Topp 10 hackingmetoder du bør kjenne til

Er du bekymret for hvor farlige hackere kan være? Her er de beste hackingmetodene og farene de utgjør.

hacker

Utviklingen av Internett-teknologier har ført til mange vekster og forretningsmuligheter, samt nye hackingmetoder som matcher.

Fra private brukere av sosiale medier til små bedrifter og store selskaper, utvalget av ofre for den moderne hackeren er stort.

Det er derfor i din interesse å få en ide om de mulige farene som lurer på World Wide Web, samt å ha riktig informasjon for å redusere disse sikkerhetstruslene. Dette innlegget kaster litt lys.

Innholdsfortegnelse skjule
Topp hackingmetoder
Konklusjon

Topp hackingmetoder

Her er de beste hackingmetodene:

1. Sosial ingeniørfag

Sosial engineering er prosessen med å manipulere et potensielt offer til å avsløre viktig informasjon eller for å utføre visse handlinger som vil gi angriperen den nødvendige tilgangen. Det er mange måter å nærme seg sosial ingeniørkunst på, for eksempel å ringe offeret på telefon og be om sensitiv informasjon. Denne metoden kalles Vishing og brukes ofte til å samle inn bankinformasjon fra intetanende ofre, som tror en ekte bankmedarbeider er i den andre enden.

En annen populær metode er phishing, og akkurat som telefonmetoden inkluderer den etterligninger. Her kan det være en falsk banknettside som ser 100% ut som den opprinnelige bankens nettside. Offeret mottar en e-post eller tekst med en lenke til det falske nettstedet, der han ber ham om å raskt oppdatere opplysningene sine av sikkerhetshensyn. All informasjon som er lagt inn på den falske siden blir imidlertid kopiert av angriperen og brukt til å tømme offerets konto.

Andre metoder inkluderer at hackeren blir venn med offeret og gradvis får tilgang til nødvendig informasjon, eller utgir seg for å være en autoritetsfigur, for eksempel en offentlig ansatt, en sjef eller en sikkerhetsagent for å skremme et offer til å røpe informasjon.

Måtene å unngå å bli et offer for sosial ingeniørkunst inkluderer å ikke stole på fremmede, alltid sjekke for å være sikker på at du er på rett nettside med "https://” og aldri gi ut passord eller PIN-koder, uansett hva.

2. Avlytting

En annen farlig hackingmetode er avlytting. Det er farlig fordi det er så mange måter å gjøre det på, og det er ingen grense for hvor mye informasjon hackeren kan få.

Eksempler på metoder inkluderer å snuse et nettverks pakker for å trekke ut informasjon ved å bruke nettverksanalysatorprogramvare som f.eks Wireshark. En annen måte er å installere en liten app på offerets datamaskin eller smarttelefon som logger hvert tastetrykk eller fanger opp all tekstkommunikasjon.

Andre avlyttingsmetoder inkluderer man-in-the-middle-angrep som lar en hacker videresende informasjon til to parter, mens de tror de kommuniserer direkte. For eksempel kobler GSM-nettverk automatisk til det sterkeste signalet, så ved å forfalske et bestemt nettverks GSM-tårn kobler alle mobiltelefoner i det området automatisk til hackeren og sender informasjonen deres gjennom systemet hans.

3. Kapring av økter og informasjonskapsler

Nettlesere og apper kommuniserer med servere ved hjelp av økter. For å komme inn i en sesjon med en server, må brukeren først identifisere seg ved hjelp av en login/passord-kombinasjon, og eventuelt 2-faktor autentisering. Når brukerens identitet er bekreftet, starter serveren en økt med brukerens nettleser, hvor det ikke kreves ytterligere verifisering før brukeren logger av.

Et lite problem her er at serveren vil lagre en cookie på den autentiserte brukerens maskin eller legg til en økt-ID til URL-en, og si noe sånt som denne brukeren er god å gå, får du driften. Men problemet er at hvis en hacker kan stjele disse informasjonskapslene eller økt-ID-en, får han tilgang til det begrensede miljøet som offeret måtte autentisere for å komme inn i. Han kan deretter lage innlegg, overføre penger eller gjøre hva han vil.

Nå er det mange måter å oppnå dette på:

  1. XSS eller Cross-Site Scripting – Dette innebærer å lure offeret til å klikke på en lenke til et legitimt nettsted, men det inkluderer JavaScript-kode for å stjele informasjonskapslene hans for det legitime nettstedet og sende dem til hackerens nettsted.
  2. Økt sniffing – Hackeren kan bruke nettverkssniffere som Wireshark for å fange opp informasjon om økter og informasjonskapsler.
  3. Sesjonsfiksering – Angriperen sender en lenke til et offer som inneholder en økt-ID. Hvis offeret logger på og systemet ikke klarer å generere en ny sesjons-ID, kan hackeren bruke samme sesjons-ID for å logge på også. Løsningen her er at systemet alltid genererer en ny sesjons-ID etter hver pålogging.
  4. Øktdonasjon – En hacker logger på et legitimt nettsted, og sender deretter en lenke med øktdataene til et offer, og ber ham om å oppdatere informasjon. Offeret vil se at han er pålogget, og hvis han ikke merker at det ikke er kontoen hans, kan han legge inn sensitiv informasjon, som hackeren senere kan stjele. En løsning er å alltid logge ut når du er ferdig.

4. XSS & CSRF

Som nevnt ovenfor står XSS for Cross-Site Scripting, mens CSRF står for Cross-Site Request Forgery. Du bør merke deg her at XSS går utover vanlig informasjonskapseltyveri, da det handler om å kjøre et skript på en side som offeret stoler på mens han kobler til andre, mindre pålitelige nettsteder.

Et offer trenger ikke å være logget på, være autentisert eller gjøre noe for å falle for et XSS-angrep, som vanligvis er automatisk. For CSRF må imidlertid offeret være logget inn på et bestemt nettsted og i tillegg iverksette tiltak, for eksempel å klikke på en knapp.

Ta for eksempel, Victim-Bob er logget på bankens nettsted, så er det noe som distraherer ham, og han lander på et nettsted som tilbyr en Gratis ferie til Macau, alt han trenger er å klikke på knappen. Når han klikker på det, sender nettstedet en forespørsel om pengeoverføring til banken hans, og siden han har en aktiv økt med banken, kan den gå gjennom. 

Alt angriperens nettsted trenger er å lage et skjema rettet mot banken med de riktige feltene, for eksempel:

5. Hotspot Honeypot

Har du noen gang brukt gratis WiFi for å få tilgang til nettet? Håper du brukte en VPN (Virtual Private Network) for å beskytte deg selv, ellers kunne du ha vært et honeypot-offer.

Opplegget går slik ut: En hacker setter opp et gratis WiFi-hotspot med en pakkesniffer bak kulissene for å høste passord og andre verdisaker fra de som surfer gratis på nettet. Noen setter til og med opp falske bedriftshotspots, som du finner på kaffebarer, flyplasser og restauranter.

For å unngå slike hacks, bare hold deg unna gratis hotspots, eller bruk en VPN hvis du må bruke offentlige WiFi-er.

6. Brute Force

Et brute force-angrep er et forsøk på å logge inn på et offers konto ved å prøve alle mulige brukernavn og passordkombinasjoner. Det kan også referere til cracking av en algoritme ved å prøve så mange nøkler som mulig.

Kali Linux, det populære hackeroperativsystemet, kommer med brute force-verktøy som f.eks John Ripper, ncrack, og Hydra. Det finnes også ordlister, som hjelper til med ordbokangrep. Disse inneholder en liste over de mest populære passordene og ordene fra ordboken, som f.eks ape, 12345, mitt hemmelige passord, 00000,  og så videre.

Metoder for å unngå brute force-angrep inkluderer å legge til en captcha på påloggingssiden, begrense antall påloggingsforsøk og håndheve bruken av sikre passord – 8 tegn eller mer, med en kombinasjon av symboler, tall og store og små bokstaver bokstaver.

7. DoS & DDoS

DoS står for Denial of Service angrep, mens DDoS står for Distributed Denial of Service angrep. Målet her er å overvelde et datasystem, for eksempel en server, med så mange forespørsler at det blir ute av stand til å oppfylle flere forespørsler – går offline.

DoS kommer fra én enkelt maskin og er lett å oppdage og blokkere. DDoS på den annen side kommer fra flere datamaskiner, og dette kan være et botnett som er spredt over hele kloden, som ofte kommer fra datamaskiner infisert med skadelig programvare.

Du bør merke deg at i motsetning til de fleste andre metoder på denne listen, har ikke DDoS-angrep som mål å stjele eller utføre ondsinnet kode på offerets datamaskin. Snarere brukes de til å holde bedriftsservere under beleiring, da disse selskapene umulig kan fortsette tjenestene sine inntil løsepenger er betalt.

Den enkleste måten å unngå DDoS-angrep på er å bruke en webvert som inkluderer DDoS-beskyttelse i den tilbudte pakken.

8. Målrettede og ikke-målrettede nettstedangrep

Et målrettet angrep er et angrep som er rettet spesifikt mot offerets nettsted, mens et ikke-målrettet angrep skjer på et nettsted fordi angriperen utnyttet en generell programvaresvakhet.

WordPress-nettsteder, for eksempel, er utsatt for ikke-målrettede angrep, spesielt de som kjører på eldre, uoppdaterte versjoner. Angriperen oppdager en utnyttelse som fungerer med en bestemt plattform, versjon eller utviklingsrammeverk, og kjører deretter utnyttelsen gjennom en liste over nettstedsadresser som bruker plattformen, for å se hvilke som bryter.

For målrettede angrep vil hackeren bruke litt mer tid på å bli kjent med offerets nettside, og dette kan variere fra noen få dager til mange måneder. Målrettede angrep er vanligvis farligere og kan være katastrofale, spesielt for store firmaer.

9. SQL Injection

Når LulzSec brøt seg inn på Sony PlayStation Networks servere i 2011 og stjal 1 million passord, beskrev de operasjonen som et enkelt SQL-injeksjonshack.

SQL-injeksjon er handlingen med å legge til SQL-språkdirektiver i et nettsteds forespørselsadresse, i håp om at programmereren ikke renset ut slike potensielt skadelige innganger. Og når SQLi fungerer, får hackeren ofte administratortilgang til databasen, slik det skjedde hos Sony.

Å forhindre SQL-injeksjon er mulig ved å bruke de nyeste versjonene av populære plattformer og rammeverk. Imidlertid vil de som bygger selv måtte fokusere på riktig inndatavalidering, bruk av forberedte setninger, lagrede prosedyrer og sårbarhetsskanning.

10. Plugin-sårbarheter

Bortsett fra kjernesikkerhetsproblemer med populære plattformer som WordPress, som ofte kan unngås ved å oppgradere til de nyeste programvareversjonene, kan plugins på den annen side skape en stor hacking-trussel.

Det er over 50,000 XNUMX plugins i WordPress-økosystemet, og hver enkelt utgjør en potensiell sikkerhetsrisiko, ettersom flertallet av dagens WordPress-hack kommer fra disse plugin-sårbarhetene.

Selv om 100 % sikkerhet ikke er mulig her, kan du fortsatt forbedre et nettsteds forsvar mot plugin-sårbarhet ved kun å velge toppkvalitets plugins med høye rangeringer. Gjør deretter regelmessig kjernesystem- og plugin-oppdateringer, og unngå å bruke gamle temaer eller utvidelser av noe slag.

Konklusjon

Vi har listet opp de 10 beste metodene for hackere der ute, og du har sett årsakene deres og mulige forebyggingsmetoder. Som du også må ha konkludert med, er hacking en del av dataverdenen, så hacktrusler er alltid å regne med. 

Ved å være klar over disse truslene og bruke de riktige beskyttelsestiltakene der det er nødvendig, kan du også redusere risikoen for å bli hacket drastisk.

Nnamdi Okeke

Nnamdi Okeke

Nnamdi Okeke er en datamaskinentusiast som elsker å lese et bredt spekter av bøker. Han har en preferanse for Linux fremfor Windows/Mac og har brukt
Ubuntu siden de første dagene. Du kan fange ham på twitter via bongotrax

Artikler: 299

Motta tekniske ting

Tekniske trender, oppstartstrender, anmeldelser, nettinntekter, nettverktøy og markedsføring en eller to ganger i måneden

Relaterte artikler

Del
Kopier kobling
×