Cele mai uzuale metode de a sparge site-uri. Învață să te aperi

Te trezești într-o dimineață cu chef de muncă și te pregătești de câteva ore în fața laptop-ului. Deschizi interfața de administrare a site-ului la care lucrezi și introduci numele de utilizator și parola. Accesul nu-ți este permis. După alte câteva încercări, constați că nici site-ul nu mai este accesibil sau că, pe prima pagină a acestuia, a fost schimbat conținutul. Am o veste pentru tine: din păcate, tocmai ți-a fost spart site-ul!

“Spargerea” unui site presupune cel mai frecvent ghicirea parolei de administrator. Există însă metode de a schimba conținutul sau a da jos site-ul fără a altera parolele. Iată cele mai frecvente tehnici, potrivit site-ului Wordfence.com.

Atacul automatizat (“credential stuffing”)

În acest tip de atac, atacatorul are acces la o bază de date cu combinații de nume de utilizator și parole, obținute în urma unui alt atac. Se trimit cereri automatizate (programul lucrează singur, fără ca atacatorul să-l asiste) care conțin aceste combinații, până când este găsită o combinație corectă și contul este spart. Acest proces poate dura câteva minute sau mai multe zile. 

Ca să previi acest tip de atac, nu folosi aceeași parolă la mai multe site-uri! Din când în când, poți verifica dacă parolele ți-au fost compromise, introducând adresele tale de e-mail la https://haveibeenpwned.com/. Dacă vei constata că parolele ți-au fost compromise, schimbă-le imediat!

Cracking

Într-o variantă a metodei anterioare, spargerea se realizează prin atacuri cu dicționar, atacuri prin forță brută sau prin atacuri cu tabele curcubeu.

Metoda dicționarului constă într-o listă de cuvinte ce pot constitui parole. Atacatorul știe deja numele de utilizator și va compara acest nume cu fiecare cuvânt din listă. Când o combinație este validată, cracker-ul va avea acces la contul tău. Aceste dicționare se găsesc de cumpărat pe Dark Web (o parte din Internet invizibilă pe Web-ul tradițional, accesibilă numai prin tehnici complexe).

Metoda forței brute constă în a combina litere, cifre și caractere speciale pentru a ghici parola. Spre deosebire de metoda dicționarului, aici cuvintele nu sunt deja formate, ci se formează prin milioane de combinații. Aflarea parolei poate dura chiar și săptămâni întregi și depinde mai ales de tehnologia folosită de atacator. 

Metoda atacului prin tabele curcubeu presupune folosirea unor tabele de funcții care transformă o valoare în alta. Funcțiile se bazează pe parole comune, cuvinte din dicționar și parole pre-construite. De cele mai multe ori, parolele găsite sunt tot sub forma unor funcții, deci atacatorul va trebui să folosească din nou atacul prin tabele curcubeu pentru a găsi parolele de tip text, adică formate din caractere inteligibile. 

Uitatul peste umăr

Este o metodă ce nu presupune folosirea tehnologiei, ci înseamnă pur și simplu că atacatorul se uită peste umărul utilizatorului și încearcă să observe parolele introduse de acesta. Această metodă e folosită în locuri publice, precum la birou, la cafenea, în mijloacele de transport în comun etc. De aceea, este important să acoperi căsuța unde introduci parola sau să te abții de la introducerea de date personale pe laptop sau pe telefonul mobil, atunci când este lume în jur.

Ingineria socială

Acest tip de atac are ca țintă omul, persoana. Este o metodă folosită în general pentru a afla date personale, nu numai parole. Metoda a fost folosită și perfecționată de Kevin Mittnick, unul dintre cei mai cunoscuți hackeri din istorie. 

Este vorba despre a aplica unele metode psihologice asupra persoanei, având în vedere că oamenii sunt dispuși să le ofere informații sensibile celor care oferă la rândul lor informații despre ei. De exemplu, atacatorul intră în clădirea de birouri a unei companii, merge la serviciul de IT și încearcă să afle parola de acces a unui angajat al cărui nume îl cunoaște. Aceeași metodă poate fi folosită la telefon.

Ingineria socială poate fi aplicată și prin social media sau prin e-mail. Pentru a te proteja, nu oferi date personale oamnenilor pe care nu-i cunoști, chiar dacă pare că au intenții benigne. Informează-te despre politica firmei privind securitatea datelor sau întreabă o altă persoană dacă acea metodă de a cere date personale este una validă.

Phishing

După cum sugerează denumirea, este vorba despre a “pescui” date personale direct de la deținătorul lor. Metoda este considerată o subcategorie a ingineriei sociale. Este un atac foarte răspândit în domeniul bancar. Poate că și tu ai primit cel puțin o dată un e-mail care se presupunea că vine de la o bancă, prin care ți se cerea să-ți actualizezi datele personale. În corpul e-mail-ului exista un link care ducea la un site construit în așa fel încât să pară că era al băncii.

Este foarte ușor să depistezi un astfel de atac. De obicei, textele din e-mailuri au greșeli de limbă și abateri de la ortografie, expeditorul nu are o adresă de tipul @bancamea.ro, site-ul spre care ești îndreptat nu este de forma bancamea.ro, iar în bara de adresă a site-ului nu apare un lacăt închis pe un fundal verde.

Citește și despre alte tipuri de atacuri la Wordfence.

Foto: Anonymous Account (Visualhunt / CC BY)