хакери та хакерські атаки: як захистити себе від кібершахраїв у 2023 році?
Хто такі хакери і якими можуть бути хакерські атаки? Хто найбажаніша жертва крекерів, як розпізнати кібератаки і як себе від них захистити?
В цифрову реальність перемістилася не тільки наше звичне життя, а й загрози. Тривожні новини про хакерів та хакерські атаки вже стали частиною реальності. Команда міжнародного Бізнес - журналу https://worldbank.org.ua вирішила досконально з'ясувати, хто такі хакери, що являють собою хакерські атаки . Ми дізналися, кому потрібно побоюватися кібератак в першу чергу і за якими ключовими ознаками визначити, що ви стали жертвою кіберзлочинців. Також ми знайшли прості способи протидії кіберзагрозам, доступні кожному власникові електронних пристроїв.
Хто такі хакери: White hat і Black hat
Хакер — комп'ютерний зломщик, зловмисник, який видобуває конфіденційні дані в обхід систем кіберзахисту. Тут окремо виділяють такі угруповання, як:
- Творці комп'ютерних вірусів-шкідливих програм, здатних впроваджуватися в код інших додатків;
- Кардери-шахраї в сфері електронних платежів, банківських карт;
- Крекери (cracker) - зломщики програмного забезпечення або захисту ПЗ, хакери середнього рівня;
- Скрипт-Кідді (script kiddie) - ті, хто користується для кібератак шкідливими утилітами чужого авторства (купуючи подібні інструменти), не розуміючи механізму їх дії;
- Хактивісти — ідейні зломщики, які переслідують «вищі цілі» (на зразок «Анонімус»).
Так, script kiddie в США нерідко протиставляють хакерам, так як вони здатні користуватися тільки чужими експлойтами і скриптами для злому програм, але недостатньо підготовлені, щоб створювати власні хакерські утиліти або знаходити уразливості систем.
У сучасному цифровому співтоваристві хакерів також поділяють на дві категорії:
- White hat (білий капелюх) — фахівці з кібербезпеки, дослідники вразливостей ІТ-систем, які не порушують своєю діяльністю закон.
- Black hat (чорний капелюх) — зломщик, кіберзлочинець. Цілі у нього можуть бути найрізноманітніші: фінансова вигода, кібершпигунство на користь третьої особи (приватної компанії або державної структури), вираз протесту або просте бажання розважитися.
Також з'являються і grey hat, які думають і тим, і іншим потроху: вдень забезпечують інформаційну безпеку якоїсь корпорації, а вночі зламують програми, запускають DDoS-атаки або крадуть номери банківських карт.
Саме слово походить від англ. hacker - » робити зарубки«,» обтісувати«, яке перетворилося в жаргонне» рубати«,»врубуватися". Спочатку хакерами називали талановитих програмістів, які блискавично і віртуозно виправляли помилки в коді. І тільки в кінці ХХ століття так стали іменувати саме цифрових зломщиків.
Що таке хакерська атака: якою вона може бути?
Хакерська (крекерська) атака — це:
- " замах на систему кібербезпеки»;
- «загальний термін, що позначає діяльність переважної більшості шкідливих об'єктів, а також кібератаки на комп'ютери приватних осіб, компаній і держустанов»;
- " дія, метою якої є захоплення контролю (підвищення прав) над віддаленою / локальною обчислювальною системою, її дестабілізація або відмова в обслуговуванні»;
- «комплекс дій, спрямованих на Пошук вразливостей в цифрових системах».
При цьому мова може йти як про технічні дії (використання шкідливих утиліт), так і про психологічні методи (соціальної інженерії), коли кіберзлочинці обманом, шантажем, залякуванням змушують жертву повідомити їм конфіденційну інформацію.
10 головних типів хакерських атак
Крекерські атаки в сучасній реальності дуже різноманітні:
- SMTP — Mailbombing . Найстаріший і найпростіший спосіб « "бомбардування" електронної поштової скриньки або поштового сервера жертви численними повідомленнями, що унеможливлює його нормальну роботу.
- Переповнення буфера. пошук програмних помилок, що дозволяє аварійно завершити роботу програми з метою стимуляції порушення меж пам'яті і відкриття доступу до прав адміністратора.
- Віруси: черв'яки, трояни, сніфери, руткіти та ін. численна категорія шкідливих програм з різними принципами, але єдиною метою: пошук і передача своєму власникові секретної інформації з комп'ютера жертви, нанесення шкоди працездатності і системи захисту атакується пристрою.
- Мережева розвідка. таємне спостереження, отримання конфіденційних даних без вчинення шкідливих або руйнівних дій.
- IP-спуфинг. Вид шахрайства, при якому зловмисник користується недостатньою захищеністю тієї чи іншої мережі, щоб підібрати відповідний IP-адреса і видати себе за авторизованого користувача.
- Man-in-the-Middle («людина посередині», «атака посередника»). Кіберзлочинець перехоплює канал зв'язку двох систем, щоб отримати доступ до переданих між ними даних.
- Впровадження SQL - коду. виробляється для зміни SQL-запитів до баз даних, щоб (з метою шахрая) спотворити сенс таких запитів.
- РНР-ін'єкція. Атака на РНР-сайт з впровадженням шкідливого сценарію в веб- Додатки на серверній стороні, щоб привести систему до виконання довільних команд.
- XSS. міжсайтовий скриптинг, при якому зловмисний код впроваджується в Інтернет -сторінки, які переглядають користувачі.
- Dos- (з одного комп'ютера) і DDoS - (з декількох комп'ютерів) атаки. мета — змусити сервер не відповідати на запити та вивести відмову в обслуговуванні.
Додатково виділяється social engineering — «соціальна інженерія», психологічний тиск на жертву.
Як виявити хакерську атаку: ключові ознаки
Відразу попередимо, що недосвідчений користувач, навіть знаючи способи виявлення кібератаки, далеко не завжди зможе її самостійно детектувати. Однак варто відзначити самі виразні ознаки зламаної системи:
- Підозріло високий вихідний мережевий трафік, якщо ви активно не користуєтеся Інтернетом.
- Збільшення активності жорстких дисків.
- Величезна кількість пакетів з одного і того ж IP-адреси, які силкується зупинити міжмережевий екран.
- Поява підозрілих файлів і папок в кореневих директоріях.
Найпростіше, якщо на комп'ютері або ноутбуці стоїть антивірус: навіть якщо при нормальній роботі пристрою додаток сигналізує про бекдорах або троянах, це привід насторожитися.
Головна мішень хакерів: кому варто остерігатися кіберзлочинців?
Самий «ласий шматочок» для кіберзлочинців — керівники великих компаній і менеджери, які приймають відповідальні рішення. Найбільше їм варто побоюватися:
- Фішингових атак;
- Злому застарілого програмного забезпечення;
- Крадіжки невикористовуваних пристроїв;
- Атак на смартфони керівників і співробітників;
- Несанкціонованого доступу до інформації з хмарних сховищ.
На жаль, управлінці досі є легкою здобиччю для крекерів. Так, згідно з опитуваннями компанії Code42:
- 75% керівництва і 52% співробітників, які приймають відповідальні рішення, систематично використовують додатки, не схвалені ІТ-відділом компанії;
- При цьому 91% і 83% з них розуміють, що це загрожує інформаційній безпеці всієї організації;
- 42% керівників усвідомлюють, що крадіжка конфіденційної інформації компанії зруйнує весь їхній бізнес.
Найсумніше, що Керуючі корпорацій при цьому не вважають забезпечення кібербезпеки своєї компанії пріоритетним напрямком.
Які Ваші Особисті дані насамперед цікаві хакерам?
Яка інформація цінна для хакерів? Про це розповіли фахівці Центру "Касперський" ( Росія ):
- PII (personally identifiable information, особисті дані): ім'я, електронна пошта, адреса проживання, дата народження, номер страхового поліса, ІПН, анамнез, відомості про навчання та роботу, покупки та інвестиції. Цього скромного набору вже достатньо, щоб зловмисник вкрав вашу особу).
- Електронні листи, повідомлення в чатах і месенджерах. Особливо інтимні фото, скани і фотографії документів, номери карт і рахунків в банку. Також хакеру буде цікавий список ваших контактів-для подальшої фішингової розсилки.
- Особиста або цінна інформація, яку ви повідомляєте в Блозі, по аудіодзвінку або в ході відеоконференції.
- Дані вашого браузера — cookie-файли, журнали провайдера, плагіни з даними. За цим добром полюють зломщики, що працюють на недобросовісних рекламодавців.
Найбільшу небезпеку для особистих даних представляє користування громадськими мережами Wi-Fi в кав'ярнях, метро, парках. Але що робити, якщо в інтернет все-таки потрібно вийти? По-перше, увімкніть VPN. технологія перенаправить трафік, приховає IP-адресу, не дозволяючи зловмисникам відстежувати вас. По-друге, користуйтеся сайтами, де є підтримка шифрування за допомогою протоколів SSL і TLS. У рядку браузера і Google вони виділяються «замочуванням», а URL-адреса починається з https:// замість http://. По-третє, використовуйте тільки ті месенджери і додатки для відеоконференцій, які використовують наскрізне шифрування даних.
10 фатальних помилок, які роблять вас легкою жертвою хакера
Ніхто з нас на 100% не захищений від хакерських атак. Проте, будь-хто може перевірити себе на поширені думки і помилки, які до сих пір допускає чимало користувачів:
- Не виходять зазвичай зі свого облікового запису, завершивши роботу з нею. Це стосується як банківських сервісів, так і соцмереж.
- Використовують для свого роутера стандартне ім'я і пароль за замовчуванням. Але ж вже по нейму користувача можна дізнатися тип і роутера, і мережі, до якої він підключений.
- Користуються функцією Автозаповнення. Так, це зручно. Але пам'ятайте, що подставляемая інформація міститься в пам'яті вашого пристрою. А значить, до неї легко може дістатися хакер.
- Зберігають на телефонах програми і додатки, якими вже не користуються. А вони цілком можуть бути шпигунами, що крадуть особисті дані.
- Безтурботно надають додаткам доступ до камери та мікрофона, даних про місцезнаходження, вбудованих покупок та облікового запису.
- Завантажують на смартфон неофіційні або «крякнуті» додатки. Саме такі засоби лідирують в кількості по шкідливості.
- Не використовують двофакторну автентифікацію. Простий спосіб убезпечити себе: щоб увійти в акаунт, потрібно додатково використовувати SMS-підтвердження.
- Погоджуються в соціальних мережах на функції визначення місця розташування, розпізнавання особи, а також доступ до блоків з особистими інтересами і хобі для індивідуальної реклами.
- Дозволяють пристроям IoT відстежувати свої звички. Гаджети Інтернету речей-одна з найлегших здобич для кіберзлочинців.
- Не відключають на сайтах і додатках автоматичні функції. А саме таким шляхом пов'язаний шкідливий ресурс може отримати доступ до вашого календаря.
10 простих способів захистити себе від хакерської атаки
AV-TEST свідчить: кожен день (!) виявляються близько 390 000 нових шкідливих утиліт. Факт говорить сам за себе: на 100% захиститися від хакерів неможливо — це, образно кажучи, те ж саме, що битися з гідрою. Однак в силах кожного з нас хоча б не стати легкою здобиччю кібершахраїв:
- Не переходьте за дивними та сумнівними посиланнями.
- Не вставляйте в свій комп'ютер або ноутбук невідомі, чужі флеш-накопичувачі.
- Не завантажуйте «крякнуті» версії антивірусів і популярних додатків, поширювані безкоштовно.
- Слідкуйте за веб-камерою — про те, що вона активна, можна дізнатися по палаючому LED-індикатору.
- Використовуйте для кожного сайту і аккаунта в соцмережах різні паролі. А краще включите двухфакторную аутентифікацію.
- Підбирайте якомога складніші паролі, які неможливо вгадати методом перебору.
- Своєчасно оновлюйте критично важливе програмне забезпечення .
- Використовуйте спам-фільтри, щоб уберегти себе від фішингових листів на електронну пошту.
- Не відключайте повідомлення від контролю облікових записів користувачів (ОС «Віндовс»).
- Не підключайтеся до безкоштовних публічним вай-фай мереж в транспорті або громадських місцях, що відкриває шахраям доступ до ваших особистих даних.
Також варто з великою обережністю переходити за короткими посиланнями — навіть якщо вам надіслав такий Лінк знайомий, спершу переконайтеся, що його не зламали.
Як захистити свій телефон від злому хакерами: 10 лайфхаків
Джерело " РБК.Тренди " поділився докладною інструкцією щодо захисту смартфонів від кіберзлочинців:
- Замість простенького чотирьох - або шестизначного PIN-коду використовуйте складний пароль з буквами і цифрами. На айфоне, наприклад, в останніх оновленнях вже є можливість встановити такий довільний код.
- Поставте автоматичне стирання всіх даних після 10 невірних спроб введення коду-пароля.
- Вимкніть сповіщення на заблокованому екрані. Інакше хакер запросто відстежить СМС-коди для підтвердження платежів.
- Увімкніть двофакторну перевірку для входу в обліковий запис свого пристрою.
- Деактивуйте автоматичну синхронізацію даних, щоб непотрібна інформація не потрапила в хмарне сховище, яке дуже часто зламують.
- Видаліть автоматичне підключення до Wi-Fi. Інакше телефон легко підключиться до публічного вай-фай, який легко зламати.
- Забороніть додаткам доступ до локації, фото, соцмереж, контактів.
- Вимкніть cookies і автозаповнення в браузерах
- Вимкніть функцію автозаповнення паролів.
- Окремо зашифруйте дані SD-карти, якщо вона використовується в телефоні.
Як захистити свій сайт від хакерів: 10 доступних прийомів
Статистика невтішна — з хакерськими атаками зустрічається практично кожен розробник, веб-майстер або власник сайту. Атаки-це ще й пряма загроза репутації порталу і гарантоване його зниження в пошуковій видачі. Як захиститися від кіберзлочинців?
- Зберігайте на сайті тільки ті особисті дані клієнтів, які дійсно необхідні для ведення вашого бізнесу.
- Постійно оновлюйте версії поточних шифрувальних алгоритмів, наприклад, SSL — Secure Sockets Layer.
- Не забувайте регулярно тестувати свою платформу на наявність вразливостей.
- Не зберігайте бекапи в кореневому каталозі сайту. Особливо, під такими простими назвами, як backup.zip, site.zip, 1.zip.
- Вибирайте надійного хостинг-провайдера, який проводить регулярний моніторинг мережі, резервне копіювання і надає цілодобову техпідтримку.
- Шифруйте не тільки банківські дані, але навіть ділову переписку з партнерами.
- Поставте заборону на індексацію системних каталогів, правильно налаштуйте файл robots.txt.
- Оновлюйте CMS і софт на сервері.
- Закрийте доступ до папок: як кажуть професіонали, «забетонуйте сайт» — зробіть hardening.
- Обмежте доступ до адмін-панелі (панелі управління сайтом). Щоб встановити на адмінку Додаткові логін і пароль, потрібно додати файли .htaccess і .htpasswd.
На жаль, в умовах цифрової безпечності як приватних користувачів, так і керівників, відповідального менеджменту і цілих корпорацій хакерам навіть не доводиться працювати в пошуках уразливості системи. Всі слабкі місця кібербезпеки лежать буквально на поверхні. Редакція бізнес-журналу https://worldbank.org.ua хоче нагадати читачам, що»порятунок потопаючих — справа рук самих потопаючих". У нашій новій цифровій реальності недбале ставлення до конфіденційних даних, інформації з банківських карт і розрахункових рахунків — те ж саме, що розповідати на весь Інтернет, де «ключ від квартири, в якій гроші лежать».