Ποιοι είναι οι Script Kiddies; Αποτελούν απειλή για την ασφάλειά σας;

Τα παιδιά με σενάριο μπορεί να ακούγονται σαν να είναι απλώς άτακτοι έφηβοι. Αν και αυτό συμβαίνει συχνά, τα παιδιά σεναρίου δεν χρειάζεται στην πραγματικότητα να είναι νεαρά παιδιά με κακόβουλη πρόθεση. Θα μπορούσαν να είναι και ενήλικες.

Ακόμα κι έτσι, είτε μικροί είτε μεγάλοι, τα σεναριακά παιδιά μπορούν να σας προκαλέσουν πραγματική ζημιά αν δεν είστε προσεκτικοί.

Ποιοι είναι οι Script Kiddies;

Με απλά λόγια, ένα παιδί σεναρίου είναι ένας λάτρης χάκερ που δεν έχει τις δεξιότητες ή τις γνώσεις για να πραγματοποιήσει εξελιγμένες κυβερνοεπιθέσεις. Αντίθετα, βασίζονται σε προ-γραμμένα σενάρια και προγράμματα που έχουν αναπτυχθεί από άλλους για να διεισδύσουν σε δίκτυα και συστήματα.

Σκεφτείτε κάποιον που κατεβάζει ένα έτοιμο εργαλείο hacking και το χρησιμοποιεί για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στον υπολογιστή κάποιου. Δεν κωδικοποίησαν οι ίδιοι το εργαλείο – απλώς το εκτέλεσαν. Αυτό ουσιαστικά κάνει ένα σενάριο παιδί.

Μερικά κοινά χαρακτηριστικά των script kiddies περιλαμβάνουν:

• Λίγες έως καθόλου γνώσεις προγραμματισμού: Δεν μπορούν να κωδικοποιήσουν τα δικά τους εργαλεία hacking από την αρχή.
• Υποκινούμενοι από τη φήμη και όχι από την ηθική: Χκάρουν για να καυχηθούν για τις «δεξιότητές» τους.
• Στοχεύστε εύκολα θύματα: Τα παιδιά με σενάριο αναζητούν χαμηλά φρούτα, όπως προσωπικούς ιστότοπους, αντί για ιδιαίτερα ασφαλή και επαγγελματικά δίκτυα.
• Χρησιμοποιήστε τεχνικές ωμής δύναμης: Βασίζονται σε προγράμματα αμβλείας πειρατείας για να σπάσουν κωδικούς πρόσβασης και να συντρίψουν συστήματα.
• Επίθεση για αναστάτωση: Επιδιώκουν την προσοχή και τη διαμάχη μέσω αποσπαστικών επιθέσεων και όχι οικονομικού κέρδους.

Αν και δεν διαθέτουν πολυπλοκότητα, τα παιδιά σε σενάριο μπορούν να προκαλέσουν ζημιά μέσω κοινών άτακτων τεχνικών.

The Common Tactics Script Kiddies Use

Τα παιδιά με σενάριο μπορεί να μην είναι ιδιαίτερα ικανά, αλλά μπορούν να προκαλέσουν σοβαρούς πονοκεφάλους με γελοιότητες στον κυβερνοχώρο. Εδώ είναι μερικές από τις πιο κοινές τακτικές στις οποίες βασίζονται.

1. Επιθέσεις Denial-of-Service (DoS).

Σενάριο για παιδιά χρησιμοποιήστε επιθέσεις ωμής βίας να κατακλύσουν ιστοτόπους και διαδικτυακές υπηρεσίες πλημμυρίζοντας τους με περισσότερη επισκεψιμότητα από ό, τι μπορούν να διαχειριστούν και στη συνέχεια καταρρέοντάς τους. Είναι μεγάλοι στη χρήση εργαλείων DDoS όπως το Low Orbit Ion Cannon (LOIC), το High Orbit Ion Cannon (HOIC) ή Botnet που δεν κωδικοποίησαν οι ίδιοι για να πλημμυρίσουν στόχους με ανεπιθύμητα αιτήματα και να τους πάρουν εκτός σύνδεσης.

Για παράδειγμα, η ομάδα χάκερ Lizard Squad που αποτελείται από τον 17χρονο Julius "zeekill" Kivimaki, κατέστρεψε το Xbox Live και το PlayStation Network με επιθέσεις DoS το 2014 χρησιμοποιώντας εργαλεία εκτός ραφιού.

2. SQL Injection

Η τεχνική SQL injection περιλαμβάνει την εύρεση ευάλωτων ιστότοπων και την εισαγωγή κακόβουλων ερωτημάτων βάσης δεδομένων SQL σε πεδία εισόδου, όπως φόρμες σύνδεσης ή γραμμές αναζήτησης. Εάν είναι επιτυχής, ο εισβολέας μπορεί να αποκτήσει πρόσβαση, να τροποποιήσει ή να διαγράψει τα δεδομένα υποστήριξης ενός ιστότοπου.

Το script kiddie χρειάζεται απλώς να βρει έναν ανασφαλή ιστότοπο και να συνδέσει τον κώδικα ένεσης SQL σε ένα απλό πεδίο φόρμας.

3. Προσπάθειες phishing

Σενάριο για παιδιά βασικές απάτες κοινωνικής μηχανικής για να ξεγελάσουν ακούσιους χρήστες ώστε να παραδώσουν κωδικούς πρόσβασης ή ευαίσθητες πληροφορίες. Αυτό περιλαμβάνει την αποστολή ανεπιθύμητης αλληλογραφίας ψεύτικων σελίδων σύνδεσης για κοινούς ιστότοπους όπως το Google ή το Facebook. Ή αποστολή ψευδών μηνυμάτων ηλεκτρονικού ταχυδρομείου με "αναστολή λογαριασμού" προκειμένου τα θύματα να εισάγουν τα διαπιστευτήριά τους στον ψεύτικο ιστότοπο του εισβολέα.

Αν και είναι εύκολο να εντοπιστούν για πολλούς, αυτές οι απόπειρες phishing εξακολουθούν να προσελκύουν τους λιγότερο γνώστες της τεχνολογίας.

4. Σπάσιμο κωδικού πρόσβασης

Χωρίς την ικανότητα να γράφουν τα δικά τους εργαλεία διάσπασης κωδικών πρόσβασης, τα παιδιά σεναρίου στρέφονται σε προγράμματα όπως ο Cain και ο Abel για να εξαπολύσουν επιθέσεις λεξικών ωμής βίας. Επίσης, θα μαντέψουν απλώς αδύναμους κωδικούς πρόσβασης όπως "123456" ή θα σπάσουν κατακερματισμένους κωδικούς πρόσβασης που έχουν διαρρεύσει σε χωματερές βάσεων δεδομένων.

Εκμεταλλεύονται κοινές ανθρώπινες τάσεις, όπως η χρήση απλών κωδικών πρόσβασης ή η επαναχρησιμοποίησή τους σε ιστότοπους.

5. Παραμορφώσεις ιστότοπου

Οι γρήγορες αεροπειρατείες για να κολλήσουν παράξενες εικόνες ή προσβλητικά γκράφιτι —όπως το "Hacked by [όνομα χάκερ]"—σε ιστότοπους είναι μια επισκεψιμότητα από παιδιά που θέλουν να τρολάρουν και να τραβήξουν την προσοχή.

Σε ένα από τα μεγαλύτερα ξεφάντωμα παραμόρφωσης ιστοτόπων που έγινε ποτέ, ένα παιδί σεναρίου γνωστό ως iSKORPiTX κατάφερε να χακάρει πολλές χιλιάδες ιστοσελίδες σε μία μόνο επίθεση τον Μάιο του 2006 (σύμφωνα με Τα Νέα των Χάκερ).

Όπως μπορούμε να δούμε, τα παιδιά του σεναρίου βασίζονται σε στοιχειώδεις αλλά μερικές φορές αποτελεσματικές τεχνικές για να προκαλέσουν δυσανάλογη αναστάτωση. Η κατανόηση των τακτικών τους είναι το κλειδί για την προστασία του εαυτού σας από αυτούς τους απερίσκεπτους, απρόβλεπτους χάκερ.

Πώς να αμυνθείτε ενάντια στις επιθέσεις Kiddie σε σενάριο

Πρώτα πράγματα πρώτα: ξέρετε τι αντιμετωπίζετε. Τα σενάρια παιδιά είναι βασικά αρχάριοι χάκερ που χρησιμοποιούν σενάρια και εργαλεία που έχουν αναπτυχθεί από άλλους για να πραγματοποιήσουν επιθέσεις στον κυβερνοχώρο. Συχνά επιδιώκουν εύκολους στόχους επειδή δεν έχουν τις δεξιότητες να εισχωρήσουν σε εξελιγμένα συστήματα.

Τα καλά νέα είναι ότι οι επιθέσεις τους γενικά δεν είναι ιδιαίτερα προχωρημένες. Ωστόσο, τα κακά νέα είναι ότι υπάρχουν πολλά δωρεάν εργαλεία hacking που μπορεί να τα κατεβάσει ο καθένας και να τα χρησιμοποιήσει για να σας στοχεύσει. Δείτε πώς να προστατεύσετε τον εαυτό σας.

1. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης

Οι αδύναμοι, εύκολοι στην εικασία κωδικοί πρόσβασης είναι ένα ευπρόσδεκτο χαλί για τα παιδιά με το σενάριο που θέλουν να μπουν με βία στους λογαριασμούς. Αντί για "password123", δημιουργήστε μοναδικούς κωδικούς πρόσβασης με έως και 15+ τυχαίους χαρακτήρες, αριθμούς, κεφαλαία γράμματα και σύμβολα. Thinkpassphraseslik3Th!sL0ngJibberish.

Εάν χρησιμοποιούσατε έναν αδύναμο κωδικό πρόσβασης, όπως "μπέιζμπολ" σε ιστοτόπους, το script kiddies θα μπορούσε να θέσει σε κίνδυνο τους λογαριασμούς σας στο eBay, την τράπεζα και το email με μια κίνηση. (Σας συμβουλεύουμε να μην χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε πολλούς ιστότοπους για αυτόν ακριβώς τον λόγο.)

2. Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων

Οι κωδικοί SMS, τα βιομετρικά στοιχεία και οι εφάπαξ ειδοποιήσεις push μπορεί να είναι ο χειρότερος εφιάλτης ενός χάκερ. Ακόμη και με έναν κωδικό πρόσβασης στο χέρι, τα script kiddies θα σταματήσουν να παρακολουθούν όταν το 2FA είναι ενεργοποιημένο.

Είτε πρόκειται για έναν κωδικό που αποστέλλεται σε ένα τηλέφωνο, για σάρωση δακτυλικών αποτυπωμάτων ή για ειδοποίηση σε ξεχωριστή συσκευή, ο δεύτερος παράγοντας εμποδίζει τις μη εξουσιοδοτημένες συνδέσεις, ακόμα κι αν οι χάκερ έχουν αποκτήσει έναν κλεμμένο κωδικό πρόσβασης.

Αν και δεν είναι απολύτως αλάνθαστη έναντι εξελιγμένων επιθέσεων, Η ενεργοποίηση του 2FA βελτιώνει σημαντικά την ασφάλεια και κάνει τη ζωή πολύ πιο δύσκολη για τις κοινές τακτικές του σεναρίου.

3. Ενημερώστε και ενημερώστε το λογισμικό

Η ενημέρωση των εφαρμογών σας είναι σαν να λαμβάνετε ενισχυτικές λήψεις—σας προστατεύει από ευπάθειες που εντοπίστηκαν πρόσφατα. Τα παιδιά με σενάριο αναζητούν απαρχαιωμένο λογισμικό που είναι επιρρεπές στα εργαλεία τους, όπως με τον τρόπο που οι ιοί της γρίπης λεηλατούν άτομα που παραλείπουν το εμβόλιο της γρίπης. Αυτοματοποιήστε τις ενημερώσεις για να μην χρειάζεται να το σκέφτεστε.

Θυμηθείτε το WannaCry ransomware, μία από τις πιο διαβόητες επιθέσεις κακόβουλου λογισμικού που έγιναν ποτέ? Το μεγαλύτερο μέρος της ζημιάς του προήλθε από την παραμέληση των ενημερώσεων των Windows.

4. Χρησιμοποιήστε ένα VPN και ένα τείχος προστασίας

Τα περισσότερα σενάρια επίθεσης μυρίζουν τις διευθύνσεις IP στόχου ως πρώτο βήμα. Αλλά η απόκρυψη της IP σας πίσω από ένα VPN ή ο αποκλεισμός της πρόσβασης με ένα τείχος προστασίας σπάει αυτόν τον σύνδεσμο.

Με κάλυψη ή περιορισμός της δημόσιας διεύθυνσης IP σας, τα παιδιά του σεναρίου δεν μπορούν να εντοπίσουν την ακριβή τοποθεσία και τις συσκευές σας στο δίκτυο. Οι υπηρεσίες VPN σας εκχωρούν μια διαφορετική εικονική IP, αποκρύπτοντας την πραγματική σας διεύθυνση.

Τα τείχη προστασίας δημιουργούν κανόνες μόνο για να επιτρέπουν συνδέσεις από αξιόπιστες πηγές. Και οι δύο μηχανισμοί λειτουργούν ως οδοφράγματα που εμποδίζουν την αρχική αναγνώριση του εισβολέα και καθιστούν τα σενάρια που βασίζονται σε IP αναποτελεσματικά.

5. Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σας

Το ransomware και τα σβησμένα αρχεία μπορούν να οδηγήσουν σε μόνιμη απώλεια δεδομένων. Προγραμματίστε τακτικά αντίγραφα ασφαλείας ώστε να μπορείτε να επαναφέρετε κατεστραμμένα ή κρυπτογραφημένα δεδομένα εάν χτυπήσει το μηχάνημά σας μια επίθεση σεναρίου.

Οι αυτοματοποιημένες λύσεις δημιουργίας αντιγράφων ασφαλείας που εκτελούνται καθημερινά ή εβδομαδιαία στο παρασκήνιο δημιουργούν ασφαλή αντίγραφα των αρχείων σας σε εξωτερικές μονάδες δίσκου ή αποθήκευση στο cloud.

Σε περίπτωση που ένα κακόβουλο σενάριο κρυπτογραφήσει τα δεδομένα σας και απαιτήσει πληρωμή, μπορείτε να απορρίψετε τα λύτρα, γνωρίζοντας ότι έχετε άθικτα αντίγραφα ασφαλείας για να επιστρέψετε. Ακόμη και μια επίθεση που διαγράφει ή αντικαθιστά μη αναστρέψιμα τα αρχεία σας μπορεί να ανακτηθεί τραβώντας από τα αντίγραφα ασφαλείας σας.

Μείνετε ένα βήμα μπροστά από την καμπύλη του σεναρίου kiddie με αυτές τις πρακτικές ασφαλείας. Μπορεί να συνεχίσουν να προσπαθούν, αλλά θα είστε πολύ σκληρός στόχος.

Το Script Kiddies' Η έλλειψη δεξιοτήτων δεν είναι έλλειψη κινδύνου

Αν και μπορεί να μην φαίνονται σαν τρομεροί αντίπαλοι με την πρώτη ματιά, η αλόγιστη χρήση των εργαλείων επίθεσης από τα παιδιά του σεναρίου μπορεί να οδηγήσει σε πραγματική ζημιά. Δεν έχετε την πολυτέλεια να υποτιμάτε αυτούς τους πονηρούς ταραχοποιούς.

Παραμείνετε λοιπόν στην κορυφή της προστασίας των συσκευών σας και δεν θα πρέπει να φοβάστε πολλά από αυτές τις ενοχλήσεις του κόσμου των χάκερ.