Hackerské útoky nie sú len o geniálnom programátorovi prelamujúcom kód. V skutočnosti väčšina útokov využíva jednoduché triky a ľudskú nepozornosť. Poďme si prejsť najčastejšie typy útokov, aby ste vedeli, ako vyzerajú a ako sa pred nimi brániť.

Útoky cieliace na človeka

Phishing

Najrozšírenejší útok. Útočník pošle podvodný e-mail alebo správu, ktorá sa tvári ako od dôveryhodnej firmy (banka, kuriér, úrad) a snaží sa z vás vylákať heslá alebo údaje. Podrobne v článku phishing a podvodné e-maily.

Sociálne inžinierstvo

Širšia kategória, kde útočník manipuluje človeka, aby sám prezradil informácie alebo niečo urobil. Napríklad sa vydáva za kolegu alebo technika. Dnes to umocňuje aj AI, viac v článku sociálne inžinierstvo a AI podvody.

Spear phishing a podvod (BEC)

Cielená verzia phishingu na konkrétnu osobu alebo firmu, často s vydávaním sa za šéfa alebo dodávateľa, aby obeť poslala peniaze alebo dáta.

Útoky na heslá

Brute force (útok hrubou silou)

Útočník skúša heslá donekonečna, kým netrafí to správne. Bráni sa silnými heslami, limitom pokusov a dvojfaktorovým overením.

Slovníkový útok

Variant, ktorý skúša najčastejšie používané heslá a slová. Preto sú jednoduché heslá ako „heslo123" také nebezpečné.

Credential stuffing

Útočník použije heslá uniknuté z jednej služby a skúša ich na iných, lebo ľudia heslá opakujú. Práve preto má mať každá služba unikátne heslo, pomôže správca hesiel.

Útoky na siete a služby

DDoS

Útočník zahltí web alebo službu množstvom požiadaviek, takže prestane fungovať. Podrobne v článku čo je DDoS útok.

Man-in-the-middle (MITM)

Útočník sa vloží medzi vás a službu a odpočúva alebo mení komunikáciu. Hrozí najmä na nezabezpečených sieťach, preto je dôležité HTTPS a opatrnosť na verejnej WiFi.

Útoky na weby a aplikácie

SQL injection

Útočník podstrčí škodlivý príkaz cez formulár alebo pole na webe a snaží sa dostať k databáze. Bráni sa správne napísaným a aktualizovaným webom.

XSS (cross-site scripting)

Útočník vloží škodlivý skript do webu, ktorý sa potom spustí návštevníkom. Cieľom býva krádež údajov alebo relácie.

Pri weboch na hotových systémoch (napríklad WordPress) sa bráni aktualizáciami a zabezpečením, viac v článku ako zabezpečiť WordPress.

Pokročilé a špecifické útoky

Zero-day

Útok, ktorý zneužije ešte neznámu alebo neopravenú chybu v softvéri, na ktorú zatiaľ neexistuje záplata. Patrí medzi najnebezpečnejšie, lebo proti nemu zatiaľ nie je priama obrana okrem rýchlych aktualizácií.

Útok cez dodávateľský reťazec (supply chain)

Útočník napadne dôveryhodného dodávateľa alebo softvér, cez ktorý sa potom dostane k jeho zákazníkom. Je zákerný, lebo prichádza z dôveryhodného zdroja.

Ransomware útok

Kombinácia prieniku a ransomvéru, ktorý zašifruje dáta firmy a žiada výkupné. Dnes patrí medzi najčastejšie a najdrahšie útoky na firmy.

Ako sa brániť (spoločný základ)

Aj keď je útokov veľa, obrana stojí na rovnakých základoch:

Záver

Typov hackerských útokov je veľa, od phishingu a sociálneho inžinierstva cez útoky na heslá a siete až po pokročilé zero-day a supply chain útoky. Spája ich však jedno: väčšine sa dá predísť kombináciou techniky a opatrnosti. Keď poznáte hrozby a dodržiavate základy, výrazne znížite riziko.

Chcete firmu ochrániť pred kybernetickými útokmi a vyškoliť ľudí? Ozvite sa nám, navrhneme ochranu aj prevenciu na mieru.

Tento článok je súčasťou prehľadu Kybernetická bezpečnosť.