10 populārākās uzlaušanas metodes, kas jums jāzina

Vai esat noraizējies par to, cik bīstami var būt hakeri? Šeit ir norādītas populārākās uzlaušanas metodes un to radītās briesmas.

  • Nnamdi OkekeBy
  • Atjaunināts
  • Lasīšanas laiks9 min
Hacker

Interneta tehnoloģiju attīstība ir radījusi daudzas izaugsmes un biznesa iespējas, kā arī jaunas uzlaušanas metodes.

No privātiem sociālo mediju lietotājiem līdz maziem uzņēmumiem un lielām korporācijām mūsdienu hakeru upuru loks ir plašs.

Tāpēc jūsu interesēs ir iegūt priekšstatu par iespējamām briesmām, kas slēpjas globālajā tīmeklī, kā arī iegūt pareizo informāciju, lai mazinātu šos drošības draudus. Šis ieraksts nedaudz izgaismo.

Saturs slēpt
Populārākās uzlaušanas metodes
Secinājumi

Populārākās uzlaušanas metodes

Šeit ir norādītas populārākās uzlaušanas metodes:

1. Sociālā inženierija

Sociālā inženierija ir process, kurā tiek manipulēts ar potenciālo upuri, lai izpaustu svarīgu informāciju vai veiktu noteiktas darbības, kas nodrošinās uzbrucējam nepieciešamo piekļuvi. Ir daudzi veidi, kā vērsties pie sociālās inženierijas, piemēram, piezvanot cietušajam pa tālruni un pieprasot sensitīvu informāciju. Šo metodi sauc redzams un to bieži izmanto, lai savāktu banku informāciju no nenojaušām upuriem, kuri uzskata, ka īsts bankas darbinieks atrodas otrā galā.

Vēl viena populāra metode ir Phishing, un tāpat kā telefona metode ietver uzdošanos par citu personu. Šeit tā varētu būt viltota bankas vietne, kas 100% izskatās kā sākotnējā bankas vietne. Cietušais saņem e-pastu vai īsziņu ar saiti uz viltus vietni, lūdzot drošības nolūkos steidzami atjaunināt savu informāciju. Taču visu viltus vietnē ievadīto informāciju uzbrucējs nokopē un izmanto upura konta iztukšošanai.

Citas metodes ietver hakeru sadraudzēšanos ar upuri un pakāpenisku piekļuvi vajadzīgajai informācijai vai uzdošanos par autoritāti, piemēram, valdības darbinieku, priekšnieku vai drošības aģentu, lai iebiedētu upuri, lai viņš varētu izpaust informāciju.

Veidi, kā izvairīties no kļūšanas par sociālās inženierijas upuri, ir neuzticēties svešiniekiem, vienmēr pārbaudīt, vai atrodaties pareizajā vietnē ar “https://” un nekad neizpaudiet savas paroles vai PIN kodus neatkarīgi no tā.

2. Noklausīšanās

Vēl viena bīstama uzlaušanas metode ir noklausīšanās. Tas ir bīstami, jo ir tik daudz veidu, kā to izdarīt, un nav ierobežots informācijas apjoms, ko hakeris var iegūt.

Metožu piemēri ietver tīkla pakešu šņaukšanu, lai iegūtu informāciju, izmantojot tīkla analizatora programmatūru, piemēram, Wireshark. Vēl viens veids ir upura datorā vai viedtālrunī instalēt nelielu lietotni, kas reģistrē katru taustiņu vai tver visu teksta saziņu.

Citas noklausīšanās metodes ietver cilvēku vidū uzbrukumus, kas ļauj hakeram nodot informāciju divām pusēm, kamēr viņi uzskata, ka sazinās tieši. Piemēram, GSM tīkli automātiski savienojas ar spēcīgāko signālu, tāpēc, izkrāpjot konkrēta tīkla GSM torni, visi mobilie tālruņi šajā apgabalā automātiski izveido savienojumu ar hakeru un nodod savu informāciju caur viņa sistēmu.

3. Sesiju un sīkfailu nolaupīšana

Pārlūkprogrammas un lietotnes sazinās ar serveriem, izmantojot sesijas. Lai ievadītu sesiju ar serveri, lietotājam vispirms ir jāidentificē sevi, izmantojot pieteikšanās/paroles kombināciju un, iespējams, 2 faktoru autentifikāciju. Kad lietotāja identitāte ir pārbaudīta, serveris sāk sesiju ar lietotāja pārlūkprogrammu, kuras laikā nav nepieciešama turpmāka pārbaude, līdz lietotājs atsakās.

Viena neliela problēma šeit ir tāda, ka serveris saglabās a cepums autentificētā lietotāja datorā vai pievienojiet sesijas ID vietrādim URL, izrunājot kaut ko līdzīgu šis lietotājs ir gatavs, jūs saņemat novirzi. Taču problēma ir tāda, ka, ja hakeris var nozagt šos sīkfailus vai sesijas ID, viņš iegūst piekļuvi šai ierobežotajai videi, kurā cietušajam bija jāautentificējas, lai iekļūtu. Pēc tam viņš var publicēt ziņas, pārskaitīt naudu vai darīt visu, kas viņam patīk.

Tagad ir daudz veidu, kā to sasniegt:

  1. XSS jeb Cross-Site skriptēšana - Tas nozīmē, ka upuris tiek mānīts noklikšķināt uz saites uz likumīgu vietni, taču tajā ir iekļauts JavaScript kods, lai nozagtu viņa sīkfailus šai likumīgajai vietnei un nosūtītu tos uz hakeru vietni.
  2. Sesijas šņaukšana - Hakeris var izmantot tīkla sniffers, piemēram, Wireshark, lai pārtvertu sesijas un sīkfailu informāciju.
  3. Sesijas fiksācija – Uzbrucējs nosūta upurim saiti, kas satur sesijas ID. Ja upuris piesakās un sistēmai neizdodas ģenerēt jaunu sesijas ID, hakeris var izmantot to pašu sesijas ID, lai pieteiktos. Risinājums ir tāds, ka sistēma vienmēr pēc katras pieteikšanās ģenerē jaunu sesijas ID.
  4. Sesijas ziedojums – Hakeris piesakās likumīgā vietnē, pēc tam nosūta saiti ar sesijas datiem upurim, lūdzot atjaunināt informāciju. Cietušais redzēs, ka ir pieteicies, un, ja nepamanīs, ka tas nav viņa konts, viņš var ievadīt sensitīvu informāciju, kuru hakeris vēlāk var nozagt. Viens no risinājumiem ir vienmēr izrakstīties, kad esat pabeidzis.

4. XSS un CSRF

Kā minēts iepriekš, XSS apzīmē Cross-Site Scripting, savukārt CSRF apzīmē Cross-Site Request Forgery. Šeit jāņem vērā, ka XSS pārsniedz parasto sīkfailu zādzību, jo tas ir saistīts ar skripta izpildi lapā, kurai upuris uzticas, vienlaikus izveidojot savienojumu ar citām mazāk uzticamām vietnēm.

Cietušajam nav jāpiesakās, jābūt autentificētam vai jāveic nekādas darbības, lai pieļautu XSS uzbrukumu, kas parasti notiek automātiski. Tomēr CSRF gadījumā cietušajam ir jāpiesakās noteiktā vietnē un papildus jāveic darbības, piemēram, jānoklikšķina uz pogas.

Piemēram, upuris Bobs ir pieteicies savas bankas vietnē, tad kaut kas novērš viņa uzmanību, un viņš nonāk vietnē, kas piedāvā Bezmaksas atvaļinājums uz Makao, viņam vajag tikai noklikšķināt uz pogas. Tomēr, tiklīdz viņš uz tā noklikšķina, vietne viņa bankai iesniedz naudas pārskaitījuma pieprasījumu, un, tā kā viņam ir aktīva sesija ar banku, tas var tikt izpildīts. 

Viss, kas uzbrucēja vietnei ir nepieciešams, ir izveidot bankai adresētu veidlapu ar pareizajiem laukiem, piemēram:

5. Hotspot Honeypot

Vai esat kādreiz izmantojis bezmaksas WiFi, lai piekļūtu tīmeklim? Cerams, ka izmantojāt VPN (virtuālo privāto tīklu), lai aizsargātu sevi, pretējā gadījumā jūs varētu būt medus poda upuris.

Shēma ir šāda: hakeris aizkulisēs izveido bezmaksas WiFi tīklāju ar pakešu sniffer, lai bez maksas iegūtu paroles un citas vērtīgas lietas no tiem, kas sērfo tīmeklī. Daži pat izveido viltotus uzņēmuma karstos punktus, piemēram, kafejnīcās, lidostās un restorānos.

Lai izvairītos no šādiem uzlaušanas gadījumiem, vienkārši palieciet prom no bezmaksas tīklājiem vai izmantojiet VPN, ja jums ir jāizmanto publiskie WiFi.

6. Brutālais spēks

Brutāla spēka uzbrukums ir mēģinājums pieteikties upura kontā, izmēģinot visas iespējamās lietotājvārdu un paroļu kombinācijas. Tas var attiekties arī uz algoritma uzlaušanu, izmēģinot pēc iespējas vairāk taustiņu.

Kali Linux, populārā hakeru operētājsistēma, tiek piegādāts ar brutālu spēku rīkiem, piemēram, John Ripper, kreka, un hidra. Ir arī vārdu saraksti, kas palīdz uzbrukumos vārdnīcām. Tajos ir saraksts ar populārākajām parolēm un vārdnīcas vārdiem, piemēram, mērkaķis, 12345, mana slepenā parole, 00000,  un tā tālāk.

Metodes, kā izvairīties no brutāla spēka uzbrukumiem, ietver captcha pievienošanu pieteikšanās lapai, pieteikšanās mēģinājumu skaita ierobežošanu un drošu paroļu izmantošanu — 8 vai vairāk rakstzīmes, izmantojot simbolu, ciparu un lielo un mazo burtu kombināciju.

7. DoS un DDoS

DoS apzīmē Denial of Service uzbrukums, bet DDoS apzīmē Distributed Denial of Service uzbrukums. Mērķis ir pārslogot datorsistēmu, piemēram, serveri, ar tik daudziem pieprasījumiem, ka tas vairs nespēj izpildīt turpmākos pieprasījumus – pāriet bezsaistē.

DoS nāk no vienas iekārtas, un to ir viegli pamanīt un bloķēt. No otras puses, DDoS nāk no vairākiem datoriem, un tas var būt robottīkls, kas ir izplatīts visā pasaulē un bieži vien nāk no datoriem, kas inficēti ar ļaunprātīgu programmatūru.

Ņemiet vērā, ka atšķirībā no vairuma citu šajā sarakstā iekļauto metožu DDoS uzbrukumu mērķis nav nozagt vai izpildīt ļaunprātīgu kodu upura datorā. Tos drīzāk izmanto, lai turētu aplenkumā biznesa serverus, jo šie uzņēmumi nevar turpināt savus pakalpojumus, līdz tiek samaksāta izpirkuma maksa.

Vienkāršākais veids, kā izvairīties no DDoS uzbrukumiem, ir izmantot tīmekļa resursdatoru, kura piedāvātajā pakotnē ir iekļauta DDoS aizsardzība.

8. Mērķtiecīgi un nemērķēti uzbrukumi vietnēm

Mērķtiecīgs uzbrukums ir uzbrukums, kas ir īpaši vērsts uz upura vietni, savukārt nemērķtiecīgs uzbrukums notiek vietnei, jo uzbrucējs izmantoja vispārēju programmatūras vājumu.

Piemēram, WordPress vietnes ir pakļautas nemērķtiecīgiem uzbrukumiem, jo ​​īpaši tiem, kas darbojas vecākās, neatjauninātās versijās. Uzbrucējs atklāj ekspluatāciju, kas darbojas ar noteiktu platformu, versiju vai izstrādes ietvaru, un pēc tam izpilda to, izmantojot to vietņu adrešu sarakstu, kurās tiek izmantota platforma, lai noskaidrotu, kuras no tām sabojājas.

Mērķtiecīgu uzbrukumu gadījumā hakeris pavadīs nedaudz vairāk laika, lai iepazītos ar upura vietni, un tas var būt no dažām dienām līdz vairākiem mēnešiem. Mērķtiecīgi uzbrukumi parasti ir bīstamāki un var būt postoši, īpaši lieliem uzņēmumiem.

9. SQL injekcija

Kad LulzSec 2011. gadā ielauzās Sony PlayStation Network serveros un nozaga 1 miljonu paroļu, viņi operāciju raksturoja kā vienkāršu SQL injekcijas uzlaušanu.

SQL injekcija ir SQL valodas direktīvu pievienošana vietnes pieprasījuma adresei, cerot, ka programmētājs nav notīrījis šādas potenciāli kaitīgas ievades. Un, kad SQLi darbojas, hakeris bieži iegūst administratora piekļuvi datubāzei, kā tas notika Sony.

SQL injekcijas novēršana ir iespējama, izmantojot populāru platformu un sistēmu jaunākās versijas. Tomēr tiem, kas veido paši, būs jākoncentrējas uz pareizu ievades validāciju, sagatavotu paziņojumu izmantošanu, saglabātajām procedūrām un ievainojamības skenēšanu.

10. Spraudņu ievainojamības

No otras puses, papildus galvenajām drošības problēmām saistībā ar tādām populārām platformām kā WordPress, no kurām bieži var izvairīties, veicot jaunināšanu uz jaunākajām programmatūras versijām, spraudņi var radīt nopietnus uzlaušanas draudus.

WordPress ekosistēmā ir vairāk nekā 50,000 XNUMX spraudņu, un katrs no tiem rada potenciālu drošības risku, jo lielākā daļa pašreizējo WordPress uzlaušanas gadījumu rodas šo spraudņu ievainojamību dēļ.

Lai gan 100% drošība šeit nav iespējama, jūs joprojām varat uzlabot vietnes aizsardzību pret spraudņu ievainojamību, izvēloties tikai augstākās kvalitātes spraudņus ar augstiem vērtējumiem. Pēc tam regulāri veiciet pamatsistēmas un spraudņu atjauninājumus un izvairieties no vecu motīvu vai jebkāda veida paplašinājumu izmantošanas.

Secinājumi

Mēs esam uzskaitījuši 10 populārākās hakeru metodes, un jūs esat redzējis to cēloņus un iespējamās profilakses metodes. Kā jau noteikti esat secinājis, uzlaušana ir daļa no datoru pasaules, tāpēc ar uzlaušanas draudiem vienmēr ir jārēķinās. 

Tomēr, apzinoties šos draudus un, ja nepieciešams, piemērojot pareizos aizsardzības pasākumus, arī jūs varat krasi samazināt savu uzlaušanas risku.

Nnamdi Okeke

Nnamdi Okeke

Nnamdi Okeke ir datoru entuziasts, kuram patīk lasīt dažādas grāmatas. Viņš dod priekšroku Linux, nevis Windows/Mac, un ir izmantojis
Ubuntu kopš tā sākuma. Jūs varat viņu noķert Twitter, izmantojot bongotrax

Raksti: 298

Saņemiet tehnikas preces

Tehniskās tendences, starta tendences, atsauksmes, tiešsaistes ienākumi, tīmekļa rīki un mārketings vienu vai divas reizes mēnesī

Saistītie raksti

Share
Kopēt saiti
×