Bilmeniz Gereken En İyi 10 Hack Yöntemi
İnternet teknolojilerinin gelişimi birçok büyüme ve iş fırsatının yanı sıra yenilerini de beraberinde getirdi. hack eşleştirme yöntemleri.
Özelden sosyal medya kullanıcılar küçük işletmeler ve büyük şirketler için modern hackerların kurban yelpazesi oldukça geniştir.
Bu nedenle, World Wide Web'de gizlenen olası tehlikeler hakkında bir fikir edinmenin yanı sıra bunları azaltmak için doğru bilgilere sahip olmak sizin yararınızadır. güvenlik tehditler. Bu yazı biraz ışık tutuyor.
En İyi Hack Yöntemleri
İşte en iyi hack yöntemleri:
Sosyal mühendislik, potansiyel bir kurbanı önemli bilgileri ifşa etmesi veya saldırgana gerekli erişimi sağlayacak belirli eylemleri gerçekleştirmesi için manipüle etme sürecidir. Kurbanı telefonla aramak ve hassas bilgiler istemek gibi sosyal mühendisliğe yaklaşmanın birçok yolu vardır. Bu yöntem denir vishing ve genellikle gerçek bir banka çalışanının diğer tarafta olduğuna inanan, şüphelenmeyen kurbanlardan bankacılık bilgilerini toplamak için kullanılır.
Bir diğer popüler yöntem ise Kimlik avıve tıpkı telefon yönteminde olduğu gibi kimliğe bürünmeler içerir. Burada orijinal bankanın web sitesine %100 benzeyen sahte bir bankacılık web sitesi olabilir. Kurban bir alır E-posta veya sahte siteye bağlantı içeren bir mesaj göndererek güvenlik amacıyla bilgilerini acilen güncellemesini talep edin. Ancak sahte siteye girilen tüm bilgiler saldırgan tarafından kopyalanıyor ve mağdurun hesabını boşaltmak için kullanılıyor.
Diğer yöntemler arasında, bilgisayar korsanının kurbanla arkadaş olması ve gerekli bilgilere kademeli olarak erişmesi veya bir devlet çalışanı, patron veya güvenlik görevlisi gibi bir otorite figürünün kimliğine bürünerek kurbanı bilgileri ifşa etmesi için korkutmak yer alır.
Sosyal mühendisliğin kurbanı olmaktan kaçınmanın yolları arasında yabancılara güvenmemek, her zaman doğru web sitesinde olup olmadığınızı kontrol etmek yer alır.https://” ve ne olursa olsun şifrelerinizi veya PIN kodlarınızı asla vermeyin.
2. Gizlice dinleme
Başka bir tehlikeli hack yöntemi gizlice dinlemektir. Tehlikelidir çünkü bu konuda pek çok yol vardır ve bilgisayar korsanının kazanabileceği bilgi miktarının bir sınırı yoktur.
Örnek yöntemler, aşağıdakiler gibi ağ analizörü yazılımını kullanarak bilgi çıkarmak için bir ağın paketlerini koklamayı içerir. Wireshark. Başka bir yol, kurbanın bilgisayarına veya akıllı telefonuna her tuş vuruşunu kaydeden veya tüm metin iletişimini yakalayan küçük bir uygulama yüklemektir.
Diğer gizli dinleme yöntemleri arasında, bir bilgisayar korsanının doğrudan iletişim kurduklarına inanırken bilgileri iki tarafa iletmesine izin veren ortadaki adam saldırıları yer alır. Örneğin, GSM ağları otomatik olarak en güçlü sinyale bağlanır, bu nedenle belirli bir ağın GSM kulesini yanıltarak, o bölgedeki tüm cep telefonları otomatik olarak bilgisayar korsanına bağlanır ve bilgilerini onun sisteminden geçirir.
Tarayıcılar ve uygulamalar, aşağıdakileri kullanarak sunucularla iletişim kurar: oturumları. Bir sunucuyla oturuma girmek için, kullanıcının önce oturum açma/parola birleşimini ve muhtemelen 2 faktörlü kimlik doğrulamasını kullanarak kendisini tanımlaması gerekir. Kullanıcının kimliği doğrulandığında, sunucu kullanıcının tarayıcısıyla bir oturum başlatır ve bu sırada kullanıcı oturumu kapatana kadar başka doğrulama gerekmez.
Buradaki küçük bir sorun, sunucunun bir kurabiye kimliği doğrulanmış kullanıcının makinesinde veya URL'ye şöyle bir şey söyleyerek bir oturum kimliği ekleyin bu kullanıcı gitmek için iyi, sürüklenmeyi alırsın. Ancak sorun şu ki, bir bilgisayar korsanı bu tanımlama bilgilerini veya oturum kimliğini çalabilirse, kurbanın girmek için kimliğini doğrulamak zorunda olduğu bu kısıtlı ortama erişim kazanır. Daha sonra gönderiler yapabilir, para aktarabilir veya başka ne isterse yapabilir.
Şimdi, bunu başarmanın birçok yolu var:
- XSS veya Siteler Arası Komut Dosyası – Bu, kurbanı meşru bir siteye giden bir bağlantıyı tıklaması için kandırmayı içerir, ancak bu meşru site için çerezlerini çalmak ve onları bilgisayar korsanının sitesine göndermek için JavaScript kodunu içerir.
- Oturum Koklama – Bilgisayar korsanı, oturum ve tanımlama bilgisi bilgilerini ele geçirmek için Wireshark gibi ağ algılayıcılarını kullanabilir.
- Oturum Düzeltme – Saldırgan, oturum kimliği içeren bir kurbana bağlantı gönderir. Kurban oturum açarsa ve sistem yeni bir oturum kimliği oluşturamazsa, bilgisayar korsanı oturum açmak için de aynı oturum kimliğini kullanabilir. Buradaki çözüm, sistemin her oturum açma işleminden sonra her zaman yeni bir oturum kimliği oluşturmasıdır.
- Oturum Bağışı – Bir bilgisayar korsanı meşru bir sitede oturum açar, ardından kurbana oturum verileriyle birlikte bir bağlantı göndererek bilgileri güncellemesini ister. Kurban, giriş yaptığını görecek ve hesabın kendisine ait olmadığını fark edemezse, bilgisayar korsanının daha sonra çalabileceği hassas bilgileri girebilir. Bir çözüm, işiniz bittiğinde her zaman oturumu kapatmaktır.
4. XSS ve CSRF
Yukarıda daha önce bahsedildiği gibi, XSS Siteler Arası Komut Dosyası Oluşturma anlamına gelirken CSRF, Siteler Arası İstek Sahteciliği anlamına gelir. Burada, XSS'nin sıradan çerez hırsızlığının ötesine geçtiğini, kurbanın daha az güvenilen diğer web sitelerine bağlanırken güvendiği bir sayfada bir komut dosyası çalıştırmakla ilgili olduğunu unutmayın.
Bir kurbanın oturum açması, kimliğinin doğrulanması veya genellikle otomatik olan bir XSS saldırısına düşmek için herhangi bir işlem yapması gerekmez. Ancak CSRF için kurbanın belirli bir web sitesinde oturum açması ve ek olarak bir düğmeye tıklamak gibi eylemlerde bulunması gerekir.
Örneğin, Kurban-Bob bankasının web sitesinde oturum açtı, sonra bir şey dikkatini dağıttı ve bir web sitesine girdi. Makao'ya Bedava Tatil, tek ihtiyacı olan butona tıklamak. Yine de tıkladığında, web sitesi bankasına bir para transferi talebi gönderir ve bankada aktif bir oturumu olduğu için geçebilir.
Saldırganın web sitesinin tek ihtiyacı, doğru alanlara sahip bankaya yönelik bir form oluşturmaktır, örneğin:
5. Hotspot Bal Küpü
Hiç internete erişmek için ücretsiz Wi-Fi kullandınız mı? Umarım bir VPN kullanmışsınızdır (Sanal Özel Ağ) kendinizi korumak için, yoksa bal küpü kurbanı olabilirsiniz.
Plan şu şekildedir: Bir bilgisayar korsanı, internette ücretsiz olarak gezinenlerden parolaları ve diğer değerli eşyaları toplamak için perde arkasında bir paket dinleyicisi olan ücretsiz bir WiFi erişim noktası kurar. Hatta bazıları kafelerde, havaalanlarında ve restoranlarda bulabileceğiniz gibi sahte şirket noktaları bile kurdu.
Bu tür saldırılardan kaçınmak için ücretsiz erişim noktalarından uzak durun veya herkese açık WiFi kullanmanız gerekiyorsa bir VPN kullanın.
6. Kaba Kuvvet
Bir kaba kuvvet saldırısı, olası tüm kullanıcı adı ve şifre kombinasyonlarını deneyerek kurbanın hesabına giriş yapma girişimidir. Ayrıca, mümkün olduğu kadar çok anahtar denenerek bir algoritmanın kırılması anlamına da gelebilir.
Kali Linux, popüler bilgisayar korsanı işletim sistemi gibi kaba kuvvet araçlarıyla birlikte gelir. John the Ripper, çatlak, ve hidra. Sözlük saldırılarına yardımcı olan kelime listeleri de vardır. Bunlar, sözlükteki en popüler şifrelerin ve kelimelerin bir listesini içerir, örneğin maymun, 12345, mysecretpassword, 00000, ve benzerleri.
Kaba kuvvet saldırılarından kaçınma yöntemleri, oturum açma sayfasına bir captcha eklemeyi, oturum açma denemelerinin sayısını sınırlamayı ve semboller, sayılar ve büyük ve küçük harf kombinasyonuyla 8 veya daha fazla karakter içeren güvenli parolaların kullanımını zorunlu kılmaktır. edebiyat.
7. DoS ve DDoS
DoS'un kısaltması Hizmet Reddi saldırı, DDoS ise Hizmet Distributed Denial saldırı. Buradaki amaç, sunucu gibi bir bilgisayar sistemini o kadar çok istekle boğmaktır ki, daha fazla istekleri yerine getiremez hale gelir - çevrimdışı olur.
DoS, tek bir makineden gelir ve tespit edilmesi ve engellenmesi kolaydır. Öte yandan DDoS, birden fazla bilgisayardan gelir ve bu, dünyaya yayılmış, çoğu zaman kötü amaçlı yazılım bulaşmış bilgisayarlardan kaynaklanan bir botnet olabilir.
Bu listedeki diğer yöntemlerin çoğundan farklı olarak, DDoS saldırılarının kurbanın bilgisayarında kötü amaçlı kod çalmayı veya yürütmeyi amaçlamadığını unutmayın. Bunun yerine, bu şirketler bir fidye ödenene kadar hizmetlerine imkansız bir şekilde devam edebildiğinden, iş sunucularını kuşatma altında tutmak için kullanılırlar.
DDoS saldırılarından kaçınmanın en basit yolu, sunulan pakette DDoS koruması içeren bir web barındırma kullanmaktır.
8. Hedefli ve Hedefsiz Web Sitesi Saldırıları
Hedefli bir saldırı, özellikle kurbanın web sitesini hedefleyen bir saldırıdır; hedeflenmemiş bir saldırı, saldırganın genel bir yazılım zayıflığından yararlanması nedeniyle bir web sitesine gerçekleşir.
Örneğin WordPress web siteleri, özellikle eski, güncellenmemiş sürümlerde çalışan, hedeflenmeyen saldırılara eğilimlidir. Saldırgan, belirli bir platform, sürüm veya geliştirme çerçevesi ile çalışan bir istismar keşfeder ve ardından hangilerinin bozulduğunu görmek için bu istismarı platformu kullanan bir web sitesi adresleri listesi aracılığıyla çalıştırır.
Hedefli saldırılar için bilgisayar korsanı, kurbanın web sitesini tanımak için biraz daha fazla zaman harcar ve bu, birkaç günden birkaç aya kadar değişebilir. Hedefli saldırılar genellikle daha tehlikelidir ve özellikle büyük firmalar için felaket olabilir.
9. SQL Enjeksiyonu
Ne zaman LulzSec 2011'de Sony PlayStation Network'ün sunucularına girip 1 milyon şifre çalmışlar, operasyonu basit bir SQL enjeksiyon hacki olarak tanımlamışlar.
SQL enjeksiyonu, programcının bu tür potansiyel olarak zararlı girdileri temizlememesi umuduyla, bir web sitesinin istek adresine SQL dil yönergeleri ekleme eylemidir. SQLi çalıştığında, bilgisayar korsanı, Sony'de olduğu gibi, genellikle veritabanına yönetici erişimi kazanır.
SQL enjeksiyonunu önlemek, popüler platformların ve çerçevelerin en son sürümlerini kullanarak mümkündür. Bununla birlikte, kendi başlarına inşa edenler, uygun girdi doğrulama, hazırlanmış ifadelerin kullanımı, saklı prosedürler ve güvenlik açığı taramasına odaklanmak zorunda kalacaklar.
10. Eklenti Güvenlik Açıkları
WordPress gibi popüler platformlarda en son yazılım sürümlerine yükseltme yapılarak sıklıkla önlenebilen temel güvenlik sorunlarının yanı sıra, eklentileriÖte yandan büyük bir bilgisayar korsanlığı tehdidi oluşturabilir.
WordPress ekosisteminde 50,000'den fazla eklenti var ve mevcut WordPress saldırılarının çoğu bu eklenti güvenlik açıklarından geldiğinden her biri potansiyel bir güvenlik riski oluşturuyor.
Burada %100 güvenlik mümkün olmasa da, yalnızca yüksek puanlı en kaliteli eklentileri seçerek bir web sitesinin eklenti güvenlik açığına karşı savunmasını iyileştirebilirsiniz. Ardından düzenli olarak çekirdek sistem ve eklenti güncellemeleri yapın ve her türlü eski tema veya uzantıyı kullanmaktan kaçının.
Sonuç
Dışarıdaki en iyi 10 bilgisayar korsanı yöntemini listeledik ve nedenlerini ve olası önleme yöntemlerini gördünüz. Sizin de çıkarmış olmanız gerektiği gibi, bilgisayar korsanlığı bilgisayar dünyasının bir parçasıdır, bu nedenle saldırı tehditleri her zaman hesaba katılmalıdır.
Ancak bu tehditlerin farkında olarak ve gerektiğinde doğru koruma önlemlerini uygulayarak, saldırıya uğrama riskinizi büyük ölçüde azaltabilirsiniz.