccaricare un sistema informatico, come un server, con così tante richieste, che diventa incapace di soddisfare ulteriori richieste – va offline.
DoS proviene da un'unica macchina ed è facile da individuare e bloccare. DDoS d'altra parte proviene da più computer e questa può essere una botnet diffusa in tutto il mondo, spesso originata da computer infettati da malware.
Dovresti notare che, a differenza della maggior parte degli altri metodi in questo elenco, gli attacchi DDoS non mirano a rubare o eseguire codice dannoso sul computer della vittima. Piuttosto, vengono utilizzati per tenere sotto assedio i server aziendali, poiché queste società possono incredibilmente continuare i loro servizi fino a quando non viene pagato un riscatto.
Il modo più semplice per evitare attacchi DDoS è utilizzare un host web che includa la protezione DDoS nel pacchetto offerto.
8. Attacchi al sito web mirati e non mirati
Un attacco mirato è un attacco mirato specificamente al sito Web della vittima, mentre un attacco non mirato si verifica a un sito Web perché l'attaccante stava sfruttando una debolezza generale del software.
I siti Web WordPress, ad esempio, sono soggetti ad attacchi non mirati, in particolare quelli eseguiti su versioni precedenti e non aggiornate. L'autore dell'attacco scopre un exploit che funziona con una particolare piattaforma, versione o framework di sviluppo, quindi esegue l'exploit attraverso un elenco di indirizzi di siti Web che utilizzano la piattaforma, per vedere quali si guastano.
Per gli attacchi mirati, l'hacker impiegherà un po' più di tempo per conoscere il sito Web della vittima, e questo può variare da pochi giorni a molti mesi. Gli attacchi mirati sono generalmente più pericolosi e possono essere disastrosi, soprattutto per le grandi aziende.
9. Iniezione SQL
Quando LulzSec ha fatto irruzione nei server di Sony PlayStation Network nel 2011 e ha rubato 1 milione di password. Hanno descritto l'operazione come un semplice hack di SQL injection.
L'iniezione SQL è l'atto di aggiungere direttive del linguaggio SQL all'indirizzo di richiesta di un sito Web, nella speranza che il programmatore non ripulisca tali input potenzialmente dannosi. E quando SQLi funziona, l'hacker ottiene spesso l'accesso come amministratore al database, come è successo in Sony.
È possibile impedire l'iniezione di SQL utilizzando le versioni più recenti di piattaforme e framework popolari. Tuttavia, coloro che costruiscono da soli dovranno concentrarsi sulla corretta convalida dell'input, sull'uso di istruzioni preparate, procedure archiviate e scansione delle vulnerabilità.
10. Vulnerabilità dei plug-in
A parte i principali problemi di sicurezza con piattaforme popolari come WordPress, che spesso possono essere evitati aggiornando alle ultime versioni del software, i plug-in, d'altra parte, possono creare una grave minaccia di hacking.
Ci sono oltre 50,000 plug-in nell'ecosistema di WordPress e ognuno rappresenta un potenziale rischio per la sicurezza, poiché la maggior parte degli attuali hack di WordPress deriva da queste vulnerabilità dei plug-in.
Sebbene la sicurezza al 100% non sia possibile qui, puoi comunque migliorare la difesa di un sito Web contro la vulnerabilità dei plug-in scegliendo solo plug-in di alta qualità con valutazioni elevate. Quindi esegui regolarmente gli aggiornamenti del sistema principale e dei plug-in ed evita di utilizzare vecchi temi o estensioni di qualsiasi tipo.
Conclusione
Abbiamo elencato i primi 10 metodi di hacker là fuori e hai visto le loro cause e i possibili metodi di prevenzione. Come avrai anche concluso, l'hacking fa parte del mondo dei computer, quindi le minacce degli hacker devono sempre essere prese in considerazione.
Essendo consapevole di queste minacce, tuttavia, e applicando le giuste misure di protezione ove necessario, anche tu puoi ridurre drasticamente il rischio di essere violato.