Si i zgjedhin hakerët viktimat e tyre?

Pronarët e bizneseve të cilët bien viktimë e ndonjë thyerje të sigurisë kibernetike, zakonisht pyesin me habi, “Pse hakerët sulmuan pikërisht biznesin tim?” Mendoni që hakerët zgjedhin secilin biznes të cilin e sulmojnë?! Jo, kjo nuk ndodhë kështu. Në shumicën e rasteve, hakerët zgjedhin viktimat e tyre pas zbulimit të ndonjë dobësie.

Hakerët nuk e kanë gajle se kush janë viktimat e tyre. Shqetësimi i vetëm i tyre është se sa të vlefshëm janë ata.

Hakerët zakonisht kërkojnë viktimat e tyre përmes një metode të quajtur “skanimi i porteve” apo “port scanning” në anglisht. Ata fusin një rang të IP adresave dhe fillimisht skanojnë portet në ato adresa me shpresë se mos gjejnë ndonjë port të hapur që pastaj këta të kenë mundësi të “gërmojnë” më tutje.

Të shikojmë hap pas hapi se si ndodhë kjo.

1.Skanimi për portet e hapura

Hakeri fillimisht ekzekuton një skanim automatik të porteve (shërbimeve) në një gamë të gjerë të adresave në Internet (IP), e pastaj bie për të fjetur duke e lënë skanimin të ekzekutohet gjatë gjithë natës.

Kjo bëhet me qëllim të gjetjes së ndonjë porte të hapur (shërbim aktiv) në ndonjë rrjetë të caktuar që më pastaj të mund ta shfrytëzojë ndonjë dobësi të mundshme apo dobësi të mirënjohur për të sulmuar ato rrjeta pikërisht përmes atyre porteve.

Në mëngjes, hakeri shqyrton rezultatet e skanimit të porteve që i ka skanuar gjatë natës së kaluar, duke kërkuar për porte të caktuara që po “dëgjojnë” në mënyrë aktive (që do të thotë se ato porte janë të hapura). Pas kësaj, ai me siguri ka njëfarë automatizimi për të nxjerrë një listë me adresa IP duke u nisur nga disa numra portesh që tregojnë për shërbimet që viktima përdorë në Internet, si p.sh. portet, 20, 21, 23, 513, 3389, 5631, 5632 e kështu me radhë.

Këto porte janë veçanërisht të rëndësishme për hakerin, pasi ato paraqesin disa nga shërbimet që mund të shfrytëzohen nga distanca.

P.sh., nëse një haker zbulon që portet 5631 dhe 5632 janë duke dëgjuar (janë të hapura), ai e di që shërbimi për qasje nga distanca (pcAnywhere) është aktiv dhe mund të shfrytëzohet. Po nëse nuk është kjo, por gjen të Hapur portin 3389, ai e di që në atë kompjuter është i konfiguruar shërbimi RDP[i] dhe ai është aktiv. Në një rast të këtillë, për hakerin mbetet vetëm të hakoi kredencialet që kanë qasje në këtë shërbim në atë rrjetë. Në këtë mënyrë ai i tejkalon të gjitha mbrojtjet e jashtme të asaj rrjete, pavarësisht se çfarë firewall-i përdorin apo mbrojtje tjetër.

Nëse aplikacioni RDP nuk kërkon verifikim me dy-faktorë, hakeri me gjasë do të gjej emrin e shfrytëzuesit dhe do ta thyej fjalëkalimin dhe posa ta arrin këtë, ai futet në atë rrjetë.

2.Përdorimi i fjalëkalimeve të nënkuptuar

Shumica e shfrytëzuesve nuk e fshijnë llogarinë apo fjalëkalimin e llogarisë së nënkuptuar që vjen me shërbimin e qasjes nga distanca, si RDP i Windows-it, pcAnywhere, VNC[ii], FTP[iii] apo çfarëdo shërbimi tjetër të këtij lloji. Prandaj, hakerët fillojnë pikërisht nga këtu duke tentuar të shfrytëzojnë këto shërbime duke përdorë kredencialet e nënkuptuara dhe fjalëkalimet e tyre për të thyer sigurinë e rrjetës së një ndërmarrje të caktuar.

Derisa jemi në këtë pikë, hakeri akoma nuk e di se cilën kompani ka sulmuar, as që i bëhet vonë për këtë. Ai thjeshtë po sulmon një dobësi të mundshme të një shërbimi të caktuar, qoftë RDP, FTP, VNC, etj. IP adresa të cilën hakeri e pikas më pas, mund të jetë e një kompjuteri në një rrjetë të madhe, por mund të jetë edhe e një kompjuteri personal të dikujt krejt të parëndësishëm.

Në qoftë se në sistem (kompjuter me një sistem operativ) është lënë në përdorim fjalëkalimi i nënkuptuar i atij shërbimi (RDP, FTP, etj.), hakeri tashmë veç ka hyrë në atë sistem.

Po që se fjalëkalimi i nënkuptuar nuk funksionon për hakerin, kjo për të paraqet vetëm një pengesë të vockël. Në një rast të tillë, ai i merr të gjitha fjalëkalimet që mundet dhe e ekzekuton programin e tij për gjetjen e fjalëkalimeve, e pastaj del në drekë me shokët e tij duke e lënë kompjuterin të kryej punën e tij. Programet për thyerjen e fjalëkalimeve tashmë janë mjaft të fuqishme dhe ato po fuqizohen për ditë e më shumë. Pas një apo disa orësh, kur hakeri të kthehet tek kompjuteri i tij, me gjasë ai do të ketë gjetur fjalëkalimin e kërkuar dhe ai me të futet në atë sistem.

Përveç kësaj mënyre, ekzistojnë edhe mënyra të tjera, madje edhe më të lehta se kjo. Hakeri mund të blej një trojan për më pak $50 dhe atë ta instalojë në kompjuterin tuaj duke e futur atë përmes ndonjë loje që ju e luani, përmes ndonjë faqeje ueb që ju e vizitoni, apo duke ua dërguar atë me e-mail në adresën tuaj.

Për këtë arsye ju NUK duhet të shkarkoni gjëra pa qenë të sigurt se ato janë legjitime dhe të sigurta, apo të klikoni në ndonjë link që u vije me e-mail apo në ndonjë mënyrë tjetër.

3.Marrja nën kontroll nga hakeri

Pavarësisht nëse hakeri ka thyer kredencialet tuaja të qasjes nga distanca apo keni hapur një lidhje (link) që u është dërguar me e-mail, ju tashmë keni rënë në kthetrat e hakerëve dhe ata menjëherë fillojnë kërkimin për të mësuar më shumë rreth viktimës së tyre. Deri në këtë fazë, hakeri akoma nuk e di nëse ka hakuar një biznes apo ndonjë kompjuter personal.

Për të zbuluar më tepër në lidhje me natyrën e mjedisit ku ka zbritur, hakeri shpesh do të bëjë kërkime me fjalë kyçe.

4.Instalimi i një Malware-i

Nëse hakeri zbulon që ka hakuar një biznes që përdorë aparate POS[iv] – të cilat pranojnë karta krediti – do të tentoi të instaloj aty ndonjë malware[v] me qëllim të vjedhjes së të dhënave të kartave të kreditit të konsumatorëve të atij biznesi. Nëse hakeri e arrin këtë, do të tentoj ose t’i shfrytëzoj ato për të bërë karta krediti fals me ato të dhëna ose do t’i shes ato të dhëna në tregun e zi.

Varësisht nga Malware-i që do të instaloj në ato aparate, nga momenti i infektimit e derisa ai infektim të hetohet dhe eliminohet nga ai sistem, çdo konsumator që e futë kartën në atë pikë të shitjes do të jetë i rrezikuar të humbë para.

5.Kërkimi për degët e kompanisë

Tashmë hakeri e di që ka hakuar një biznes dhe hapi i radhës do të ishte tentimi për të hakuar edhe degët e asaj kompanie ose zinxhirin e kompanive të cilat përdorin sistem të njëjtë apo të ngjashëm me atë të kompanisë së infektuar.

Meqenëse hakeri nuk i di adresat IP të vendndodhjeve të tjera të zinxhirit, hakimi i tyre mund të jetë mjaft i vështirë. Megjithatë, nëse ai gjen të dhëna të mbetura në sistemin e hakuar që përfshin adresat e tjera IP, ose lidhjet me serverët e korporatës, kompania e hakuar mund të jetë në probleme serioze (në të kaluarën kemi parë mjaft raste kur hakimi i një lokacioni të vetëm ka çuar në hakimin e tërë korporatës).

6.Mbulimi i gjurmëve

Pas kësaj, hakeri ka disa mundësi. Ai ose do të ndërpres aktivitetin e tij në kompaninë e hakuar ose do ta vazhdoi atë aktivitet derisa të zbulohet dhe mangësia të evitohet. Dhe krejt kjo varet nga disa faktorë.

Nëse hakeri ka hakuar një korporatë dhe ka arritur të vjedhë të dhëna sekrete nga ajo, ai do të ishte më shumë i interesuar të mbyllë këtë mision dhe të humbë gjurmët. Në një rast të tillë hakerët i enkriptojnë të dhënat para se ato t’i transferojnë jashtë atij sistemi, i fshijnë ose i modifikojnë regjistrat (log) në sistemin e hakuar, i ekzekutojnë malwerët nga memoria RAM pa i instaluar ato në diskun e kompjuterit – kjo u mundëson atyre të kryejnë punën pa u hetuar nga shumica e programeve antivirus, si dhe vënë në zbatim shumë teknika të tjera anti-forenzikë në mënyrë që të shmangin zbulimin e tyre.

Por, nëse hakeri ka hakuar një POS dhe qëllimi i tij ka qenë vjedhja e kredit-kartelave, ai mund ta lërë malware-in e tij në ekzekutim derisa kjo të hetohet dhe dobësia në fjalë të eliminohet plotësisht. Dhe pikërisht kjo ndodhë në shumicën e rasteve kur hakohen bizneset tregtare me pakicë.

Pas gjithë kësaj që u tha më lartë, besojmë që tashmë e keni kuptuar që hakerët nuk i zgjedhin viktimat e tyre nga ndonjë listë – si të ishte një regjistër i numrave të telefonit, si dhe duhet të kuptoni gabimin që e bëjnë shumica e bizneseve të vogla dhe të mesme kur besojnë që ato “janë shumë të vogla që hakerët të lakmojnë për t’i hakuar ato.”