U ovom članku ćemo govoriti o različitim vrstama sajber napada. Međutim, prvo pogledajte ovaj vodič za sajber napade ako želite da saznate više o njima, uključujući kako funkcionišu i šta vam je potrebno kako biste unapredili vašu sajber bezbednost.
U ovom trenutku, najčešće vrste sajber napada su:
- Malware
- Ransomware
- Spyware
- Phishing
- Backdoor Trojan
- Denial-of-service (DoS)
- DNS tunneling
- Cross-site scripting (XSS) attack
- Cryptojacking
Malware
Malware je skraćenica za zlonamerni softver (malicious software) – dokumenta ili kodove dizajnirane kako bi ometali normalno funkcionisanje kompjutera. Služi kao krovna fraza za trojane, viruse i druge štetne programe koje hakeri koriste kako bi pristupili podacima žrtve sajber napada.
Malware napadi se većinom izvode na mreži i mogu da pristupe podacima i koriste podatke žrtve napada, zaključaju osnovne fajlove, spamuju korisnika oglasima ili „provale“ lozinku. I ne samo to. Pošto malware postoji u različitim oblicima, hakeri koriste različite načine da zaraze kompjuter, uključujući:
- Email attachments: Kada „naivni“ primalac elektronske pošte otvori dokument u prilogu (attachment) koji sadrži malware, virus zarazi uređaj a žrtva napada to ni ne primeti. Što je još gore, ako žrtva sajber napada prosledi taj email nekom drugom (što se često događa u okviru kompanije), cela organizacija može postati žrtva sajber napada za tren oka.
- File-sharing network: Kada koristite mrežu za deljenje fajlova (file-sharing network), vaš PC je ugrožen, pošto služi kao server za sve druge uređaje i obrnuto. To u stvari znači da nemate kontrolu nad informacijama koje se komuniciraju u okviru mreže za deljenje fajlova koju koristite. Može se pristupiti svakom uređaju u okviru mreže, što znači da hakeri mogu da šire malware koji se nalazi u fajlu koji deluje sasvim normalno.
- Slabosti za koje su odgovorni korisnici (user vulnerabilities): Slabe mrežne lozinke, stare verzije softvera i nedostatak pažnje kada je u pitanju prisustvo u online prostoru su slabosti koje hakeri mogu iskoristiti. Na primer, hakeri mogu da iskoriste nečiju slabu lozinku za bežični internet i ukradu podatke bez postavljanja zamke i vremena koje treba da prođe kako bi žrtva napada „zagrizla mamac“.
Ali šta hakeri dobijaju time što vaš uređaj zaraze malicioznim softverom?
Verovali ili ne, sajber kriminalci organizuju sajber napade kako bi ostvarili sledeće:
- Pristup kompjuterima žrtava napada bez odobrenja
- Pristup lokalnim mrežama žrtava
- Sposobnost „zasipanja“ uređaja spam porukama
- Pristup osetljivim i vrednim podacima koji mogu ostvariti dobru cenu na crnom tržištu
- Moć i zadovoljstvo koje ljudi osećaju kad nanesu štetu drugom
Ransomware
Ransomware je tip malvera ali zašto zaslužuje posebno poglavlje?
Kao što mu samo ime kaže, ransomware je vrsta malvera koji zaključa vaš kompjuter i onda od vas traži da platite određenu sumu novca u zamenu za pristup uređaju. Uređaj koji je zaražen rensomverom zabraniće vam pristup dok ne platite traženu sumu novca. Nažalost, hiljade ljudi upadnu u istu zamku.
Ova vrsta napada izaziva strah zato što haker ima potpunu kontrolu nad uređajem koji pripada žrtvi. I ne samo to. Haker utiče i na psihičko stanje žrtve. Sajber uljez može tražiti novac. Kada žrtva ispuni ono što se od nje traži, kriminalac koji je organizovao ovu operaciju uvek možete tražiti još novca i odlučiti da ne ispuni obećano pa se žrtva povrh svega oseća i bespomoćno. Kada vas neko drži u šaci to je forma psihičke torture i hakeri to znaju, pa je zbog toga ovaj tip malvera jedna od najpopularnijih vrsta napada.
Baš kao što malware ima podtipove, ima ih i ransomware. Iako ransomware ima dosta varijanti, u nastavku ćemo navesti najpopularnije:
- Locker ransomware: Lokeri (lockers) su varijante ransomware-a koji vam u potpunosti onemogućavaju pristup uređaju, i utiču na sve od osnovnih funkcija do aplikacija i fajlova. Kada locker zarazi kompjuter, zaključani ekran će verovatno prikazati zahtev za otkup i tražiti od žrtve da obezbedi novac.
- Crypto ransomware: Programi koji prave šifre (encryptors) su zaista nezgodni pošto ovi sajber napadi iz familije ransomware virusa nanose najviše štete. Crypto ransomware šifrira individualne fajlove kojima se više ne može pristupiti bez ključa za dešifrovanje.
- Scareware: Ransomware koje se lažno predstavlja kao softver koji tvrdi da je detektovao probleme na vašem kompjuteru zove se scareware. Scareware će najčešće ponuditi rešenje za vaš problem (na primer, dugme na koje treba da kliknete kako biste se otarasili virusa). Ipak, kada pritisnete dugme, raširiće se kao virus, zaključaće kompjuter i bombardovati žrtvu spam porukama.
- Doxware: Ovaj ransomware preti da će obelodaniti privatne i osetljive informacije online. Meta ovih napada su u prvom redu kompanije i uticajni ili poznati ljudi za koje se veruje da su spremni da plate da sakriju određene informacije. Doware ima dosta varijanti ali ako naletite na neku, preporučujemo vam da ne platite otkup. Umesto toga, bekapujte vaše podatke, ljudi! Brisanje sistema i instalacija pomoću bekap podataka može eliminisati rensomver.
Spyware
Ovde imamo još jedan maliciozni softver koji zarazi uređaj da dođe do informacija o aktivnostima žrtve na kompjuteru. Kao i bilo koji drugi malver, napravljen je s ciljem da se dobije neovlašten pristup podacima i ostvari profit.
Spyware može doći do raznih podataka. Može pratiti i doći do podataka koje imate na hard drajvu, doći do lozinki i pratiti lokaciju. Štaviše, može dozvoliti sajber kriminalcima da na daljinu kontrolišu funkcije uređaja korisnika tako što će uključiti kameru/mikrofon i praviti fotografile, audio ili čak i video snimke.
Imajući to u vidu, najpopularnije varijante spyware-a su:
- Keyloggers: Praćenjem svakog unosa sa tastature (keyloggers), ova tehnika nadzora omogućava pristup lozinkama, email adresama, finansijskim informacijama, logovanjima na društvenim mrežama itd. Sve u svemu, ova tehnika omogućava praćenje i krađu svake informacije koja se vezuje za vreme provedeno u pretrazi, uključujući istoriju pretrage žrtve, podatke o bankovnim računima, PIN brojeve i druge podatke koji su rezultat navika u pretrazi koje ima korisnik.
- Sound recording i video spyware: Kada se zaraze zvukom ili video snimkom, hakeri koriste uređaje kao ulazna vrata. Oni mogu da vas prisluškuju, snimaju razgovore, instaliraju uređaj koji će iz daleka praviti snimke i narušiti privatnost žrtve ovog napada.
- Password stealers: Slično kao kod praćenja unosa sa tastature, tehnika krađe lozinki (password stealers) podrazumeva detektovanje i krađu lozinki korisnika. Jedina razlika je u tome što se kod unosa sa tastature prati svako korišćenje tastature dok se kod ove tehnike prate samo lozinke.
- Cookie trackers: U poređenju sa drugim tipovima spyware-a, praćenje kolačiča (cookie trackers) je relativno bezopasno. Jednom kada uđe u vaš sistem, ovaj spyware će skupljati informacije o vašim pretragama i podeliti ih sa oglašivačima.
Drugi važan detalj je to što je spyware često prerušen u softver koji običan korisnik kompjutera ili mobilnog telefona može instalirati na svom uređaju. Pa tako, ako je korisnik postao žrtva spyware napada, najverovatnije je sam instalirao virus.
Ako pretpostavimo da se sad pitate kako da izbegnemo spyware dok pretražujete web, preporučujemo vam da obratite pažnju na sumnjive iskačuće prozore (pop-ups) i dokumente koje dobijate u prilozima u elektronskoj pošti (email attachments) od nepoznatih pošiljalaca, i izbegnete daunlodovanje fajlova od nepoznatih izvora sa weba. To su najčešći načini na koji možete zaraziti spyware-om pa ako obratite dodatnu pažnju dok pretražujete, možeti minimizirati rizike inficiranja spyware-om.
Phishing
Da li ste ikada otvorili elektronsku poštu gde vam kažu da imate samo nekoliko minuta da ažurirate vaše informacije ako ne želite da se vaši računi blokiraju a kreditne kartice ponište?
Ako jeste, u pitanju je bio phishing, vrsta socijalnog inženjeringa gde sajber kriminalac šalje sumnjiv ali urgentan poziv na akciju ili neku drugu lažnu poruku koja ima za cilj da prevari žrtvu kako bi otkrila osetljive informacije počiniocu.
Baš kao i prethodni primeri sajber kriminala, i ovi sajber napadi imaju za cilj da ukradu vaše podatke, obično lozinke ili informacije sa kreditnih kartica. Ali od njih se lako odbraniti. Naročito ako sledite nekoliko pravila:
U pitanju je phishing ako:
- Ponuda je „preterano“ privlačna: Sajber napadači pokušavaju da namame korisnike lukrativnim ponudama koje su obeležene kao kratkotrajne.
- Nešto je čudno: Bez obzira na to da li poruka dolazi od nekog koga znate ili ne, ako vam se nešto čini čudnim, neobičnim, ili jednostavno sumnjivim, možda je u pitanju phishing.
- Hiperlinkovi nisu napisani kako treba: Lažno predstavljanje u ime banke često je kod phishing-a. To se dešava kada prevarant pokušava da se predstavi žrtvi napada kao neko iz banke kako bi došao do informacija o finansijama. Ako poruka deluje sumnjivo, preporučuje se da pogledate da li su neki hiperlinkovi ili email adrese pogrešno napisani, pošto su to prvi i najbolji indikatori phishing-a.
- Prilozi (attachments) nemaju smisla: Otvaranje dokumenta u prilogu elektronske pošte koji niste očekivali ili koji nema nikakve veze sa ostatkom mejla može popločati put za ransomware i inficirati vaš uređaj. Umesto toga, izbrišite poruku, a ako je zaista došla od pouzdanog izvora, oni će verovatno poslati mejl da provere da li ste primili prethodni, ili će vam ga poslati ponovo ako zatražite.
Backdoor Trojan
Kada sajber kriminalac pronađe metu koja koristi skenere u potrazi za sistemima, mrežama i website-ovima koji imaju zastarele ili komponente koje nisu popravljene i slabosti koji dozvoljavaju inficiranje fajlova, oni će najverovatnije instalirati program backdoor Trojan u sistem. Backdoor Trojan je maliciozni program koji može da kompromituje ceo kompjuter a napadačima daje priliku za napad.
Kada stupi na snagu, backdoor Trojan može preuzeti server, oštetiti web stranicu time što će promeniti njen vizuelni izgled (website defacement) pomoću malicioznog programa PHP backdoor injection, pokrenuti DDoS ili ATP napade, ažurirati malver i/ili ukrasti podatke žrtve.
E, sad, većina malvera se ponaša kao biološki virus, duplira se i integriše u druge kompjuterske programe. Backdoor Trojan je malo drugačiji.
Nije u pitanju virus. Najčešće je maliciozni program koji običan korisnik možda ne bi ni primetio. Međutim, baš kao malver, mora da zaobiđe mere bezbednosti pre nego utvrdi poziciju i nanese ozbiljnu štetu iz senke.
Kako bi izbegao sigurnosne mere, „ubrizgavanje“ programa backdoor Trojan odvija se u dva koraka. Instalacija dropper-a tj. malog fajla čija je jedina uloga da se dođe do velikog fajla sa udaljene lokacije prvi je korak u tom procesu. Backdoor program je preuzet i instaliran na server i tako počinje druga faza. Jednom „ubrzigan“, tu je da ostane, čak i ako žrtva primeti i ispravi tu slabu tačku koja je omogućila napad.
Programi Backdoor Trojan su uporni i jako se teško eliminišu. To je zato što se backdoor Trojan dobro uklapa u kompjutersko okruženje pa ga softverski skener teško nalazi i prepoznaje u odnosu na druge fajlove u sistemu. Ne samo da su tzv. backdoor shells (maliciozni delovi kôda) skriveni pod lažnim imenima već je na delu i maskiranje koda (code obfuscation) pa zbog toga maliciozni program deluje bezopasno.
Denial of Service (DoS)
Denial of service (DoS) je sajber napad na kompjuter i usluge koje pruža mreža. Kada počne, ova vrsta napada može ukrasti resurse uređaja autorizovanih korisnika kompjutera tako što će ili ograničiti ili negirati pristup.
Možda se pitate kako.
Jednostavno rečeno, napadi tipa DoS zasipaju mreže saobraćajem. Za vreme napada, usluge više nisu dostupne pošto preopterećenje paketima TCP (transmission control protocol) i UDP (user datagram protocol), na primer, nadjača server koji onda više nije dostupan drugim uređajima i korisnicima mreže.
Drugim rečima, kada server nema više toliko resursa, dešava se problem koji se zove preopterećenje servera, pa server ne može da odgovori na zahteve koji pristižu. Na primer, ako mnogo korisnika pokuša da pristupi website-u odjednom, ovaj porast saobraćaja može dovesti do preopterećenja servera. Slično tome, kada dođe do napada tipa DoS, server je preopterećen paketima podataka koji na kraju dovedu do pada servera.
Svrha ovog napada je, kako mu samo ime kaže, je odbijanje usluge (denial of service), Individualne mašine i kolaps mreže kao rezultat ovih sajber napada mogu vam dati neku ideju o tome koliko štete mogu naneti.
Napadi DoS i DDoS (o kojima ću vam uskoro govoriti) su u grupi najozbiljnijih sajber pretnji. Šteta koju nanesu je astronomska i ako se izvede na pravi način, eliminacija i neutralizacija će koštati sajber žrtvu (najčešće organizaciju, biznis ili vladino telo) celo bogatstvo.
DoS vs DDoS
Može se reći da su napadi DDoS (distributed denial of service) slični napadima DoS. Takođe vredi napomenuti da je svaki DDoS klasifikovan kao DoS ali nije svaki DoS DDoS.
Šta im je zajedničko?
Na primer, ciljevi napada DoS i DDoS su identični kada je u pitanju tehnika koju hakeri najčešće koriste. Ipak, DoS napadi se dešavaju kada jedan sistem napada drugi s ciljem da onesposobi metu i ukine pristup autorizovanim korisnicima mreže.
Iako imaju istu svrhu, napadi tipa DDoS dolaze iz više sistema. DDoS ima podršku snažnih, razgranatih i autentičnih resursa koji imaju ozbiljnije posledice nego običan DoS napad.
Drugim rečima, DDoS napadi koriste povezanost većeg broja inficiranih uređaja kako bi napali određeni website ili internet uslugu sa ogromnom količinom mrežnih podataka s ciljem da ta usluga više ne bude dostupna. Što je još važnije, pošto se hakeri oslanjaju na nekoliko kompromitovanih sistema širom sveta, gotovo je nemoguće zaustaviti napade, a još manje otkriti odakle dolazi.
DoS and DDoS Attack Types
Generalno govoreći, DoS napade možemo svrstati u tri kategorije:
- Volume-based attacks: Kao što smo ranije rekli, napadi koji se oslanjaju na obim (volume-based attacks) „zasipaju“ server saobraćajem što onda dovede do preopterećenja propusnog opsega (bandwidth saturation). Snaga ovih napada zasnovanih na obimu meri se bitovima po sekundi. Napadi tipa TCP, UDP i ICMP spadaju u ovu kategoriju.
- Application-layer attacks: Meta ovih napada su aplikacije i njihove manjkavosti s ciljem da se programima onemogući da komuniciraju sa korisnikom ili da ispune svrhu.
- Protocol attacks: SYN floods, Ping of Death, i Smurf DDoS su među najpopularnijim napadima na protokol. Ova vrsta napada briše sve resurse servera kao i resurse sa uređaja koji služi za balansiranje opterećenja (load balancers) i zaštitne zidove (firewalls).
Sad kad smo objasnili osnove DoS/DDoS napada, hajde da se bliže pozabavimo temom i da vidimo koje to sve vrste DDoS napada postoje.
- TCP/UDP/ICMP floods: Ove vrste napada su slične pošto je njihov cilj da izmore žrtvu preteranim trošenjem resursa servera pa žrtva nije u stanju da odgovori na nove, stvarne konekcije i zahteve.
- Ping of Death: Ova vrsta napada nastaje kada sajber kriminalac napadne sistem preterano velikim paketima podataka koristeći ping naredbu (koja se koristi za slanje paketa podataka koji se šalju na određene IP adrese u okviru mreže). Ovaj napad zaustavlja (u potpunosti ili privremeno) mašinu koja je cilj napada dostavljanjem paketa podataka koji prelazi maksimalnu dozvoljenu veličinu koju meta dozvoljava. Ipak, ping of death napad nije sada toliko čest kao ranije, pošto je ICMP flooding mnogo efikasnija vrsta napada.
- Smurf DDoS: Ping floods i smurf napadi funkcionišu na sličan način pošto se obe vrste napada oslanjaju na porast broja zahteva za ICMP Echo pakete koji će naneti određenu štetu. Ipak, većina administratora mreže može da zaštiti mrežu od smurf napada pa tako smurf napadi retko imaju željeni efekat u današnjem svetu.
- Slowloris: Ako sajber napadač koristi delimične HTTP zahteve da uspostavi vezu sa targetiranim web serverom, to bi mogla biti prva stavka slowloris DoS napada. Cilj ovog napada jeste da ustanovljene konekcije ostanu otvorene dok je god to moguće, i tako se oslabi i uspori server koji je meta napada.
- Zero-day DDoS napadi: Sajber kriminalci stalno traže nove načine za napad. Pa tako kada konačno pronađu nov pristup i primene tehnike i pretnje koje ne nalikuju nijednom od poznatih zlonamernih softvera počinje zero-day DDoS napad. Ovaj DDoS napad je najstrašniji od svih pošto žrtve nemaju način da ga prepoznaju ili se pripreme za ono što dolazi. Ako ne možete da sprečite ili prepoznate pretnju, zamislite koliku štetu može da vam nanese.
DNS Tunneling
Sad kad smo završili sa komplikovanim svetom DoS napada, napadi DNS tunneling će nam poslužiti za relaksaciju.
Za one koji nisu upoznati sa DNS protokolom, objasniću kako taj deo internet ekosistema funkcioniše pre nego što se ozbiljnije pozabavimo ovom temom.
Prvo, DNS je skraćenica za Domain Name System, i u stvari je telefonski imenik interneta pošto svaki website na internetu ima svoju IP adresu koja podseća na dug niz kompjuterskih podataka koji se koriste za identifikaciju i imenovanje lokacije. Drugim rečima, kada ukucate IP adresu u vašem pretraživaču i pritisnete enter, to vas može odvesti na željenu destinaciju.
Ali ko ima vremena i kapacitete da pamti sve te duge nizove podataka?
Umesto toga, mi koristimo web adrese i nazive domena da komuniciramo sa pretraživačem. Ipak, pošto browseri koriste IP adrese, potreban nam je protokol koji prevodi sve čitljive domene u IP adrese i obrnuto. Drugim rečima, DNS protokol nam omogućava efikasniju pretragu weba pa ga to čini jednim od najvažnijih protokola na internetu.
DNS tunneling je vrsta sajber napada koja koristi DNS protokol. Funkcioniše tako što pokreće malver i druge podatke kroz model klijent-server. Za vreme napada, sajber kriminalci preusmeravaju DNS zahteve na njihov zaraženi server i uspostavljaju vezu sa žrtvom preko DNS resolvera. To im omogućava da naprave tunel ka metama i sa udaljenosti kontrolišu servere, kradu podatke ili se pripreme za druge, snažnije napade.
Cross Site Scripting (XSS) Attacks
Cross-site scripting, ili XSS, je jedan od, ako ne i najčešća vrsta sajber napada. U pitanju je vrsta napada koja podrazumeva „ubrizgavanje (injection) kada se neautorizovani kôd dodaje programu i tumači kao standardna komanda i koji dozvoljava napadaču da spoji zlonamerni kôd sa dinamičnim sadržajem (promena izgleda web strane ili nekog elementa elektronske pošte kao što je HTML sadržaj) koji stiže do žrtve.
Ipak, interesantno je da XSS nije direktan napad na žrtvu. Umesto toga, XSS napad dozvoljava sajber kriminalcima da primene maliciozne i modifikovane delove kôda (malicious script) u pretraživaču žrtve kompromitovanjem osetljivog website-a koji žrtva napada posećuje.
Klasifikacija sledi u nastavku:
- Stored XSS: Do ovog napada dolazi kada haker ubrizga maliciozan sadržaj (payload) u targetiranu aplikaciju. Najjednostavniji način jeste ubacivanje payloada u polje za komentare ispod posta na blogu pa tako kada žrtva otvori kompromitovanu web stranu, na snagu stupa zlonamerni kôd koji su primenili napadači.
- Reflected XSS: Napad Reflected XSS obuhvata maliciozni kôd u HTTP odgovoru. Pa tako kada klijent napravi HTTP zahtev hostu koji se nalazi na serveru payload se vraća klijentu u obliku HTTP odgovora.
- DOM-based XSS: Na kraju, napadi DOM-based XSS modifikuju okruženje DOM-a (Document Object Model), interfejsa za programiranje XML i HTML dokumentacije. Kao rezultat DOM modifikacije, kôd sa klijentske strane ne funkcioniše kako bi trebalo.
Napadi XSS su česti zato što su veoma uspešni i to zbog toga što pretraživači ne mogu da razlikuju legitimne i zlonamerne instrukcije. Međutim, za razliku od nekih DDoS napada, cross-site scripting napade je relativno lako uočiti i neutralizovati.
Cryptojacking
Svet kriptovaluta je pun prevaranata (scammers) u potrazi za početnicima u investiranju kojima žele da prodaju lažne kripto koine (crypto coins). Ali nisu svi prevaranti zainteresovani za ovu vrstu razmene. Umesto toga, neki skameri koriste cryptojacking, sajber kriminal koji dozvoljava napadačima da krišom koriste kapacitete žrtvinog kompjutera za rudarenje kriptovaluta.
Rudarenje kripto valuta je skupo i nisu svi Web3 entuzijasti spremni da podnesu ove troškove. Umesto toga, oni će hakovati kompatibilan uređaj i instalirati cryptojacking softver koji rudari ili krade skrivene koine.
Za razliku od drugih sajber napada koji nemaju moć da unište ili oslabe složene sisteme resursa, cryptojacking se ne petlja sa fajlovima ili funkcijama primarnog kompjutera. Umesto toga, radi ono što treba da radi, a to je da rudari kripto, što usporava rad uređaja ali to je sve.