خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

Script Kiddies چه کسانی هستند؟ آیا آنها تهدیدی برای امنیت شما هستند؟

ارشیا یوسفی ادیب ۲۶ مرداد, ۱۴۰۲ 7 min read

بچه‌های اسکریپت ممکن است مانند جوانان بی‌تجربه به نظر برسند، اما تلاش‌های هک آنها همچنان می‌تواند آسیب جدی به شما وارد کند.

بچه های اسکریپت ممکن است به نظر بیایند که آنها فقط نوجوانان بداخلاقی هستند. در حالی که اغلب اینطور است، بچه های فیلمنامه نباید در واقع جوان هایی با نیت مخرب باشند. آنها می توانند بزرگسال هم باشند.

با این حال، چه پیر و چه جوان، بچه های فیلمنامه می توانند آسیب واقعی به شما وارد کنند اگر مراقب نباشید.

Script Kiddies چه کسانی هستند؟

به زبان ساده، یک اسکریپت کیدی یک هکر می باشد که مهارت یا دانش لازم برای انجام حملات سایبری پیچیده را ندارد. در عوض، آنها برای نفوذ به شبکه‌ها و سیستم‌ها به اسکریپت‌های از پیش نوشته شده و برنامه‌هایی که توسط دیگران توسعه داده شده است، تکیه می‌کنند.

به شخصی فکر کنید که یک ابزار هک آماده را دانلود کرده و از آن برای دسترسی غیرمجاز به رایانه شخصی استفاده می کند. آنها خودشان این ابزار را کدنویسی نکردند – آنها فقط آن را اجرا کردند. این در اصل کاری است که یک بچه فیلمنامه انجام می دهد.

برخی از ویژگی های رایج اسکریپت kiddies عبارتند از:

  • دانش برنامه نویسی کم یا بدون دانش: آنها نمی توانند ابزارهای هک خود را از ابتدا کدنویسی کنند.
  • با انگیزه شهرت و نه اخلاق: آنها هک می کنند تا درباره “مهارت های” خود ببالند.
  • قربانیان آسان را هدف قرار دهید: بچه‌های اسکریپت به جای شبکه‌های ایمن و حرفه‌ای به دنبال میوه‌هایی مانند وب‌سایت‌های شخصی هستند.
  • از تکنیک‌های brute force استفاده کنید: آن‌ها برای شکستن پسوردها و تحت تأثیر قرار دادن سیستم‌ها به برنامه‌های هک صریح متکی هستند.
  • حمله برای اخلال: آنها به دنبال جلب توجه و جنجال از طریق حملات مخرب هستند تا منافع مالی.

در حالی که فاقد پیچیدگی هستند، بچه های فیلمنامه هنوز می توانند از طریق تکنیک های شیطنت آمیز متداول آسیب وارد کنند.

تاکتیک‌های رایج اسکریپت استفاده از کودکان

بچه‌های اسکریپت ممکن است مهارت بالایی نداشته باشند، اما هنوز هم می‌توانند باعث سردردهای جدی با بازی‌های سایبری شوند. در اینجا برخی از رایج ترین تاکتیک هایی که آنها بر آنها تکیه می کنند آورده شده است.

1. حملات انکار سرویس (DoS).

بچه های اسکریپت از حملات بی رحمانه استفاده می کنند تا وب سایت ها و سرویس های آنلاین را تحت تأثیر قرار دهند و آنها را با ترافیکی بیشتر از آنچه که می توانند اداره کنند و متعاقباً خراب می کنند. آن‌ها در استفاده از ابزارهای DDoS مانند Low Orbit Ion Cannon (LOIC)، High Orbit Ion Cannon (HOIC) یا Botnet‌هایی هستند که خودشان کدگذاری نکرده‌اند تا اهداف را با درخواست‌های ناخواسته پر کنند و آنها را آفلاین کنند.

مطلب مرتبط:   6 روشی که همه می توانند در سال 2022 به صورت آنلاین محافظت شوند

به عنوان مثال، گروه هک Lizard Squad متشکل از جولیوس «زیکیل» 17 ساله کیویماکی، ایکس باکس لایو و شبکه پلی استیشن را با حملات DoS در سال 2014 با استفاده از ابزارهای خارج از قفسه نابود کردند.

2. SQL Injection

تکنیک تزریق SQL شامل یافتن وب‌سایت‌های آسیب‌پذیر و درج پرس‌وجوهای پایگاه داده SQL مخرب در فیلدهای ورودی مانند فرم‌های ورود یا نوارهای جستجو است. در صورت موفقیت آمیز بودن، مهاجم می تواند به داده های باطن سایت دسترسی پیدا کند، تغییر دهد یا حذف کند.

بچه اسکریپت فقط باید یک وب سایت ناامن پیدا کند و کد تزریق SQL را در یک فیلد فرم ساده وصل کند.

3. تلاش های فیشینگ

بچه های اسکریپت از کلاهبرداری های اولیه مهندسی اجتماعی استفاده می کنند تا کاربران ناخواسته را فریب دهند تا رمزهای عبور یا اطلاعات حساس را تحویل دهند. این شامل ارسال هرزنامه به صفحات ورود جعلی برای سایت های رایج مانند گوگل یا فیس بوک است. یا ارسال ایمیل‌های جعلی «حساب تعلیق شده» تا قربانیان اطلاعات خود را در سایت جعلی مهاجم وارد کنند.

در حالی که برای بسیاری قابل تشخیص است، این تلاش‌های فیشینگ هنوز هم افرادی را که از فناوری کمتر آگاه هستند، جذب می‌کند.

4. شکستن رمز عبور

بیشترین رمزهای عبور در سال 2023 درز کرده است؟

بچه‌های اسکریپت بدون مهارت نوشتن ابزارهای شکستن رمز عبور خود، به برنامه‌هایی مانند Cain و Abel روی می‌آورند تا حملات brute-force فرهنگ لغت را اجرا کنند. آنها همچنین به سادگی گذرواژه‌های ضعیفی مانند «123456» یا رمزهای عبور هش‌شده‌ای را که در پایگاه‌های داده‌ای به بیرون درز کرده است، حدس می‌زنند.

آنها از تمایلات مشترک انسانی مانند استفاده از رمزهای عبور ساده یا استفاده مجدد از آنها در سایت ها استفاده می کنند.

5. تخریب وب سایت

ربودن سریع هواپیماها برای چسباندن تصاویر عجیب و غریب یا گرافیتی های توهین آمیز – مانند “هک شده توسط [نام هکر]” – در وب سایت ها کارت ویزیت بچه های فیلم نامه ای است که به دنبال ترول کردن و جلب توجه هستند.

در یکی از بزرگ‌ترین ولگردی‌های تخریب وب‌سایت تا کنون، یک بچه اسکریپت معروف به iSKORPiTX موفق شد هزاران وب‌سایت را در یک حمله در ماه می 2006 هک کند (طبق گزارش The Hacker News).

همانطور که می بینیم، بچه های فیلمنامه به تکنیک های ابتدایی و در عین حال گاهی موثر برای ایجاد اختلالات نامتناسب تکیه می کنند. درک تاکتیک های آن ها برای محافظت از خود در برابر این هکرهای بی پروا و نامتعارف کلیدی است.

مطلب مرتبط:   چگونه مایکروسافت ماکروها را به صورت پیش فرض مسدود می کند، کاربران آفیس را ایمن تر می کند

چگونه در برابر حملات اسکریپت Kiddie دفاع کنیم

اولین چیزها: بدانید که با چه چیزی روبرو هستید. Script kiddies اساساً هکرهای مبتدی هستند که از اسکریپت ها و ابزارهای توسعه یافته توسط دیگران برای انجام حملات سایبری استفاده می کنند. آنها اغلب به دنبال اهداف آسان می روند زیرا مهارت لازم برای نفوذ به سیستم های پیچیده را ندارند.

خبر خوب این است که حملات آنها عموماً پیشرفته نیستند. با این حال، خبر بد این است که هزاران ابزار رایگان هک وجود دارد که هر کسی می تواند دانلود کرده و برای هدف قرار دادن شما استفاده کند. در اینجا نحوه محافظت از خود آورده شده است.

1. از رمزهای عبور قوی استفاده کنید

هوش مصنوعی شکستن رمز عبور می تواند AI شما را حدس بزند

گذرواژه‌های ضعیف و آسان برای حدس زدن، برای بچه‌های اسکریپتی که می‌خواهند به زور وارد حساب‌ها شوند، خوش آمدید. به جای «password123»، رمزهای عبور منحصر به فرد با حداکثر 15 کاراکتر تصادفی، اعداد، حروف بزرگ و نمادها ایجاد کنید. Thinkpassphraseslik3Th!sL0ngJibberish.

اگر از رمز عبور ضعیفی مانند «بیس بال» در سراسر سایت‌ها استفاده می‌کردید، اسکریپت بچه‌ها می‌توانند حساب‌های eBay، بانک و ایمیل شما را به یکباره به خطر بیندازند. (به همین دلیل توصیه می کنیم از رمز عبور یکسان در سایت های متعدد استفاده نکنید.)

2. احراز هویت دو مرحله ای را فعال کنید

کدهای اس ام اس، بیومتریک و اعلان های فشاری یکباره می توانند بدترین کابوس یک هکر باشند. حتی با داشتن یک رمز عبور، وقتی 2FA روشن می شود، بچه های اسکریپت در مسیر خود متوقف می شوند.

چه یک کد ارسال شده به تلفن، یک اسکن اثر انگشت یا یک اعلان در یک دستگاه جداگانه باشد، عامل دوم ورود غیرمجاز را خارج می کند، حتی اگر هکرها رمز عبور دزدیده شده را به دست آورده باشند.

در حالی که در برابر حملات پیچیده کاملاً بی‌خطر نیست، فعال کردن 2FA به طور قابل توجهی امنیت را بهبود می‌بخشد و زندگی را برای تاکتیک‌های رایج اسکریپت‌های بچه سخت‌تر می‌کند.

3. وصله و به روز رسانی نرم افزار

به‌روزرسانی برنامه‌هایتان مانند گرفتن عکس‌های تقویت‌کننده است—از شما در برابر آسیب‌پذیری‌هایی که اخیراً پیدا شده‌اید محافظت می‌کند. بچه‌های اسکریپت به دنبال نرم‌افزارهای قدیمی می‌گردند که به ابزارهایشان حساس هستند، دقیقاً مانند نحوه حمله ویروس‌های آنفولانزا به افرادی که واکسن آنفولانزا را رد می‌کنند. به‌روزرسانی‌ها را خودکار کنید تا مجبور نباشید به آن فکر کنید.

مطلب مرتبط:   چگونه یک بررسی پس‌زمینه روی مسابقات Tinder خود انجام دهید

باج افزار WannaCry را به یاد دارید، یکی از بدنام ترین حملات بدافزار تا کنون؟ بیشتر آسیب آن ناشی از بی توجهی به به روز رسانی ویندوز است.

4. از VPN و فایروال استفاده کنید

اتصال به یک شبکه خصوصی مجازی در لپ تاپ

اکثر اسکریپت های حمله به عنوان اولین گام، آدرس های IP هدف را شناسایی می کنند. اما پنهان کردن IP خود در پشت VPN یا مسدود کردن دسترسی با فایروال این پیوند را می شکند.

با پوشاندن یا محدود کردن آدرس IP عمومی شما، بچه های اسکریپت نمی توانند مکان دقیق و دستگاه های شما را در شبکه مشخص کنند. سرویس های VPN یک IP مجازی متفاوت را به شما اختصاص می دهند و آدرس واقعی شما را پنهان می کنند.

فایروال ها قوانینی را فقط برای اجازه دادن به اتصالات از منابع قابل اعتماد ایجاد می کنند. هر دو مکانیسم به عنوان موانعی عمل می کنند که مانع شناسایی اولیه مهاجم می شود و اسکریپت های مبتنی بر IP را بی اثر می کند.

5. از داده های خود نسخه پشتیبان تهیه کنید

باج افزار و فایل های پاک شده می توانند منجر به از دست دادن دائمی داده ها شوند. پشتیبان‌گیری‌های منظم را برنامه‌ریزی کنید تا بتوانید در صورت حمله به اسکریپت، داده‌های خراب یا رمزگذاری شده را بازیابی کنید.

راه‌حل‌های پشتیبان‌گیری خودکار که روزانه یا هفتگی در پس‌زمینه اجرا می‌شوند، کپی‌های امنی از فایل‌های شما در درایوهای خارجی یا فضای ذخیره‌سازی ابری ایجاد می‌کنند.

اگر یک اسکریپت مخرب داده‌های شما را رمزگذاری کند و درخواست پرداخت کند، می‌توانید باج را رد کنید، زیرا می‌دانید که نسخه‌های پشتیبان دست نخورده برای بازگشت به آن دارید. حتی حمله‌ای که به‌طور برگشت‌ناپذیر فایل‌های شما را حذف یا بازنویسی می‌کند، می‌تواند با بیرون کشیدن از بایگانی‌های پشتیبان بازیابی شود.

با این اقدامات امنیتی یک قدم جلوتر از منحنی فیلمنامه بچه باشید. آنها ممکن است به تلاش ادامه دهند، اما شما یک هدف بسیار سخت خواهید بود.

فقدان مهارت اسکریپت Kiddies فقدان ریسک نیست

در حالی که ممکن است در نگاه اول دشمنان سرسختی به نظر نرسند، استفاده بی‌مورد بچه‌های اسکریپت از ابزارهای حمله می‌تواند منجر به آسیب واقعی شود. شما نمی توانید این دردسرسازان حیله گر را دست کم بگیرید.

بنابراین مراقب محافظت از دستگاه های خود باشید و نباید از این مزاحمت های دنیای هکرها ترس زیادی داشته باشید.

Tags: