วิธีการแฮ็ก 10 อันดับแรกที่คุณควรทราบ
คุณกังวลว่าแฮกเกอร์จะเป็นอันตรายแค่ไหนหรือไม่? ต่อไปนี้คือวิธีการแฮ็กที่ดีที่สุดและอันตรายที่อาจเกิดขึ้น
การพัฒนาของเทคโนโลยีอินเทอร์เน็ตนำมาซึ่งการเติบโตและโอกาสทางธุรกิจมากมาย เช่นเดียวกับวิธีการแฮ็กใหม่ๆ ที่ตรงกัน
ตั้งแต่ผู้ใช้โซเชียลมีเดียส่วนตัวไปจนถึงธุรกิจขนาดเล็กและองค์กรขนาดใหญ่ เหยื่อของแฮกเกอร์ในยุคใหม่นั้นมีมากมาย
ดังนั้น จะเป็นประโยชน์อย่างยิ่งหากคุณจะทราบถึงอันตรายที่อาจเกิดขึ้นบนเวิลด์ไวด์เว็บ ตลอดจนมีข้อมูลที่ถูกต้องเพื่อบรรเทาภัยคุกคามด้านความปลอดภัยเหล่านี้ โพสต์นี้จะช่วยอธิบายให้เข้าใจมากขึ้น
สารบัญ
ซ่อน
วิธีการแฮ็คชั้นนำ
วิธีการแฮ็กที่ดีที่สุดมีดังนี้:
วิศวกรรมสังคมคือกระบวนการจัดการเหยื่อที่มีศักยภาพเพื่อเปิดเผยข้อมูลที่สำคัญหรือดำเนินการบางอย่างที่จะให้ผู้โจมตีเข้าถึงข้อมูลที่จำเป็นได้ มีหลายวิธีในการใช้วิศวกรรมสังคม เช่น การโทรหาเหยื่อและขอข้อมูลที่ละเอียดอ่อน วิธีนี้เรียกว่า vishing และมักใช้ในการรวบรวมข้อมูลทางการเงินจากเหยื่อที่ไม่สงสัยซึ่งเชื่อว่ามีพนักงานธนาคารจริงอยู่ที่ปลายสายอยู่
อีกวิธีที่ได้รับความนิยมคือ ฟิชชิ่งและเช่นเดียวกับวิธีการทางโทรศัพท์ วิธีนี้รวมถึงการปลอมแปลงตัวตนด้วย ซึ่งในกรณีนี้ อาจเป็นเว็บไซต์ธนาคารปลอมที่ดูเหมือนเว็บไซต์ของธนาคารจริง 100% เหยื่อจะได้รับอีเมลหรือข้อความพร้อมลิงก์ไปยังเว็บไซต์ปลอม โดยขอให้อัปเดตข้อมูลของตนโดยด่วนเพื่อวัตถุประสงค์ด้านความปลอดภัย อย่างไรก็ตาม ข้อมูลทั้งหมดที่ป้อนลงในเว็บไซต์ปลอมจะถูกคัดลอกโดยผู้โจมตีและนำไปใช้เพื่อล้างบัญชีของเหยื่อ
วิธีอื่น ๆ ได้แก่ การที่แฮกเกอร์กลายมาเป็นเพื่อนกับเหยื่อและค่อยๆ เข้าถึงข้อมูลที่ต้องการได้ หรือปลอมตัวเป็นผู้มีอำนาจ เช่น พนักงานของรัฐ เจ้านาย หรือเจ้าหน้าที่รักษาความปลอดภัย เพื่อข่มขู่เหยื่อให้เปิดเผยข้อมูล
วิธีหลีกเลี่ยงการตกเป็นเหยื่อของวิศวกรรมสังคม ได้แก่ ไม่ไว้วางใจคนแปลกหน้า ตรวจสอบเสมอเพื่อให้แน่ใจว่าคุณอยู่ในเว็บไซต์ที่ถูกต้องด้วย “https://” และอย่าแจกรหัสผ่านหรือรหัส PIN ของคุณไม่ว่าในกรณีใดๆ ก็ตาม
2. การดักฟัง
วิธีการแฮ็กที่อันตรายอีกวิธีหนึ่งคือการดักฟัง ถือเป็นอันตรายเนื่องจากมีหลายวิธีในการทำเช่นนี้ และไม่มีข้อจำกัดว่าแฮ็กเกอร์จะเข้าถึงข้อมูลได้มากเพียงใด
ตัวอย่างวิธีการ ได้แก่ การดมกลิ่นแพ็คเก็ตของเครือข่ายเพื่อดึงข้อมูลโดยใช้ซอฟต์แวร์วิเคราะห์เครือข่าย เช่น Wiresharkอีกวิธีหนึ่งคือติดตั้งแอปขนาดเล็กบนคอมพิวเตอร์หรือสมาร์ทโฟนของเหยื่อ ซึ่งจะบันทึกทุกการกดแป้นพิมพ์หรือบันทึกการสื่อสารข้อความทั้งหมด
วิธีการดักฟังอื่นๆ ได้แก่ การโจมตีแบบ man-in-the-middle ที่ให้แฮกเกอร์ถ่ายทอดข้อมูลไปยังสองฝ่ายในขณะที่พวกเขาเชื่อว่าทั้งสองฝ่ายกำลังสื่อสารกันโดยตรง ตัวอย่างเช่น เครือข่าย GSM จะเชื่อมต่อกับสัญญาณที่แรงที่สุดโดยอัตโนมัติ ดังนั้น การปลอมแปลงเสา GSM ของเครือข่ายใดเครือข่ายหนึ่ง ทำให้โทรศัพท์มือถือทั้งหมดในบริเวณนั้นจะเชื่อมต่อกับแฮกเกอร์โดยอัตโนมัติและส่งข้อมูลผ่านระบบของแฮกเกอร์
เบราว์เซอร์และแอปสื่อสารกับเซิร์ฟเวอร์โดยใช้ การประชุม หากต้องการเข้าร่วมเซสชันกับเซิร์ฟเวอร์ ผู้ใช้จะต้องระบุตัวตนก่อนโดยใช้ชุดล็อกอิน/รหัสผ่าน และอาจต้องใช้การตรวจสอบยืนยันตัวตน 2 ขั้นตอน เมื่อยืนยันตัวตนของผู้ใช้แล้ว เซิร์ฟเวอร์จะเริ่มเซสชันกับเบราว์เซอร์ของผู้ใช้ โดยระหว่างนั้นไม่จำเป็นต้องมีการตรวจสอบเพิ่มเติมอีกจนกว่าผู้ใช้จะออกจากระบบ
ปัญหาเล็กน้อยประการหนึ่งคือเซิร์ฟเวอร์จะเก็บข้อมูล คุกกี้ บนเครื่องของผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์หรือเพิ่ม ID เซสชันลงใน URL โดยระบุบางอย่างเช่น ผู้ใช้รายนี้พร้อมที่จะไปแล้วคุณคงเข้าใจแล้ว แต่ปัญหาคือ หากแฮกเกอร์สามารถขโมยคุกกี้หรือ ID เซสชันเหล่านั้นได้ เขาก็จะได้รับสิทธิ์เข้าถึงสภาพแวดล้อมที่ถูกจำกัดซึ่งเหยื่อต้องพิสูจน์ตัวตนก่อนจึงจะเข้าได้ จากนั้นเขาก็สามารถโพสต์ โอนเงิน หรือทำอะไรก็ได้ที่เขาต้องการ
ขณะนี้มีหลายวิธีที่จะบรรลุสิ่งนี้:
- XSS หรือ Cross-Site Scripting – วิธีนี้เกี่ยวข้องกับการหลอกเหยื่อให้คลิกลิงก์ไปยังเว็บไซต์ที่ถูกกฎหมาย แต่รวมไปถึงโค้ด JavaScript เพื่อขโมยคุกกี้ของเว็บไซต์ที่ถูกกฎหมายนั้นและส่งไปยังเว็บไซต์ของแฮ็กเกอร์
- การดมกลิ่นเซสชัน แฮกเกอร์สามารถใช้โปรแกรมดักจับข้อมูลเครือข่าย เช่น Wireshark เพื่อดักจับข้อมูลเซสชันและคุกกี้
- การแก้ไขเซสชัน – ผู้โจมตีจะส่งลิงก์ไปยังเหยื่อที่มีรหัสเซสชัน หากเหยื่อล็อกอินและระบบไม่สามารถสร้างรหัสเซสชันใหม่ได้ แฮกเกอร์ก็สามารถใช้รหัสเซสชันเดียวกันเพื่อล็อกอินได้เช่นกัน วิธีแก้ปัญหาคือให้ระบบสร้างรหัสเซสชันใหม่ทุกครั้งหลังล็อกอิน
- การบริจาคเซสชั่น แฮกเกอร์ล็อกอินเข้าสู่เว็บไซต์ที่ถูกกฎหมาย จากนั้นส่งลิงก์ที่มีข้อมูลเซสชันไปยังเหยื่อเพื่อขอให้อัปเดตข้อมูล เหยื่อจะเห็นว่าตนเองล็อกอินอยู่ และหากไม่สังเกตเห็นว่าไม่ใช่บัญชีของตน เหยื่อจะสามารถป้อนข้อมูลที่ละเอียดอ่อน ซึ่งแฮกเกอร์สามารถขโมยข้อมูลดังกล่าวได้ในภายหลัง วิธีแก้ปัญหาอย่างหนึ่งคือออกจากระบบทุกครั้งเมื่อใช้งานเสร็จ
4. XSS และ CSRF
ตามที่ได้กล่าวไปข้างต้น XSS ย่อมาจาก Cross-Site Scripting ในขณะที่ CSRF ย่อมาจาก Cross-Site Request Forgery คุณควรทราบไว้ว่า XSS ไม่ใช่แค่การขโมยคุกกี้ธรรมดาเท่านั้น แต่ยังรวมถึงการรันสคริปต์บนหน้าที่เหยื่อเชื่อถือขณะเชื่อมต่อกับเว็บไซต์อื่นที่น่าเชื่อถือน้อยกว่าด้วย
เหยื่อไม่จำเป็นต้องเข้าสู่ระบบ ไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์หรือดำเนินการใดๆ เพื่อตกเป็นเหยื่อการโจมตี XSS ซึ่งโดยปกติจะดำเนินการโดยอัตโนมัติ อย่างไรก็ตาม สำหรับ CSRF เหยื่อจะต้องเข้าสู่ระบบในเว็บไซต์ใดเว็บไซต์หนึ่งและดำเนินการเพิ่มเติม เช่น คลิกปุ่ม
ตัวอย่างเช่น Victim-Bob เข้าสู่ระบบเว็บไซต์ของธนาคารของเขา จากนั้นมีบางอย่างมารบกวนเขา และเขาเข้าสู่เว็บไซต์ที่เสนอบริการ พักผ่อนฟรีที่มาเก๊า เขาเพียงแค่คลิกปุ่มเท่านั้น เมื่อเขาคลิกปุ่มนั้น เว็บไซต์จะส่งคำขอโอนเงินไปยังธนาคารของเขา และเนื่องจากเขามีเซสชันที่ใช้งานอยู่กับธนาคาร คำขอจึงสามารถดำเนินการได้
สิ่งที่เว็บไซต์ของผู้โจมตีต้องทำคือสร้างแบบฟอร์มที่ส่งถึงธนาคารโดยมีฟิลด์ที่ถูกต้อง เช่น:
5. ฮอตสปอตฮันนี่พ็อต
เคยใช้ WiFi ฟรีเพื่อเข้าถึงเว็บหรือไม่? หวังว่าคุณจะใช้ VPN (เครือข่ายส่วนตัวเสมือน) เพื่อปกป้องตัวเอง มิฉะนั้น คุณอาจตกเป็นเหยื่อของโปรแกรมหลอกหลวงได้
แผนการนี้ดำเนินไปดังนี้ แฮกเกอร์ติดตั้งจุดเชื่อมต่อ WiFi ฟรีพร้อมเครื่องมือดักจับข้อมูลเบื้องหลังเพื่อขโมยรหัสผ่านและของมีค่าอื่นๆ จากผู้ที่ท่องเว็บฟรี บางคนยังติดตั้งจุดเชื่อมต่อปลอมของบริษัท เช่น ที่คุณพบในร้านกาแฟ สนามบิน และร้านอาหาร
เพื่อหลีกเลี่ยงการแฮ็กดังกล่าว เพียงแค่หลีกเลี่ยงการใช้ฮอตสปอตฟรี หรือใช้ VPN หากคุณจำเป็นต้องใช้ WiFi สาธารณะ
6. เดรัจฉาน
การโจมตีแบบบรูทฟอร์ซคือการพยายามเข้าสู่ระบบบัญชีของเหยื่อโดยพยายามใช้ชื่อผู้ใช้และรหัสผ่านทุกชุดที่เป็นไปได้ นอกจากนี้ยังอาจหมายถึงการแฮ็กอัลกอริทึมโดยพยายามใช้คีย์ให้ได้มากที่สุด
Kali Linuxระบบปฏิบัติการแฮ็กเกอร์ยอดนิยม มาพร้อมกับเครื่องมือบรูทฟอร์ซ เช่น John the Ripper, เอ็นแคร็ก, และ ไฮดรานอกจากนี้ยังมีรายการคำศัพท์ซึ่งช่วยในการโจมตีด้วยพจนานุกรม รายการเหล่านี้ประกอบด้วยรายการรหัสผ่านและคำศัพท์ที่นิยมใช้มากที่สุดจากพจนานุกรม เช่น ลิง, 12345, mysecretpassword, 00000, เป็นต้น
วิธีการหลีกเลี่ยงการโจมตีแบบบรูทฟอร์ซได้แก่ การเพิ่มแคปต์ชาลงในหน้าเข้าสู่ระบบ การจำกัดจำนวนครั้งในการเข้าสู่ระบบ และการบังคับใช้รหัสผ่านที่ปลอดภัย ซึ่งต้องมีความยาว 8 ตัวอักษรขึ้นไป พร้อมด้วยสัญลักษณ์ ตัวเลข และตัวอักษรพิมพ์ใหญ่และพิมพ์เล็กรวมกัน
7. การโจมตีแบบ DoS และ DDoS
DoS ย่อมาจาก Denial of Service การโจมตีในขณะที่ DDoS ย่อมาจาก การปฏิเสธการกระจายการให้บริการของ การโจมตี จุดมุ่งหมายคือการทำให้ระบบคอมพิวเตอร์ เช่น เซิร์ฟเวอร์ ล้นหลามด้วยคำขอจำนวนมาก จนไม่สามารถดำเนินการตามคำขอเพิ่มเติมได้อีก และออฟไลน์ไป
DoS เกิดขึ้นจากเครื่องเดียวและสามารถตรวจจับและบล็อกได้ง่าย ในขณะที่ DDoS เกิดขึ้นจากคอมพิวเตอร์หลายเครื่อง ซึ่งอาจเป็นบอตเน็ตที่แพร่กระจายไปทั่วโลก โดยส่วนใหญ่มักมาจากคอมพิวเตอร์ที่ติดมัลแวร์
คุณควรทราบว่าการโจมตี DDoS นั้นแตกต่างจากวิธีการอื่นๆ ส่วนใหญ่ในรายการนี้ ตรงที่ไม่ได้มีจุดมุ่งหมายเพื่อขโมยหรือรันโค้ดที่เป็นอันตรายบนคอมพิวเตอร์ของเหยื่อ แต่ใช้เพื่อปิดล้อมเซิร์ฟเวอร์ธุรกิจ เนื่องจากบริษัทเหล่านี้ไม่สามารถให้บริการต่อไปได้จนกว่าจะจ่ายค่าไถ่
วิธีที่ง่ายที่สุดในการหลีกเลี่ยงการโจมตี DDoS คือการใช้เว็บโฮสต์ที่รวมการป้องกัน DDoS ไว้ในแพ็คเกจที่เสนอ
8. การโจมตีเว็บไซต์แบบกำหนดเป้าหมายและแบบไม่กำหนดเป้าหมาย
การโจมตีแบบกำหนดเป้าหมายคือการโจมตีที่มุ่งเป้าไปที่เว็บไซต์ของเหยื่อโดยเฉพาะ ในขณะที่การโจมตีแบบไม่กำหนดเป้าหมายเกิดขึ้นกับเว็บไซต์เนื่องจากผู้โจมตีใช้ประโยชน์จากจุดอ่อนของซอฟต์แวร์โดยทั่วไป
ตัวอย่างเช่น เว็บไซต์ WordPress มักถูกโจมตีแบบไม่เจาะจง โดยเฉพาะเว็บไซต์ที่ทำงานบนเวอร์ชันเก่าที่ไม่ได้รับการอัปเดต ผู้โจมตีจะค้นพบช่องโหว่ที่ทำงานกับแพลตฟอร์ม เวอร์ชัน หรือกรอบการพัฒนาเฉพาะ จากนั้นจึงเรียกใช้ช่องโหว่ผ่านรายชื่อที่อยู่เว็บไซต์ที่ใช้แพลตฟอร์มนั้น เพื่อดูว่ามีที่อยู่ใดที่เสียหาย
สำหรับการโจมตีแบบเจาะจง แฮกเกอร์จะใช้เวลามากขึ้นเล็กน้อยในการทำความรู้จักกับเว็บไซต์ของเหยื่อ ซึ่งอาจใช้เวลาตั้งแต่ไม่กี่วันไปจนถึงหลายเดือน การโจมตีแบบเจาะจงมักจะเป็นอันตรายมากกว่าและอาจก่อให้เกิดหายนะได้ โดยเฉพาะสำหรับบริษัทขนาดใหญ่
9 การฉีด SQL
เมื่อ LulzSec แฮ็กเข้าไปในเซิร์ฟเวอร์ของ Sony PlayStation Network ในปี 2011 และขโมยรหัสผ่านไปได้ 1 ล้านรหัส โดยพวกเขาอธิบายการปฏิบัติการนี้ว่าเป็นการแฮ็กด้วยการแทรก SQL แบบง่ายๆ
การแทรก SQL คือการเพิ่มคำสั่งภาษา SQL ลงในที่อยู่คำขอของเว็บไซต์ โดยหวังว่าโปรแกรมเมอร์จะไม่ลบข้อมูลอินพุตที่อาจก่อให้เกิดอันตรายดังกล่าวออกไป และเมื่อ SQLi ทำงานได้ แฮ็กเกอร์มักจะเข้าถึงฐานข้อมูลในฐานะผู้ดูแลระบบได้ เช่นเดียวกับที่เกิดขึ้นกับ Sony
การป้องกันการแทรก SQL ทำได้โดยใช้แพลตฟอร์มและเฟรมเวิร์กยอดนิยมเวอร์ชันล่าสุด อย่างไรก็ตาม ผู้ที่พัฒนาด้วยตัวเองจะต้องเน้นที่การตรวจสอบอินพุตที่เหมาะสม การใช้คำสั่งที่เตรียมไว้ กระบวนการจัดเก็บ และการสแกนช่องโหว่
10. ช่องโหว่ของปลั๊กอิน
นอกเหนือจากปัญหาความปลอดภัยหลักกับแพลตฟอร์มยอดนิยมเช่น WordPress ซึ่งมักจะหลีกเลี่ยงได้โดยการอัพเกรดเป็นซอฟต์แวร์เวอร์ชันล่าสุด ในทางกลับกัน ปลั๊กอินสามารถสร้างภัยคุกคามจากการแฮ็กได้
มีปลั๊กอินมากกว่า 50,000 รายการในระบบนิเวศ WordPress และแต่ละรายการมีความเสี่ยงต่อความปลอดภัย เนื่องจากการแฮ็ก WordPress ส่วนใหญ่ในปัจจุบันมาจากช่องโหว่ของปลั๊กอินเหล่านี้
แม้ว่าความปลอดภัย 100% จะไม่สามารถเกิดขึ้นได้ แต่คุณยังคงสามารถปรับปรุงการป้องกันของเว็บไซต์จากช่องโหว่ของปลั๊กอินได้โดยการเลือกเฉพาะปลั๊กอินคุณภาพสูงที่มีคะแนนสูง จากนั้นอัปเดตระบบหลักและปลั๊กอินเป็นประจำ และหลีกเลี่ยงการใช้ธีมหรือส่วนขยายเก่าๆ ทุกประเภท
สรุป
เราได้รวบรวมวิธีการแฮ็กเกอร์ 10 อันดับแรกไว้แล้ว และคุณคงได้เห็นสาเหตุและวิธีการป้องกันที่เป็นไปได้แล้ว เช่นเดียวกับที่คุณคงได้สรุปไปแล้ว การแฮ็กเป็นส่วนหนึ่งของโลกคอมพิวเตอร์ ดังนั้นภัยคุกคามจากการแฮ็กจึงเป็นสิ่งที่ต้องคำนึงถึงอยู่เสมอ
อย่างไรก็ตาม การรับรู้ถึงภัยคุกคามเหล่านี้และใช้มาตรการป้องกันที่ถูกต้องเมื่อจำเป็น ก็สามารถลดความเสี่ยงในการถูกแฮ็กได้อย่างมากเช่นกัน
บทความที่เกี่ยวข้อง
