Вам когда-нибудь было интересно, как происходит взлом сайта? У всех на слуху сливы конфиденциальных баз данных банков, налоговой, служб доставки? А есть ли способ защититься от этого?
Друзья, давайте разбираться!
С вами канал “Цифровое просвещение”. Здесь трём за все, что связано с ИТ-сферой. И, да, у нас есть печеньки. Так что, велком на темную сторону!
Самый простой алгоритм взлома
Правило №1 - все системы можно взломать.
Правило №2 - на 100% безопасных систем не бывает.
Не согласны со вторым утверждением? Смотрим правило номер раз.
Итак, для хакера вопрос взлома вашего сайта - лишь вопрос времени и профита. Чем больше он должен потратить времени и чем меньше будет профит - тем больше вероятность, что вы в безопасности.
Типичный алгоритм взлома:
- Получить доступ, не прибегая к взлому;
- Известные методы взлома;
- Грубая сила;
- Собственный инструмент;
- Другой подход и начать алгоритм сначала.
Давайте детально разберем каждый шаг хакера на всех этапах.
Шаг №1: методы социальной инженерии
Самый крутой хакер - это тот, кто не прибегает к взлому. Но как?
Нужно просто заставить пользователя выдать свои логины и пароли. Уловки, хитрости, психологическое давление и болтология. Все вместе - социальная инженерия.
Реальные способы социальной инженерии:
- Сообщения от администрации. Пользователь получает письмо от имени якобы официального представителя сайта, госслужбы, сервиса, банка, ИФНС и так далее... с чем-то угрожающим, предупреждающим, тревожным. Помните звонки от СБ Сбера, где вашу карту взломали? Ну вот, все тоже самое, только в виде “официального” письма. Цель хакера - паника, которая заставит юзера под воздействием стресса выдать пароли;
- Ненавязчивое общение - с вами хотят познакомиться. Деловой партнер, романтический ухажер и т.д. Ролей у мошенников масса. При этом круг вопросов вполне себе безобидный: откуда вы родом, какое у вас хобби, каких животных любите, какая у вашей матери девичья фамилия… Догадались о цели общения? Конечно же, кодовое слово!;
- Фишинг - это когда к вам приходит “письмо счастья” с просьбой перейти по ссылке, проголосовать, посмотреть что-то интересное. И как назло нужно заполнить форму для авторизации. А после ее заполнения происходит…ничего. Вы в недоумении, а хакер уже получил все, что было нужно. Вся фишка в сайте-двойнике, который на 100% похож оригинал и создан лишь для одной цели - сбора ваших данных.
Защита?
Помните, что:
- представители сервисов не запрашивают данные для входа в личный аккаунт;
- одноразовые пароли, кодовые слова, ответы на контрольные вопросы не сообщают третьим лицам;
- переходить по рекламным и иным подозрительным ссылкам, а также авторизоваться на незнакомых сайтах опасно.
Шаг №2 - взлом через известные уязвимости
Если социальная инженерия не оправдала себя, тогда хакер начинает искать уязвимости. Почти у всех сайтов они есть. Наиболее известная это – SQL-инъекция, когда хакер меняет, например, стандартную форму запроса пароля на запрос, где заранее прописан логин и пароль.
Защита? Обращать внимание на ввод символов языка SQL, а еще лучше отделить передачу данных от запроса.
Шаг №3 - грубая сила
Хакер порядком разозлился и начинает процедуру брутфорса – подбора пароля. В помощь он активирует скрипт для поиска пароля методом перебора.
Начнет ПО с самых популярных вариантов:
- 00000;
- qwerty;
- 1111;
- 12345;
- qwerty123;
- password;
- 1q2w3e и др.
Защита? Ограничение попыток авторизации.
Шаг №4 - поиск собственных способов взлома
Ничего не помогает? Хакер садится за основы, начинает копать весь исходник движка сайта. И потом уже ищет системные уязвимости. В группе риска те, кто использует CMS (систему управления содержимым или, другими словами, движок для разработки сайта), так как хакер сможет скачать себе движок на ПК и покопаться в нем как следует.
Шаг №5 - смена стратегии
Если вообще ничего не дает результатов, хакер пойдет обходным путем. Некоторые штурмуют хостинг или грузят через аватарку файловый менеджер, чтобы получить доступ к загруженным файлам или к тем, где есть информация для подключения к БД. Также преступник может попытаться подменить серверные скрипты.
Защита? Добавить на сайте 2-3 проверки HTML-форм. Это отстрелит все некорректные файлы в виде вирусного скрипта.
Всем высоких скоростей и удачи!
А еще напоминаем, что наша компания занимается автоматизацией бизнес-процессов на предприятиях, установкой, настройкой и оптимизацией серверов, информационной безопасностью, машинным обучением, моделированием, и многими другими вещами, необходимыми для вашего бизнеса. Если вас интересуют ИТ-услуги - обязательно загляните на наш официальный сайт.
А еще обязательно заходите в наш Телеграм канал, там вас ждет уникальный контент: каждую неделю свежие новости IT сферы.
