De Eduard Bardaji el 6.7.2023
De tipus de ciberatacs n’hi ha molts i, com més avança la tecnologia, més en van apareixent. Tot i això, existeixen algunes tècniques de hacking que són les més comunes i utilitzades pels ciberdelinqüents, ja que per a ells són les més efectives per assolir els seus objectius.
Quan parlem de tècniques de hacking ens referim als mètodes que utilitzen els ciberdelinqüents per vulnerar la seguretat d’un sistema o infraestructura informàtica, habitualment amb l’objectiu de robar informació o dades valuoses, posant l’empresa en una situació compromesa.
Tot i que s’anomenin tècniques de hacking, a ESED ens agrada recordar que els hackers en realitat són els bons de la pel·lícula: professionals tècnics especialitzats en ciberseguretat, l’objectiu dels quals és mantenir la seguretat d’un sistema mitjançant la implementació de solucions de seguretat informàtica. En canvi, les persones que es dediquen a atacar sistemes s’anomenen ciberdelinqüents.
A continuació, fem un repàs de les 15 tècniques de hacking més comunes.
1. Phishing
El phishing és un tipus de ciberatac que habitualment es llança a través del correu electrònic, tot i que n’existeixen altres variants.
Funciona suplentant la identitat d’una persona o empresa amb l’objectiu que el receptor del missatge faci alguna acció, com ara descarregar un fitxer o clicar en un enllaç, per executar el malware que porta ocult. D’aquesta manera, el ciberdelinqüent aconsegueix prendre el control d’un sistema.
2. Keylogger
Es tracta d’una tècnica de hacking capaç d’esbrinar les tecles del teclat que premem al nostre ordinador per obtenir informació confidencial com ara números de telèfon, contrasenyes, números de targeta, etc.
3. Atacs DDoS (Denegació de servei)
Els atacs DDoS o de Denegació de Servei Distribuïda són un tipus d’atac que té com a objectiu inhabilitar un servidor, un servei o una infraestructura. Existeixen diverses formes d’atac DDoS:
-
Per saturació de l’amplada de banda del servidor, deixant-lo inaccessible.
-
Per esgotament dels recursos del sistema de la màquina, impedint que respongui al trànsit legítim.
Aprèn més sobre els atacs DDoS al següent enllaç.
4. Robatori de cookies
A les cookies d’un navegador s’hi emmagatzemen moltes de les nostres dades personals, i els ciberdelinqüents se n’aprofiten per obtenir informació valuosa i personal. Ho fan introduint codi maliciós que pot redirigir-nos a pàgines perilloses o instal·lar, per exemple, extensions falses al navegador.
5. Fake WAP
Es tracta de falsificar un punt d’accés sense fil. Es fa passar pel WAP oficial i, d’aquesta manera, l’atacant pot accedir a les nostres dades.
Aquest tipus de ciberatac és molt freqüent en connectar-se a xarxes Wi‑Fi públiques. Per això, com a especialistes en ciberseguretat, recomanem no connectar-se a aquest tipus de xarxes, ja que poden suposar un risc per a la nostra seguretat.
6. Troians
Un malware troià és un fitxer, programa o fragment de codi que aparenta ser legítim i segur, però que en realitat és malware. Els troians s’empaqueten i es distribueixen dins de programari legítim, d’aquí el seu nom, i sovint estan dissenyats per espiar les víctimes o robar dades. Molts troians també descarreguen malware addicional un cop instal·lats.
El seu nom prové del mite del Cavall de Troia de la Ilíada, ja que utilitza el mateix engany que van emprar els espartans.
Els troians s’utilitzen sobretot en el sector bancari, on són coneguts com a troians bancaris.
7. ClickJacking Attacks
És una tècnica de hacking que consisteix a ocultar una pàgina web legítima i redirigir l’usuari cap a una pàgina maliciosa. Aquest engany passa desapercebut, de manera que l’usuari creu que continua navegant en un entorn segur mentre interactua amb contingut fraudulent. En fer clic o simplement navegar, el sistema pot quedar infectat sense que l’usuari en sigui conscient.
Aquest tipus d’atac és habitual en pàgines de descàrrega de contingut o plataformes de streaming no oficials, on els ciberdelinqüents aprofiten la confiança i la manca de controls de seguretat per distribuir malware.
8. Bait and switch
Els ciberdelinqüents compren espais publicitaris perquè, quan un usuari fa clic en un d’aquests anuncis, s’executi malware al sistema, donant així accés al ciberdelinqüent al sistema informàtic.
9. Atac de força bruta
Aquest tipus d’atac implica l’ús de programes automatitzats per provar diferents combinacions de contrasenyes fins a trobar la correcta. Els ciberdelinqüents utilitzen eines de cracking per desxifrar contrasenyes febles o previsibles.
10. Enginyeria social
L’enginyeria social és una tècnica en què els ciberdelinqüents manipulen psicològicament les persones per obtenir informació confidencial. Aquesta tècnica es va començar a utilitzar a través de trucades i SMS, però avui dia també es troba a les xarxes socials.
11. Atacs de Cross-Site Scripting (XSS)
En aquest tipus de ciberatac, els ciberdelinqüents s’aprofiten de vulnerabilitats en el sistema per inserir scripts maliciosos en pàgines web legítimes. Aquests scripts s’executen al navegador de l’usuari final, permetent als hackers robar informació confidencial, com contrasenyes o dades de sessió.
12. Atacs d’injecció de codi
Els ciberdelinqüents aprofiten vulnerabilitats en aplicacions web o bases de dades per inserir codi maliciós, com SQL o JavaScript, als sistemes informàtics. Això els permet accedir a informació confidencial o executar accions no autoritzades dins del sistema.
13. Malware
El malware és un programari maliciós que s’instal·la en un sistema sense el consentiment de l’usuari. Els ciberdelinqüents utilitzen diferents tipus de malware per obtenir accés a sistemes, robar informació o causar danys.
El més utilitzat és el ransomware. Es tracta d’un tipus de malware amb l’objectiu de robar informació confidencial, xifrar-la i exigir un rescat econòmic per a la seva recuperació. Si l’empresa no accedeix a aquest rescat, el ciberdelinqüent amenaça de fer pública la informació.
14. Atacs d’intercepció
Els ciberdelinqüents poden interceptar la comunicació entre dos sistemes o usuaris per obtenir informació confidencial, com contrasenyes o dades de targetes de crèdit. Això es fa habitualment mitjançant tècniques com el man-in-the-middle, que consisteix a situar-se entre l’emissor i el receptor per interceptar la informació enviada.
15.Detecció de bretxes de seguretat
Les bretxes de seguretat en un sistema o infraestructura informàtica són la principal causa de l’entrada de malware. Els ciberdelinqüents són especialistes en detectar punts febles o vulnerabilitats en els sistemes per llançar ciberatacs i aconseguir els seus objectius.
Per evitar aquestes bretxes de seguretat, és important monitoritzar els sistemes periòdicament, per localitzar-les i solucionar-les a temps. Per això, comptar amb un especialista en ciberseguretat és fonamental.
Per a la detecció automàtica d’aquestes vulnerabilitats, recomanem l’ús de Petam.io, una eina pròpia que hem desenvolupat perquè qualsevol empresa pugui conèixer el nivell de seguretat del seu sistema i trobar una solució efectiva.
Tècniques de hacking ètic by ESED
A ESED, per preservar la seguretat dels sistemes informàtics, també duem a terme tècniques de hacking, però a diferència de les utilitzades pels ciberdelinqüents, es tracta de tècniques de hacking ètic.
El primer pas per protegir qualsevol sistema és conèixer el seu nivell de seguretat i els tipus d’amenaces a què s’enfronta. Per aquest motiu, posem en marxa la nostra solució ESED Attack, que consisteix a llançar atacs controlats i innocus contra un sistema per analitzar com reacciona i si és capaç de detectar-los i frenar-los a temps. D’aquesta manera, coneixem el seu nivell de seguretat i podem implementar solucions de ciberseguretat a mida com ara sistemes antiphishing, antivirus, tallafocs, còpies de seguretat, entre moltes altres.
Hacking ètic aplicat al sector farmacèutic
ESED – Cyber Security & IT Solutions obre nova seu a Miami
.png?width=262&height=150&name=accio-10-negre%20(1).png)
