Top 10 Hacking Methods na dapat mong malaman

Nag-aalala ka ba tungkol sa kung gaano mapanganib ang mga hacker? Narito ang mga nangungunang paraan ng pag-hack at ang mga panganib na dulot ng mga ito.

  • Nnamdi OkekeBy
  • Na-update
  • Oras ng Pagbasa9 min
Hacker

Ang pag-unlad ng mga teknolohiya sa Internet ay nagdala ng maraming paglago at mga pagkakataon sa negosyo, pati na rin ang mga bagong paraan ng pag-hack upang tumugma.

Mula sa mga pribadong gumagamit ng social media hanggang sa maliliit na negosyo at malalaking korporasyon, malawak ang hanay ng mga biktima ng modernong hacker.

Ito ay para sa iyong pinakamahusay na interes samakatuwid, upang makakuha ng ideya ng mga posibleng panganib na nakatago sa World Wide Web, pati na rin ang pagkakaroon ng tamang impormasyon upang mapagaan ang mga banta sa seguridad. Ang post na ito ay nagbibigay liwanag.

Talaan ng nilalaman itago
Mga Nangungunang Paraan ng Pag-hack
Konklusyon

Mga Nangungunang Paraan ng Pag-hack

Narito ang mga nangungunang paraan ng pag-hack:

1. Social Engineering

Ang social engineering ay ang proseso ng pagmamanipula sa isang potensyal na biktima upang ibunyag ang mahalagang impormasyon o gumawa ng ilang partikular na aksyon na magbibigay sa umaatake ng kinakailangang access. Mayroong maraming mga paraan upang lapitan ang social engineering, tulad ng pagtawag sa biktima sa telepono at paghiling ng sensitibong impormasyon. Ang pamamaraang ito ay tinatawag na nagbubuong at kadalasang ginagamit upang mangolekta ng impormasyon sa pagbabangko mula sa mga hindi pinaghihinalaang biktima, na naniniwala na ang isang tunay na empleyado ng bangko ay nasa kabilang dulo.

Ang isa pang tanyag na paraan ay Phishing, at tulad ng paraan ng telepono, kabilang dito ang mga pagpapanggap. Dito, maaaring ito ay isang pekeng website ng pagbabangko na mukhang 100% katulad ng website ng orihinal na bangko. Nakatanggap ang biktima ng email o text na may link sa pekeng site, na humihiling sa kanya na agarang i-update ang kanyang mga detalye para sa mga layuning pangseguridad. Gayunpaman, ang lahat ng impormasyong ipinasok sa pekeng site ay kinopya ng umaatake at ginagamit upang alisan ng laman ang account ng biktima.

Kasama sa iba pang mga pamamaraan ang pakikipagkaibigan ng hacker sa biktima at unti-unting nakakakuha ng access sa kinakailangang impormasyon, o pagpapanggap bilang isang awtoridad, tulad ng isang empleyado ng gobyerno, isang boss, o isang ahente ng seguridad upang takutin ang isang biktima sa pagbubunyag ng impormasyon.

Ang mga paraan upang maiwasang maging biktima ng social engineering ay kinabibilangan ng hindi pagtitiwala sa mga estranghero, palaging suriin upang matiyak na ikaw ay nasa tamang website na may "https://” at huwag kailanman ibigay ang iyong mga password o PIN code, anuman ang mangyari.

2. Eavesdropping

Ang isa pang mapanganib na paraan ng pag-hack ay ang eavesdropping. Ito ay mapanganib dahil napakaraming paraan upang gawin ito at walang limitasyon sa dami ng impormasyong makukuha ng hacker.

Kasama sa mga halimbawang pamamaraan ang pagsinghot ng mga packet ng network upang kunin ang impormasyon gamit ang network analyzer software gaya ng Wireshark. Ang isa pang paraan ay ang pag-install ng isang maliit na app sa computer o smartphone ng biktima na nagla-log sa bawat keystroke o kumukuha ng lahat ng komunikasyon sa text.

Kasama sa iba pang paraan ng pag-eavesdropping ang mga man-in-the-middle na pag-atake na nagpapahintulot sa isang hacker na maghatid ng impormasyon sa dalawang partido, habang naniniwala silang direktang nakikipag-ugnayan sila. Halimbawa, ang mga GSM network ay awtomatikong nagli-link sa pinakamalakas na signal, kaya sa pamamagitan ng panggagaya sa GSM tower ng isang partikular na network, lahat ng mga mobile phone sa lugar na iyon ay awtomatikong nagli-link sa hacker at ipinapasa ang kanilang impormasyon sa kanyang system.

3. Session at Cookie Hijacking

Ang mga browser at app ay nakikipag-ugnayan sa mga server na gumagamit mga sesyon. Upang makapasok sa isang session sa isang server, dapat munang kilalanin ng user ang kanyang sarili gamit ang isang login/password combo, at posibleng 2-factor na pagpapatotoo. Kapag na-verify ang pagkakakilanlan ng user, magsisimula ang server ng session sa browser ng user, kung saan hindi na kailangan ng karagdagang pag-verify hanggang sa mag-log off ang user.

Isang maliit na isyu dito ay ang server ay mag-iimbak ng a cookie sa makina ng napatotohanang user o magdagdag ng session ID sa URL, na nagsasabi ng katulad ang user na ito ay mahusay na pumunta, makuha mo ang drift. Ngunit ang problema ay, kung maaaring nakawin ng isang hacker ang cookies o session ID na iyon, magkakaroon siya ng access sa pinaghihigpitang kapaligirang iyon na kinailangang patotohanan ng biktima upang makapasok. Pagkatapos ay maaari siyang gumawa ng mga post, maglipat ng pera, o gawin ang anumang bagay na gusto niya.

Ngayon, maraming mga paraan upang makamit ito:

  1. XSS o Cross-Site Scripting – Kabilang dito ang panlilinlang sa biktima na mag-click ng link sa isang lehitimong site, ngunit kabilang dito ang JavaScript code upang nakawin ang kanyang cookies para sa lehitimong site na iyon at ipadala ang mga ito sa site ng hacker.
  2. Session Sniffing – Ang hacker ay maaaring gumamit ng mga sniffer ng network tulad ng Wireshark upang maharang ang impormasyon ng session at cookie.
  3. Pag-aayos ng Sesyon – Nagpapadala ang attacker ng link sa isang biktima na naglalaman ng session ID. Kung mag-log in ang biktima at nabigo ang system na makabuo ng bagong session ID, maaaring gamitin ng hacker ang parehong session ID para mag-log on din. Ang solusyon dito ay para sa system na palaging bumuo ng bagong session ID pagkatapos ng bawat pag-login.
  4. Donasyon ng Sesyon – Nagla-log in ang isang hacker sa isang lehitimong site, pagkatapos ay nagpapadala ng link na may data ng session sa isang biktima, na humihiling sa kanya na i-update ang impormasyon. Makikita ng biktima na naka-log in siya at kung hindi niya mapansin na hindi niya ito account, maaari siyang mag-input ng sensitibong impormasyon, na maaaring nakawin ng hacker. Ang isang solusyon ay ang palaging mag-log out kapag tapos ka na.

4. XSS at CSRF

Tulad ng nabanggit na sa itaas, ang XSS ay kumakatawan sa Cross-Site Scripting, habang ang CSRF ay kumakatawan sa Cross-Site Request Forgery. Dapat mong tandaan dito na ang XSS ay higit pa sa ordinaryong pagnanakaw ng cookie, dahil ito ay tungkol sa pagpapatakbo ng script sa isang page na pinagkakatiwalaan ng biktima habang kumokonekta sa iba pang hindi gaanong pinagkakatiwalaang mga website.

Ang isang biktima ay hindi kailangang mag-log in, ma-authenticate, o gumawa ng anumang aksyon para mahulog sa isang XSS attack, na kadalasan ay awtomatiko. Para sa CSRF, gayunpaman, ang biktima ay kailangang naka-log in sa isang partikular na website at dagdag na aksyon, tulad ng pag-click sa isang pindutan.

Kunin, halimbawa, ang Victim-Bob ay naka-log on sa website ng kanyang bangko, pagkatapos ay may nakakagambala sa kanya, at napunta siya sa isang website na nag-aalok ng Libreng Bakasyon sa Macau, ang kailangan lang niya ay i-click ang button. Kapag na-click niya ito, nagsusumite ang website ng kahilingan sa paglilipat ng pera sa kanyang bangko, at dahil mayroon siyang aktibong session sa bangko, maaaring matuloy ito. 

Ang kailangan lang ng website ng attacker ay gumawa ng form na nakadirekta sa bangko na may mga tamang field, gaya ng:

5. Hotspot Honeypot

Nakagamit na ba ng libreng WiFi para ma-access ang web? Sana gumamit ka ng VPN (Virtual Private Network) para protektahan ang iyong sarili, o kung hindi, maaari kang naging biktima ng honeypot.

Ganito ang scheme: Nagse-set up ang isang hacker ng libreng WiFi hotspot na may packet sniffer sa likod ng mga eksena upang makakuha ng mga password at iba pang mahahalagang bagay mula sa mga nagsu-surf sa web nang libre. Nag-set up pa nga ang ilan ng mga pekeng hotspot ng kumpanya, gaya ng makikita mo sa mga coffee shop, airport, at restaurant.

Para maiwasan ang mga ganitong hack, lumayo lang sa mga libreng hotspot, o gumamit ng VPN kung kailangan mong gumamit ng mga pampublikong WiFi.

6. Brute Force

Ang brute force attack ay isang pagtatangka na mag-log in sa account ng biktima sa pamamagitan ng pagsubok sa lahat ng posibleng kumbinasyon ng username at password. Maaari rin itong sumangguni sa pag-crack ng isang algorithm sa pamamagitan ng pagsubok sa pinakamaraming key hangga't maaari.

Kali Linux, ang sikat na operating system ng hacker, ay may kasamang mga tool ng brute force gaya ng John the Ripper, ncrack, at Haydra. Mayroon ding mga listahan ng salita, na tumutulong sa mga pag-atake sa diksyunaryo. Naglalaman ang mga ito ng listahan ng mga pinakasikat na password at salita mula sa diksyunaryo, gaya ng unggoy, 12345, mysecretpassword, 00000,  at iba pa.

Kasama sa mga pamamaraan para sa pag-iwas sa mga brute force na pag-atake ang pagdaragdag ng captcha sa login page, paglilimita sa bilang ng mga pagsubok sa pag-login, at pagpapatupad ng paggamit ng mga secure na password – 8 character o higit pa, na may kumbinasyon ng mga simbolo, numero, at upper-at lower-case mga titik.

7. DoS at DDoS

Ang ibig sabihin ng DoS ay Pagtanggi ng Serbisyo pag-atake, habang ang ibig sabihin ng DDoS Ipinamamahagi pagtanggi ng Serbisyo atake. Ang layunin dito ay puspusin ang isang computer system, tulad ng isang server, na may napakaraming kahilingan, na nagiging hindi na nito kayang tuparin ang mga karagdagang kahilingan – napupunta offline.

Ang DoS ay nagmula sa isang makina at madaling makita at harangan. Ang DDoS sa kabilang banda ay nagmumula sa maraming computer at ito ay maaaring isang botnet na kumakalat sa buong mundo, kadalasang nagmumula sa mga computer na nahawaan ng malware.

Dapat mong tandaan na hindi tulad ng karamihan sa iba pang mga pamamaraan sa listahang ito, ang mga pag-atake ng DDoS ay hindi naglalayong magnakaw o magsagawa ng malisyosong code sa computer ng biktima. Sa halip, ginagamit ang mga ito upang hawakan ang mga server ng negosyo sa ilalim ng pagkubkob, dahil imposibleng ipagpatuloy ng mga kumpanyang ito ang kanilang mga serbisyo hanggang sa mabayaran ang isang ransom.

Ang pinakasimpleng paraan upang maiwasan ang mga pag-atake ng DDoS ay ang paggamit ng web host na may kasamang proteksyon ng DDoS sa inaalok na package.

8. Naka-target at Hindi naka-target na Mga Pag-atake sa Website

Ang naka-target na pag-atake ay isang pag-atake na partikular na naglalayong sa website ng biktima, habang ang isang hindi naka-target na pag-atake ay nangyayari sa isang website dahil sinasamantala ng umaatake ang isang pangkalahatang kahinaan ng software.

Ang mga website ng WordPress, halimbawa, ay madaling kapitan ng mga hindi naka-target na pag-atake, lalo na ang mga tumatakbo sa mas lumang, hindi na-update na mga bersyon. Natuklasan ng attacker ang isang pagsasamantala na gumagana sa isang partikular na platform, bersyon, o balangkas ng pag-unlad, pagkatapos ay pinapatakbo ang pagsasamantala sa pamamagitan ng isang listahan ng mga address ng website na gumagamit ng platform, upang makita kung alin ang masisira.

Para sa mga naka-target na pag-atake, ang hacker ay gumugugol ng kaunting oras upang makilala ang website ng biktima, at ito ay maaaring saklaw kahit saan mula sa ilang araw hanggang sa maraming buwan. Ang mga naka-target na pag-atake ay kadalasang mas mapanganib at maaaring nakapipinsala, lalo na para sa malalaking kumpanya.

9. SQL Injection

Kailan LulzSec pumasok sa mga server ng Sony PlayStation Network noong 2011 at nagnakaw ng 1 milyong password, inilarawan nila ang operasyon bilang isang simpleng SQL injection hack.

Ang SQL injection ay ang pagkilos ng pagdaragdag ng mga direktiba sa wika ng SQL sa address ng kahilingan ng isang website, sa pag-asang hindi nilinis ng programmer ang mga posibleng nakakapinsalang input. At kapag gumagana ang SQLi, ang hacker ay madalas na nakakakuha ng admin access sa database, tulad ng nangyari sa Sony.

Ang pag-iwas sa SQL injection ay posible sa pamamagitan ng paggamit ng mga pinakabagong bersyon ng mga sikat na platform at frameworks. Gayunpaman, ang mga mismong nagtatayo ay kailangang tumuon sa wastong pagpapatunay ng input, ang paggamit ng mga inihandang pahayag, mga nakaimbak na pamamaraan, at pag-scan ng kahinaan.

10. Mga Kahinaan sa Plugin

Bukod sa mga pangunahing isyu sa seguridad sa mga sikat na platform tulad ng WordPress, na kadalasang maiiwasan sa pamamagitan ng pag-upgrade sa pinakabagong mga bersyon ng software, ang mga plugin, sa kabilang banda, ay maaaring lumikha ng isang malaking banta sa pag-hack.

Mayroong higit sa 50,000 plugin sa WordPress ecosystem, at ang bawat isa ay nagdudulot ng potensyal na panganib sa seguridad, dahil ang karamihan sa kasalukuyang mga hack ng WordPress ay nagmumula sa mga kahinaan ng plugin na ito.

Bagama't hindi posible ang 100% na kaligtasan dito, maaari mo pa ring pagbutihin ang depensa ng isang website laban sa kahinaan ng plugin sa pamamagitan lamang ng pagpili ng mga mataas na kalidad na plugin na may matataas na rating. Pagkatapos ay regular na gawin ang mga pangunahing pag-update ng system at plugin, at iwasan ang paggamit ng mga lumang tema o extension ng anumang uri.

Konklusyon

Inilista namin ang nangungunang 10 paraan ng mga hacker doon at nakita mo ang kanilang mga sanhi at posibleng paraan ng pag-iwas. Tulad ng napagpasyahan mo rin, ang pag-hack ay bahagi ng mundo ng computer, kaya ang mga banta ng hack ay palaging dapat isaalang-alang. 

Sa pamamagitan ng pagiging kamalayan sa mga banta na ito, gayunpaman, at paglalapat ng mga tamang hakbang sa proteksyon kung kinakailangan, maaari mo ring mabawasan nang husto ang iyong panganib na ma-hack.

Nnamdi Okeke

Nnamdi Okeke

Si Nnamdi Okeke ay isang mahilig sa computer na mahilig magbasa ng malawak na hanay ng mga libro. Mas gusto niya ang Linux kaysa sa Windows/Mac at gumagamit na siya
Ubuntu mula noong mga unang araw nito. Mahuhuli mo siya sa twitter via bongotrax

Mga Artikulo: 299

Tumanggap ng mga kagamitan sa teknolohiya

Mga tech na trend, mga uso sa pagsisimula, mga review, online na kita, mga tool sa web at marketing nang isang beses o dalawang beses bawat buwan

Kaugnay na Artikulo

magbahagi
copy Link
×