Blog

Top 10 cele mai frecvente atacuri web

Top 10 cele mai frecvente atacuri web



Securitatea IT a fost întotdeauna un joc cu pisica și șoarecele. Iar partea defensivă se joacă mereu de recuperare cu partea ofensivă. Asta pentru că, pe măsură ce apărările noastre devin mai robuste împotriva unor atacuri specifice, atacatorii găsesc modalități de a ocoli noile apărări și chiar de a crea noi tipuri de atacuri. Deci este un pic ca un joc fără sfârșit de Whack-A-Mole.

În această postare, aruncăm o privire asupra celor mai frecvente 10 atacuri online și oferim sfaturi despre apărarea împotriva lor.



Care sunt cele mai frecvente atacuri online?

Mai jos este o listă cu 10 dintre cele mai frecvente atacuri online cu care ați putea să vă confruntați. Vom intra în fiecare dintre ele mai în detaliu, plus cum să evitați să deveniți o victimă.

Iată cele mai frecvente atacuri online:



  1. Atacurile de tip Denial of Service (DoS) și denial of service distribuit (DDoS).
  2. Atacuri de tip om-in-the-middle/man-in-the-browser
  3. Atacurile de descărcare drive-by
  4. Atacurile de phishing și spear-phishing
  5. Atacurile bazate pe parole
  6. Atacurile de injectare SQL
  7. Atacurile cu scripturi încrucișate
  8. troieni
  9. Viruși macro
  10. Ransomware

1. Atacuri de tip Denial of Service (DoS) și denial of service distribuit (DDoS).

O refuz de serviciu ( Două ) atacul este un atac în care cererile inundă un server până la punctul în care acesta nu mai poate face față încărcării și se blochează. O refuz distribuit de serviciu ( DDoS ) atacul este în esență același atac, cu excepția faptului că este lansat dintr-o rețea botnet: alte câteva mașini gazdă care au fost, de asemenea, compromise și sunt sub controlul atacatorului.

Spre deosebire de majoritatea atacurilor online, care sunt concepute pentru a permite atacatorului să acceseze resursele sistemului, atacurile de refuzare a serviciului în sine nu permit atacatorilor accesul la nicio resurse. Cu toate acestea, odată ce serverul a fost scos offline, acesta poate fi vulnerabil la alte tipuri de atacuri care beneficiază direct atacatorul, cum ar fi deturnarea sesiunii.

Cel mai frecvent atac de tip denial of service este un atac de inundație TCP SYN. În acest atac, atacatorul inundă serverul cu solicitări de inițializare a sesiunii TCP, dar nu răspunde niciodată când serverul răspunde la acele solicitări. După un timp, serverul expiră în așteptarea unui răspuns și nu mai răspunde sau se blochează.

Atenuări

  • Asigurați-vă că serverul este în spatele unui firewall și configurat pentru a bloca tot traficul care nu este necesar pentru funcționalitatea serverului.
  • Măriți cât mai mult posibil dimensiunea cozii de conexiune a serverului dvs.
  • Reduceți timpul de expirare configurat al serverului dvs. pentru conexiunile deschise.
  • Serviciile de atenuare a DDoS (proxy-uri inverse), cum ar fi Cloudflare, ar putea merita analizate.

2. Man-in-the-middle / man-in-the-browser

Dacă o terță parte reușește să se introducă între dispozitivul dvs. și site-ul web/aplicația la care sunteți conectat, tocmai ați căzut victima unui atac „om la mijloc”. Există, de fapt, două tipuri de atacuri de tip om-in-the-middle: atacuri adecvate de tip man-in-the-middle, care sunt la nivelul întregului sistem și atacuri „man-in-the-browser”. , care sunt limitate la traficul browserului dvs. web. Ambele versiuni ale atacului funcționează în același mod; singura diferență este intervalul lor (browser vs. sistem complet).

În ambele versiuni ale atacului, omul din mijloc are capacitatea de a observa și de a modifica traficul pe măsură ce trece între browser/sistemul dvs. și serverele web la care vă conectați. Ei pot face acest lucru deoarece omul din mijloc acționează în esență ca un server proxy între dispozitivul dvs. și serverul web. Deoarece se află în „mijlocul” acelei conexiuni, omul din mijloc poate intercepta și modifica conținutul a ceea ce este transmis și primit.

Deoarece atacatorul într-un atac de tip man-in-the-middle poate manipula traficul care vine și pleacă din browserul dvs., el poate modifica mesajele pe care le primiți, vă poate redirecționa traficul, poate manipula DNS răspunsuri etc. Dacă cădeți victima unui atac de tip om-in-the-middle, pur și simplu nu aveți încredere în ceea ce este afișat în browser.

În timp ce utilizarea de TLS/HTTPS poate ajuta la atenuarea acestui atac, nu este sigur. Atacatorii au de obicei greu să falsifice certificatele utilizate de server pentru a se autentifica în browser. Dar mulți utilizatori de internet au fost condiționați să ignore avertismentele browserului și să facă clic pe ele când apar. Deci, atacatorii vor folosi frecvent un certificat invalid/autosemnat și, în multe cazuri – dacă nu majoritatea – utilizatorii vor ignora avertismentul browserului lor, iar atacul va reuși în continuare.

Atenuări

  • Nu pot afirma suficient această măsură de atenuare: nu ignora avertismentele browserului tău - pur și simplu nu. Dacă browserul dvs. afișează un avertisment că este posibil să accesați un site rău intenționat sau că există o nepotrivire a certificatelor TLS/HTTPS, nu o ignorați. Acordați o atenție deosebită și urmați sfaturile browserului dvs. (cu excepția cazului în care știți cu siguranță că este un fals pozitiv). Și chiar și atunci, dacă aveți motive să vă îndoiți, încercați o altă mașină sau o altă conexiune la internet.
  • Nu utilizați WiFi public fără un VPN. Hotspot-urile nesecurizate sunt o mină de aur pentru actorii rău intenționați. Criptarea unui VPN va face ca atacurile „om-in-the-middle” să fie mult mai greu, dacă nu imposibil, de realizat.
  • Administratorii site-urilor ar trebui să se asigure că site-urile lor utilizează TLS/HTTPS.

3. Atacurile de descărcare drive-by

A descărcare drive-by este o descărcare care are loc fără să știe când un utilizator vizitează un site web. Descărcarea drive-by poate avea loc pe măsură ce utilizatorul descarcă altceva, dar acest lucru nu este necesar. Majoritatea acestor descărcări au loc fără nicio intervenție din partea utilizatorului. Atacurile de descărcare drive-by sunt una dintre cele mai comune moduri în care se răspândește malware-ul.

Actorii rău intenționați scanează de obicei site-uri web nesigure pentru a introduce scripturi rău intenționate în codul lor HTTP sau PHP. Aceste scripturi ar putea instala direct malware pe computerul vizitatorului nebănuit sau redirecționează vizitatorul către un alt site controlat de hackeri. După cum sa menționat mai sus, descărcările drive-by de obicei nu necesită nicio intervenție a utilizatorului pentru a elimina atacul. Acestea pot apărea atunci când un utilizator vizitează un site web, deschide un e-mail sau dă clic pe o fereastră pop-up.

Atenuări

  • Descărcările drive-by vor încerca de obicei să exploateze vulnerabilitățile de securitate găsite în browsere web, aplicații și sisteme de operare. Prin urmare, este esențial să păstrați acestea actualizate, astfel încât dispozitivul dvs. să aibă toate cele mai recente corecții de securitate.
  • Limitați numărul de aplicații instalate pe dispozitivul dvs. la ceea ce este de fapt necesar. Asta vă reduce suprafața de atac.
  • Limitați numărul de pluginuri de browser web pe care le utilizați. Pluginurile de browser sunt un vector comun pentru vulnerabilitățile care permit atacurile de descărcare directă.

4. Atacurile de phishing și spear-phishing

phishing atacurile sunt o formă de inginerie socială care încearcă să păcălească un utilizator nebănuitor pentru a oferi informații sensibile (numere de card de credit, parole etc.). Atacatorii vor trimite victimelor lor un e-mail sau un mesaj text cu aspect legitim (sau un apel telefonic, de altfel) care pare să provină de la o sursă de încredere (banca dvs., un furnizor de servicii cu care aveți o relație, un prieten sau o familie). membru). Acesta ar putea fi un e-mail cu un atașament care descarcă programe malware pe computer atunci când se dă clic. Sau ar putea fi un link către un site web cu aspect legitim aflat sub controlul atacatorului, care încearcă să vă păcălească să descărcați programe malware sau să vă predea informațiile personale.

Pescuit cu sulita este un tip de atac de tip phishing care urmează aceleași linii ca mai sus, cu excepția faptului că este vizat unui anumit utilizator. Într-un atac de tip spear-phishing, atacatorii își cercetează ținta și creează mesaje care sunt personale și relevante pentru acea țintă. Așadar, modul de operare al ambelor atacuri este în esență același (e-mailuri false, mesaje text, site-uri web), dar acesta din urmă este reglat mai fin la o țintă specifică. Din acest motiv, spear phishing poate fi mai dificil de identificat și de apărat.

Atenuări

  • Cumpărați numai bine recenzate și autentice antivirus software de la furnizori legitimi și configurați-l pentru a rula scanări frecvente la intervale regulate.
  • Nu faceți niciodată clic pe ferestre pop-up . Doar. nu. Do. Acea. Nu știi niciodată unde te vor duce.
  • Dacă browserul dvs. afișează un avertisment despre un site web pe care încercați să îl accesați, fiţi atenți și obțineți informațiile de care aveți nevoie în altă parte.
  • Nu deschideți atașamente în e-mailuri cu excepția cazului în care poți confirma cine a trimis e-mailul și știi care este atașamentul.
  • Nu faceți clic pe linkuri (URL-uri) din e-mailuri cu excepția cazului în care știi exact cine a trimis URL-ul și unde este link-ul. Dar cu adresele URL, puteți duce lucrurile puțin mai departe, inspectând cu atenție linkul. Este o legătură HTTP sau HTTPS? Majoritatea covârșitoare a site-urilor legitime utilizează HTTPS . Link-ul conține greșeli de ortografie (faceboook în loc de facebook)? Dacă puteți ajunge la destinație fără a utiliza linkul (prin marcaje sau un motor de căutare, de exemplu), faceți asta.
  • Nu răspundeți la e-mailuri sau mesaje text care vă solicită informații personale . Acesta este un semn clasic de înșelătorie de tip phishing. Organizațiile legitime nu vă vor cere niciodată informații personale prin e-mail sau mesaj text atunci când vă vor contacta.
  • Limitați cantitatea de informații personale pe care le postați pe internet. Riscul ca tu să fii victimă unui atac de tip spear-phishing este proporțional cu cantitatea de informații personale disponibile public despre tine. Cu cât atacatorii pot obține mai multe informații despre tine, cu atât mai convingătoare poate fi trucul lor de phishing. Internetul este un loc ostil. Înainte de a posta ceva revelator, întreabă-te dacă este cu adevărat necesar sau nu.

5. Atacurile bazate pe parole

Cel mai bun mod de a intra într-o casă este prin ușa din față. Acest lucru este valabil și pentru conturile dvs. online. Dacă un actor rău intenționat poate pune mâna pe acreditările dvs., acesta vă poate accesa informațiile, vă poate modifica contul, vă poate schimba parola și vă poate bloca accesul la propriul cont.

Există multe atacuri diferite bazate pe parole. Unele sunt sofisticate, în timp ce altele sunt destul de simpliste. Dar toți împărtășesc faptul că parolele tale sunt scurse.

Atacurile notabile bazate pe parole includ:

  • Forta bruta /Dicționar atacuri – Un atacator folosește software specializat pentru a încerca să „ghicească” parola victimei. Software-ul este capabil să încerce mii de parole pe minut.
  • Atacurile de umplere a acreditărilor – Actorii rău intenționați folosesc liste de acreditări compromise pentru a încerca să se conecteze la o gamă largă de conturi online.
  • Atacurile de dumping de acreditări – Actori rău-intenționați intră în dispozitivul dvs. și vă fură acreditările, de obicei din memoria cu acces aleatoriu (RAM) a dispozitivului.
  • Treceți atacurile hash (PtH). – Actorii rău intenționați fură o autentificare de utilizator hashing – nu parola reală în sine – și folosesc hash-ul pentru a păcăli mecanismul de autentificare să creeze o nouă sesiune autentificată în cadrul aceleiași rețele. Scopul lor este să folosească setul inițial de acreditări pentru a se deplasa lateral între dispozitive și conturi, în speranța de a-și escalada permisiunile utilizatorilor pentru a accesa sistemele critice, cum ar fi contul de administrator de rețea.
  • Atacurile mascate – Un atacator se preface ca un utilizator legitim pentru a accesa un dispozitiv. Acest lucru se poate întâmpla prin acreditări furate (de obicei printr-o schemă de phishing), exploatarea erorilor software sau ocolirea procesului de autorizare în sine.

Atenuări

  • Ar trebui să limitați permisiunile utilizatorilor cât mai mult posibil. Implementarea principiului celor mai mici privilegii este foarte recomandată, oferind fiecărui utilizator din organizația dvs. cea mai mică cantitate de permisiuni necesare pentru a-și face treaba și nimic mai mult. Acest lucru va limita daunele dacă oricare dintre conturile dvs. de utilizator este compromisă de un atac cu parolă.
  • Implementați semnarea codului digital. Semnarea digitală împiedică executarea software-ului neautorizat, cu excepția cazului în care este semnat de o entitate de încredere. La fel ca permisiunile limitate, acest lucru poate limita ceea ce poate face un atacator dacă pune mâna pe acreditările dvs.
  • Înființat autentificare cu doi factori (2FA) pentru toate conturile care îl suportă. 2FA face mai dificil pentru un atacator să abuzeze de acreditările dvs. și poate părea a fi mai multe probleme decât merită pentru mulți dintre ei.
  • Aplicați cerințe puternice pentru parole în organizația dvs. Deși acesta poate părea evident, ați fi surprins de numărul de organizații care permit utilizatorilor lor să creeze parole slabe. Parolele puternice sunt prima ta linie de apărare. Utilizatorilor nu ar trebui să li se permită să folosească parole slabe. Asigurați-vă că sunt cât mai puternici în organizația dvs.

6. Atacurile de injectare SQL

injecție SQL este unul dintre cele mai răspândite și de succes atacuri online din ultimul deceniu. Într-un atac cu injecție SQL, actorii rău intenționați împing comenzi SQL către un server web pentru a accesa, modifica sau fura datele stocate pe server - sarcina utilă clasică.

Atacatorii pot compromite formularele web, cookie-urile sau postările HTTP ale unui server și îi pot „păcăli” pentru a-și injecta codul rău intenționat în browserul victimei. Și browserul va executa automat codul, deoarece îl consideră ca provenind dintr-o sursă de încredere. Odată ce atacatorii pot accesa browserul utilizatorului, aceștia își vor face treaba de a colecta informațiile lor sensibile.

Atenuări

  • Nu aveți încredere niciodată în intrarea utilizatorului. Asigurați-vă întotdeauna că serverul dvs. web igienizează și filtrează intrarea utilizatorului.
  • Limitați funcțiile care pot fi executate prin comenzi SQL.
  • Implementați firewall-uri pentru aplicații web pentru a vă proteja organizația de atacurile prin injecție SQL.
  • Activați antetul Politicii de securitate a conținutului (CSP), care va oferi serverului dvs. un nivel suplimentar de securitate prin codificarea tare a resurselor care pot fi încărcate pe o anumită pagină web.
  • Activați semnalizatorul HTTPOnly pentru a reduce șansele ca scripturile de pe partea clientului să poată accesa module cookie protejate.
  • Codați rezultatul răspunsurilor HTTP ale serverului dvs. pentru a vă asigura că browserele web nu le interpretează ca fiind conținut activ și executând codul pe care îl conține.

7. Scripturi între site-uri

Scripturi între site-uri Atacurile (XSS) manipulează un server web pentru a furniza scripturi rău intenționate la nivelul clientului către browserul victimei, care îl va executa fără nicio intervenție a utilizatorului. Odată executat, scriptul rău intenționat va exfiltra de obicei informații sensibile de pe server, va descărca și instala programe malware sau va redirecționa browserul victimei către un site web rău intenționat controlat de atacator.

Așa cum este cazul atacurilor cu injecție SQL, scripturile între site-uri depind de eșecul unui server web de a igieniza corect intrarea utilizatorului. Din cauza acestui eșec, codul rău intenționat poate fi împins către server, care îl va servi fără să vrea utilizatorilor săi legitimi. Această vulnerabilitate poate, de asemenea, activa Atacurile CSRF , deturnarea acțiunii de formă , deturnarea sesiunii , și Atacurile SSRF .

Atenuări

  • Din nou, nu aveți încredere în nicio intrare a utilizatorului și dezinfectați-l întotdeauna. Aceasta este cea mai importantă măsură de atenuare.
  • Și ca și în cazul măsurilor de atenuare a injecției SQL de mai sus, activați antetul Politicii de securitate a conținutului (CSP), marcatorul HTTPOnly și codificați rezultatul răspunsurilor HTTP ale serverului dvs., astfel încât browserele web să nu execute codul încorporat.

Programe malware

Următoarele trei atacuri web sunt forme de malware (troieni, viruși macro și ransomware) și sunt pe cât de serioși, pe atât de obișnuiți – prin urmare se află în Top 10. Cu toate acestea, atenuările lor sunt în esență aceleași, așa că pentru comoditate, le-am enumerat după punctul 10 ca se aplică tuturor celor trei. Veți observa, de asemenea, unele suprapuneri cu atenuările de phishing/spear-phishing, dar aceasta este natura fiarei. Putem tolera un pic de redundanță în numele clarității.

8. Troieni

A troian nu este un virus, deși face parte din familia „malware”. Spre deosebire de un virus informatic, un cal troian nu se reproduce prin infectarea altor fișiere sau computere. Un troian este o momeală care poate sfârși prin a descărca viruși pe mașina dvs., dar nu este în sine un virus. Un troian este practic o mică bucată de software rău intenționat ascuns în interiorul unui program util. Odată instalat, un troian poate:

  • Stabilește o ușa din spate pe care atacatorii le pot exploata.
  • Furați informațiile dvs. sensibile și transmiteți-le unui server rău intenționat.
  • Descărcați mai multe programe malware și viruși.
  • Preluați controlul asupra dispozitivului dvs
  • Și altele

9. Viruși macro

Viruși macro infectează aplicații precum Microsoft Word sau Excel. Se numesc macrovirusuri deoarece sunt scrise în limbajul macro folosit de aplicațiile pe care le infectează. Un limbaj macro este un limbaj simplu de programare care permite utilizatorilor să scrie și să execute sarcini automate în secvență. Acea „comandă rapidă” se numește macrocomandă. Dacă macrocomenzile sunt activate în aplicație, macrocomenzile legitime și virușii macro vor rula în timpul secvenței de inițializare a unei aplicații. Din fericire, Microsoft le-a dezactivat acum în mod implicit, dar mulți utilizatori le permit să lucreze mai productiv. Prin urmare, în ciuda atenuării de către Microsoft, macrovirusurile rămân un vector grav de infecție.

Odată infectați, macrovirusurile pot face orice acceptă limbajul macro în care este scris. Asta inseamna:

  • Crearea de noi fișiere
  • Text în mișcare
  • Transmiterea fișierelor
  • Inserarea de imagini sau videoclipuri în documente
  • Șabloane de documente corupte, astfel încât toate documentele noi create din acel șablon să fie infectate
  • Virușii macro-urilor ar putea chiar să vă formateze hard diskul

10. Ransomware

Ransomware este un tip de malware care criptează datele victimei. Atacatorul cere apoi o răscumpărare de la victimă în schimbul cheii de decriptare.

Există și alte forme de ransomware care nu criptează neapărat datele victimei. Dar ei îl fac inaccesibil pentru utilizator și cer să fie plătită o răscumpărare pentru a recupera accesul, sub amenințarea publicării sau distrugerii datelor. În ambele cazuri, este un atac grav care poate distruge reputația și mijloacele de trai ale oamenilor.

Atenuări

  • Utilizați un firewall – Fiecare sistem de operare major oferă un firewall de intrare încorporat, iar toate routerele comerciale disponibile au un Firewall NAT . Asigurați-vă că le activați.
  • Utilizați un program antivirus – Și cumpărați numai software antivirus autentic și bine revizuit de la furnizori legitimi. Odată instalat, configurați-l pentru a rula scanări frecvente la intervale regulate.
  • Păstrați sistemul de operare și aplicațiile actualizate – Cele mai recente actualizări ale sistemului de operare și ale aplicațiilor conțin cele mai recente corecții de securitate. Asigurați-vă că instalați actualizările/patch-urile de îndată ce acestea devin disponibile.
  • Nu faceți niciodată clic pe ferestrele pop-up – Niciodată.
  • Nu ignora browserul dacă afișează un avertisment despre site-ul web pe care încercați să îl accesați. Fiți atenți și găsiți informațiile de care aveți nevoie în altă parte.
  • Nu descărcați niciodată software piratat – Tuturor ne plac lucrurile gratuite. Dar cei care încarcă software piratat caută de obicei să câștige bani, fie prin compromiterea sistemului, fie prin vânzarea informațiilor tale altor actori rău intenționați.
  • Nu deschide atașamentele de e-mail cu excepția cazului în care poți să identifici și să ai încredere în expeditor. Virușii vin prin poștă și ar trebui să scanați întotdeauna mesajele primite cu un program antivirus.
  • Faceți copii de rezervă regulate ale dispozitivelor dvs – Backup-urile regulate vă vor permite să vă recuperați fișierele dacă dispozitivul este vreodată infectat.
  • Nu faceți clic pe linkuri (URL-uri) din e-mailuri cu excepția cazului în care știi exact cine l-a trimis și unde se leagă. De asemenea, ar trebui să examinați cu atenție linkul. Este o legătură HTTP sau HTTPS? Cele mai multe site-uri legitime folosesc HTTPS astăzi. Linkul conține erori de ortografie (gooogle în loc de google)? Dacă puteți ajunge la destinație fără a utiliza linkul (adică printr-un marcaj sau folosind un motor de căutare), ar trebui să faceți asta.

Învelire

Deci, acestea sunt primele 10 atacuri web. Și indiferent de locul lor pe listă, vrei să te ferești de toți. În timp ce aceste postări de tip „Top 10” oferă doar o vedere de pasăre pentru fiecare tip de atac, consider că sunt valoroase în măsura în care le permit utilizatorilor de internet mai puțin cunoscători de tehnologie să știe la ce să se uite. Sperăm că sfaturile oferite ca măsuri de atenuare îi vor ajuta atât pe tehnicieni, cât și pe cei care nu sunt tehnicieni, să aibă o experiență online mai sigură.

Ca întotdeauna, fii în siguranță.

^