10 najboljših metod hekanja, ki bi jih morali poznati

Vas skrbi, kako nevarni so lahko hekerji? Tukaj so glavne metode hekanja in nevarnosti, ki jih predstavljajo.

hacker

Razvoj internetnih tehnologij je prinesel številne rasti in poslovne priložnosti, pa tudi nove metode vdiranja.

Od zasebnih uporabnikov družbenih omrežij do malih podjetij in velikih korporacij je razpon žrtev za sodobne hekerje ogromen.

Zato je v vašem interesu, da dobite predstavo o možnih nevarnostih, ki prežijo na svetovnem spletu, kot tudi, da imate prave informacije za ublažitev teh varnostnih groženj. Ta objava meče nekaj svetlobe.

Kazalo skrij
Najboljše metode hekanja
zaključek

Najboljše metode hekanja

Tukaj so najboljše metode hekanja:

1. Socialni inženiring

Socialni inženiring je postopek manipulacije potencialne žrtve, da razkrije pomembne informacije ali izvede določene ukrepe, ki bodo napadalcu omogočili potreben dostop. Obstaja veliko načinov za pristop k socialnemu inženiringu, kot je klicanje žrtve po telefonu in zahtevanje občutljivih informacij. Ta metoda se imenuje zvijanje in se pogosto uporablja za zbiranje bančnih informacij od nič hudega slutečih žrtev, ki verjamejo, da je na drugi strani pravi bančni uslužbenec.

Druga priljubljena metoda je Ribarjenje, in tako kot telefonska metoda vključuje lažno predstavljanje. Tukaj bi lahko šlo za lažno bančno spletno stran, ki je 100 % podobna prvotni bančni spletni strani. Žrtev prejme e-poštno sporočilo ali besedilo s povezavo do lažnega spletnega mesta, ki zahteva, da zaradi varnosti nujno posodobi svoje podatke. Vse podatke, vnesene na lažnem spletnem mestu, pa napadalec kopira in uporabi za izpraznitev računa žrtve.

Druge metode vključujejo, da se heker spoprijatelji z žrtvijo in postopoma pridobi dostop do potrebnih informacij ali pa se predstavlja kot avtoriteta, kot je vladni uslužbenec, šef ali varnostni agent, da žrtev ustrahuje, da razkrije informacije.

Načini, kako se izogniti temu, da postanete žrtev socialnega inženiringa, vključujejo nezaupanje tujcem in vedno preverjanje, ali ste na pravem spletnem mestu z "https://” in nikoli ne izdajte svojih gesel ali PIN kod, ne glede na vse.

2. Prisluškovanje

Druga nevarna metoda vdora je prisluškovanje. Nevarno je, ker obstaja veliko načinov za to in ni omejitev glede količine informacij, ki jih heker lahko pridobi.

Primeri metod vključujejo vohanje omrežnih paketov za pridobivanje informacij z uporabo programske opreme za analizo omrežja, kot je npr Wireshark. Drug način je, da na žrtvin računalnik ali pametni telefon namestite majhno aplikacijo, ki zabeleži vsak pritisk tipke ali zajame vso besedilno komunikacijo.

Druge metode prisluškovanja vključujejo napade "človek v sredini", ki hekerju omogočajo posredovanje informacij dvema stranema, medtem ko menita, da komunicirata neposredno. Omrežja GSM se na primer samodejno povežejo z najmočnejšim signalom, tako da se s ponarejanjem stolpa GSM določenega omrežja vsi mobilni telefoni na tem območju samodejno povežejo s hekerjem in posredujejo svoje podatke skozi njegov sistem.

3. Ugrabitev seje in piškotkov

Brskalniki in aplikacije komunicirajo s strežniki z uporabo sej. Za vstop v sejo s strežnikom se mora uporabnik najprej identificirati s kombinacijo prijave/gesla in po možnosti z dvofaktorsko avtentikacijo. Ko je identiteta uporabnika potrjena, nato strežnik začne sejo z uporabnikovim brskalnikom, med katero ni potrebno nadaljnje preverjanje, dokler se uporabnik ne odjavi.

Ena majhna težava je, da bo strežnik shranil a piškotek na računalniku preverjenega uporabnika ali URL-ju dodajte ID seje in navedite nekaj podobnega ta uporabnik je pripravljen, razumeš smer. Toda težava je v tem, da če lahko heker ukrade te piškotke ali ID seje, potem dobi dostop do tega omejenega okolja, v katerega je morala žrtev preveriti pristnost, da je vstopila. Nato lahko objavlja objave, nakazuje denar ali počne kar koli drugega.

To lahko dosežete na več načinov:

  1. XSS ali skriptiranje med spletnimi mesti – To vključuje pretentanje žrtve, da klikne povezavo do zakonitega mesta, vendar to vključuje kodo JavaScript, ki ukrade njegove piškotke za to zakonito mesto in jih pošlje hekerjevemu mestu.
  2. Vohanje seje – Heker lahko uporabi omrežne vohače, kot je Wireshark, da prestreže informacije o sejah in piškotkih.
  3. Fiksacija seje – Napadalec žrtvi pošlje povezavo, ki vsebuje ID seje. Če se žrtev prijavi in ​​sistemu ne uspe ustvariti novega ID-ja seje, lahko heker uporabi isti ID seje tudi za prijavo. Rešitev tukaj je, da sistem po vsaki prijavi vedno ustvari nov ID seje.
  4. Donacija seje – Heker se prijavi na zakonito spletno mesto, nato žrtvi pošlje povezavo s podatki o seji in jo prosi, naj posodobi podatke. Žrtev bo videla, da je prijavljen in če ne bo opazil, da to ni njegov račun, lahko vnese občutljive podatke, ki jih lahko heker pozneje ukrade. Ena od rešitev je, da se vedno odjavite, ko končate.

4. XSS in CSRF

Kot že omenjeno zgoraj, XSS pomeni Cross-Site Scripting, medtem ko CSRF pomeni Cross-Site Request Forgery. Tukaj morate upoštevati, da XSS presega običajno krajo piškotkov, saj gre za izvajanje skripta na strani, ki ji žrtev zaupa, medtem ko se povezuje z drugimi, manj zaupanja vrednimi spletnimi mesti.

Žrtvi ni treba biti prijavljena, preverjena ali ukrepati, da bi padla na napad XSS, ki je običajno samodejen. Za CSRF pa mora biti žrtev prijavljena na določeni spletni strani in dodatno ukrepati, na primer klikniti gumb.

Vzemimo, na primer, Victim-Bob je prijavljen na spletno mesto svoje banke, nato pa ga nekaj zmoti in pristane na spletnem mestu, ki ponuja Brezplačne počitnice v Macau, vse kar potrebuje je, da klikne gumb. Ko jo klikne, spletno mesto pošlje zahtevo za denarni prenos njegovi banki in ker ima aktivno sejo z banko, bo morda uspela. 

Vse, kar mora napadalec na spletnem mestu, je ustvariti obrazec, namenjen banki, s pravimi polji, kot so:

5. Hotspot Honeypot

Ste kdaj uporabljali brezplačen WiFi za dostop do spleta? Upam, da ste uporabili VPN (navidezno zasebno omrežje), da bi se zaščitili, sicer bi lahko bili žrtev honeypota.

Shema gre takole: heker vzpostavi brezplačno dostopno točko WiFi z vohačem paketov v zakulisju, da brezplačno zbira gesla in druge dragocenosti tistih, ki brskajo po spletu. Nekateri celo vzpostavijo lažne dostopne točke podjetij, kot jih najdete v kavarnah, na letališčih in v restavracijah.

Da bi se izognili takšnim vdorom, se preprosto izogibajte brezplačnim dostopnim točkam ali uporabite VPN, če morate uporabljati javna omrežja WiFi.

6. Surova sila

Napad s surovo silo je poskus prijave v račun žrtve s preizkušanjem vseh možnih kombinacij uporabniškega imena in gesla. Lahko se nanaša tudi na razbijanje algoritma s poskusom čim več ključev.

Kali Linux, priljubljen hekerski operacijski sistem, ima orodja za surovo silo, kot je John the Ripper, ncrack, in Hydra. Obstajajo tudi seznami besed, ki pomagajo pri slovarskih napadih. Te vsebujejo seznam najbolj priljubljenih gesel in besed iz slovarja, kot npr opica, 12345, moje skrivno geslo, 00000,  in tako naprej.

Metode za izogibanje napadom na silo vključujejo dodajanje captcha na stran za prijavo, omejevanje števila poskusov prijave in uveljavljanje uporabe varnih gesel – 8 znakov ali več, s kombinacijo simbolov, številk ter velikih in malih črk pisma.

7. DoS in DDoS

DoS pomeni Denial of Service napad, medtem ko DDoS pomeni Distributed Denial of Service napad. Cilj tukaj je preobremeniti računalniški sistem, kot je strežnik, s toliko zahtevami, da postane nezmožen izpolnjevati nadaljnjih zahtev – postane brez povezave.

DoS prihaja iz enega samega stroja in ga je enostavno opaziti in blokirati. DDoS na drugi strani prihaja iz več računalnikov in to je lahko botnet, ki je razširjen po vsem svetu in pogosto izvira iz računalnikov, okuženih z zlonamerno programsko opremo.

Upoštevati morate, da za razliko od večine drugih metod na tem seznamu namen napadov DDoS ni ukrasti ali izvesti zlonamerne kode v računalniku žrtve. Namesto tega se uporabljajo za obleganje poslovnih strežnikov, saj ta podjetja ne morejo nadaljevati svojih storitev, dokler ni plačana odkupnina.

DDoS napadom se najenostavneje izognete z uporabo spletnega gostitelja, ki v ponujenem paketu vključuje DDoS zaščito.

8. Ciljni in neciljani napadi na spletna mesta

Ciljni napad je napad, ki je usmerjen posebej na spletno mesto žrtve, medtem ko se neciljani napad zgodi na spletnem mestu, ker je napadalec izkoristil splošno šibkost programske opreme.

Spletna mesta WordPress so na primer nagnjena k neciljanim napadom, zlasti tista, ki delujejo na starejših, neposodobljenih različicah. Napadalec odkrije izkoriščanje, ki deluje z določeno platformo, različico ali razvojnim okvirom, nato zažene izkoriščanje prek seznama naslovov spletnih mest, ki uporabljajo platformo, da vidi, kateri se zlomijo.

Pri ciljno usmerjenih napadih bo heker porabil nekaj več časa za spoznavanje spletnega mesta žrtve, kar lahko traja od nekaj dni do več mesecev. Ciljni napadi so običajno bolj nevarni in so lahko katastrofalni, zlasti za velika podjetja.

9. Vbrizgavanje SQL

Kdaj LulzSec leta 2011 vdrl v strežnike Sony PlayStation Network in ukradel 1 milijon gesel, so operacijo opisali kot preprost vdor v SQL.

Vbrizgavanje SQL je dejanje dodajanja direktiv jezika SQL v naslov zahteve spletnega mesta v upanju, da programer ni očistil takšnih potencialno škodljivih vnosov. In ko SQLi deluje, heker pogosto pridobi skrbniški dostop do baze podatkov, kot se je zgodilo pri Sonyju.

Preprečevanje vbrizgavanja SQL je mogoče z uporabo najnovejših različic priljubljenih platform in ogrodij. Vendar pa se bodo tisti, ki gradijo sami, morali osredotočiti na pravilno preverjanje vnosa, uporabo pripravljenih stavkov, shranjenih procedur in skeniranje ranljivosti.

10. Ranljivosti vtičnikov

Poleg osnovnih varnostnih težav s priljubljenimi platformami, kot je WordPress, ki se jim je pogosto mogoče izogniti z nadgradnjo na najnovejše različice programske opreme, lahko vtičniki na drugi strani ustvarijo veliko grožnjo vdora.

V ekosistemu WordPress je več kot 50,000 vtičnikov in vsak predstavlja potencialno varnostno tveganje, saj večina trenutnih vdorov v WordPress izvira iz teh ranljivosti vtičnikov.

Čeprav tukaj ni mogoča 100-odstotna varnost, lahko vseeno izboljšate obrambo spletnega mesta pred ranljivostjo vtičnikov tako, da izberete samo vtičnike najvišje kakovosti z visokimi ocenami. Nato redno izvajajte posodobitve osnovnega sistema in vtičnikov ter se izogibajte uporabi starih tem ali kakršnih koli razširitev.

zaključek

Našteli smo 10 najboljših načinov hekerjev in videli ste njihove vzroke in možne metode preprečevanja. Kot ste verjetno že ugotovili, je vdiranje del računalniškega sveta, zato je treba vedno upoštevati grožnje vdora. 

Če pa se zavedate teh groženj in po potrebi uporabite ustrezne zaščitne ukrepe, lahko tudi vi drastično zmanjšate tveganje za vdor.

Nnamdi Okeke

Nnamdi Okeke

Nnamdi Okeke je računalniški navdušenec, ki rad bere široko paleto knjig. Raje uporablja Linux pred Windows/Macom in ga uporablja
Ubuntu že od prvih dni. Ujamete ga lahko na twitterju prek bongotrax

Članki: 298

Prejmite tehnične stvari

Tehnološki trendi, startup trendi, ocene, spletni dohodek, spletna orodja in trženje enkrat ali dvakrat mesečno

Povezani članki

Delite s prijatelji, znanci, družino in partnerji :-)
Kopiraj povezavo
×