Cyber Security adalah benda yang sangat penting untuk zaman sekarang kerana semua data kita sudah pun digitalkan. Disebabkan teknologi semakin berkembang dan cantik, hacker yang ada pun semakin advanced untuk bypass segala security yang ada.
Ini menjadikan segala data dan financial kita semua berisiko tinggi untuk dicuri dan dilihat oleh orang lain. Untuk korang yang mungkin tak familiar, hack ni bukan hanya tentang pecah masuk ke dalam komputer atau server, tapi boleh melibatkan pelbagai teknik yang lebih halus dan advanced.
Dalam artikel ni, kami akan explain secara mendalam 15 cara yang biasa digunakan oleh hacker untuk hack website. Lepas baca ni dah boleh protect website korang sendiri.
1. SQL Injection: Serangan ke pangkalan data korang
SQL Injection adalah salah satu teknik yang paling famous dalam kalangan hacker. Dengan serangan ni, hacker akan cuba memasukkan code SQL yang berbahaya ke dalam input yang tak di protect, contohnya macam form login atau search bar di website korang.
Kalau website korang tak cukup secure, hacker boleh guna teknik ni untuk akses, curi, atau ubah data dalam database website korang.
Contoh mudah, katakan korang ada form login yang tak ada system validation. Hacker mungkin akan masukkan sesuatu macam ni: admin' OR '1'='1'. SQL query macam ni memang boleh diigunakan untuk bypass proses pengesahan, so hacker boleh log masuk tanpa dapatkan password sebenar. Bila diorang dah masuk, data macam password, semua maklumat peribadi pengguna, atau apa-apa saja yang ada dalam database tu semuanya boleh diakses dengan mudah.
SQL Attack ni antara yang ditakuti ramai
Database tempat menyimpan segala maklumat pengguna. Kalau hacker dapat hack dan bocorkan ditempat lain memang akan jadi satu masalah yang besar. Mana mana bisnes pun boleh backrupt kalau kena macam ni.
2. Cross-Site Scripting (XSS): Inject script malware ke dalam website
Cross-Site Scripting atau XSS adalah teknik di mana hacker akan inject skrip berbahaya ke dalam website yang pengguna akan visit. Skrip ni boleh digunakan untuk mencuri cookies pengguna, hijack sesi log masuk, atau menjalankan tindakan yang tak diinginkan tanpa pengetahuan pengguna tu sendiri.
Biasanya, XSS berlaku bila website korang tak sanitize input pengguna dengan betul. Contohnya, dalam ruangan komen atau chat, hacker boleh masukkan skrip JavaScript yang nampak macam teks biasa.
Bila pengguna lain tengok komen tu, skrip berbahaya akan di runkan tanpa diorang sedar. Hasilnya, hacker boleh mencuri maklumat penting macam cookies sesi, yang boleh digunakan untuk mengambil alih akaun pengguna.
3. Man-in-the-Middle (MITM) Attack: Spy komunikasi korang
MITM adalah serangan di mana hacker boleh menyelinap masuk antara komunikasi korang dan server. Serangan ni membolehkan hacker untuk bypass, mengubah, atau mencuri maklumat yang dihantar, seperti data login atau maklumat peribadi.
Katakan korang tengah guna Wi-Fi awam, dan korang login ke website tanpa encryption (HTTPS). Hacker yang berada dalam rangkaian yang sama boleh gunakan software atau tools untuk mengintip komunikasi korang dengan server.
Diorang boleh baca atau ubah data yang korang hantar, macam email, password, atau data sensitif lain. Yang lebih teruk, korang mungkin tak sedar langsung yang ada pihak ketiga tengah intip komunikasi korang dengan orang lain.
4. Denial of Service (DoS) Attack: Melumpuhkan website
Denial of Service (DoS) adalah serangan yang bertujuan untuk melumpuhkan website korang dengan membuat request palsu ke server dengan trafik yang luar biasa banyak. Bila server tak dapat handle jumlah permintaan yang terlalu tinggi, server akan jadi crash dan website korang jadi tak boleh diakses lagi.
Dalam serangan DoS, hacker akan gunakan komputer atau server yang diorang kawal untuk menghantar permintaan (requests) ke server korang dalam jumlah yang sangat besar dan dalam masa yang singkat. Server korang akan jadi overwhelmed, dan akhirnya berhenti berfungsi. Serangan ni selalunya digunakan untuk mengganggu operasi website, terutamanya website perniagaan atau e Commerce.
5. Distributed Denial of Service (DDoS) Attack: Serangan secara besar besaran
DDoS adalah versi yang lebih advanced dan lebih besar dari DoS. Dalam serangan DDoS, hacker akan guna pelbagai komputer virtual (atau dikenali sebagai proxy) dan devices yang dah effected dengan botnet untuk melancarkan serangan dari pelbagai lokasi secara serentak.
Bayangkan ratusan ribu atau juta devices, semuanya boleh digunakan untuk menghantar trafik ke server korang pada masa yang sama. Beban yang terlalu berat ni akan menyebabkan server korang K.O dengan lebih cepat berbanding serangan DoS biasa.
DDoS ni lebih susah nak pertahankan sebab dia boleh datang dari pelbagai sumber, jadi susah untuk korang nak block semua trafik yang mencurigakan.
DDoS Attack adalah serangan yang paling banyak berlaku
DDoS Attack antara teknik yang agak mudah dilakukan dan ramai hacker akan gunakan skill DDoS ni untuk melumpuhkan website website besar seperti bank, media & banyak lagi. So far, DDoS sentiasa berkembang dan security yang ada belum tentu boleh prevent dari serangan ni.
6. Brute Force Attack: Teka password menggunakan tools
Brute Force Attack adalah teknik di mana hacker cuba meneka password atau username dengan cuba semua kemungkinan kombinasi sampai dapat yang betul. Benda ni macam cuba buka kunci dengan cuba semua kombinasi nombor yang ada.
Hacker akan gunakan tools yang boleh mencuba ribuan kombinasi password dalam masa yang singkat.
Kalau korang guna password yang lemah atau senang diteka contohnya macam “123456” atau “password”, hacker mungkin boleh pecahkan website korang dalam masa yang sangat singkat. Sebab tu penting untuk korang guna password yang kompleks dan susah nak diteka.
7. Phishing: Menipu untuk dapatkan maklumat sensitif
Phishing adalah teknik di mana hacker akan cuba menipu korang untuk bagi maklumat sensitif macam password, nombor kad kredit, atau butiran peribadi dengan menyamar sebagai entiti yang dipercayai.
Biasanya, hacker akan menghantar email atau mesej palsu yang nampak seakan akan datangnya dari bank korang, media sosial, atau perkhidmatan lain yang korang guna. Mesej tu akan ada link ke website yang nampak sah tapi sebenarnya website tu adalah palsu. Bila korang masukkan maklumat kat website tu, maklumat tu akan terus dihantar kepada system hacker.
Phishing adalah skill yang paling banyak digunakan
Bukan sekadar hacker tapi scammer juga menggunakan skill phishing ni untuk menipu owner website. Jadi kalau korang terjebak dengan phishing, korang kena tahu tak semestinya hacker yang buat kerja. Phishing antara skill yang agak mudah digunakan.
8. Session Hijacking: Take over session melalui cookies
Session Hijacking berlaku bila hacker dapat mencuri session yang sedang aktif dalam browser korang. Session ni adalah maklumat yang dihantar antara browser dan server untuk pastikan korang kekal di log masuk. Dengan session ni, korang tak payah susah susah nak login semula bila korang nak sambugn browsing, just sambung je macam biasa.
Hacker boleh curi data cookies yang menyimpan session, iaitu maklumat sesi log masuk korang. Dengan session cookie ni, diorang boleh akses akaun korang tanpa perlu tahu password. Benda ni boleh berlaku kalau website korang tidak menggunakan HTTPS atau ada kelemahan dalam system security.
9. Cross-Site Request Forgery (CSRF): Tindakan tanpa izin
CSRF adalah serangan di mana hacker boleh memaksa korang untuk menjalankan tindakan tertentu di website tanpa korang sendiri sedar. Contohnya, hacker boleh paksa korang untuk ubah password atau buat pembayaran tanpa korang tahu. Hacker akan cipta satu link atau imej yang nampak macam biasa, tapi bila korang klik atau tengok, so benda ni akan trigger system dalam website yang korang dah log masuk. Action system tu boleh jadi apa saja, dari update profile sampai ke transfer duit, semuanya boleh dirunkan tanpa korang sedar.
10. DNS Spoofing: Redirect korang ke website palsu
DNS Spoofing adalah teknik di mana hacker memalsukan rekod DNS untuk mengarahkan korang ke laman web palsu. Bila korang cuba akses website yang biasa korang guna, korang mungkin akan diarahkan ke website yang nampak sama tapi sebenarnya clone dan dikawal oleh hacker.
DNS adalah macam buku telefon internet; DNS ni akan terjemahkan alamat web yang korang taip (contohnya www.bankkorang.com) ke alamat IP server. Dalam DNS Spoofing, hacker boleh ubah rekod DNS supaya korang diarahkan ke alamat IP yang salah, biasanya korang akan ke website palsu yang boleh mencuri maklumat login korang.
Contoh korang nak buka website Maybank dan alamat Maybank yang korang dah taip tu memang betul. Tapi disebabkan DNS Maybank ni kena hack, korang akan website clone yang korang sangkakan itu adalah Maybank tapi sebenarnya bukan. So korang pun login dan masukkan password macam biasa. So sebenarnya korang sedang menghantar username dan password korang kepada hacker.
11. File Inclusion Attacks: Inject file berbahaya ke dalam server
File Inclusion Attacks adalah serangan di mana hacker masukkan fail berbahaya ke dalam server website korang. Ini boleh berlaku kalau website korang ada kelemahan dalam file management.
Website yang benarkan pengguna upload fail tanpa security yang ketat adalah sasaran paling mudah. Hacker boleh upload skrip berbahaya yang kemudiannya hacker akan runkan code tu di server korang. Contohnya, file PHP yang dimuat naik ada mengandungi code malware yang akan berikan hacker akses penuh ke server.
12. Remote Code Execution (RCE): Menjalankan kod dari jauh
RCE adalah serangan di mana hacker berjaya menjalankan code berbahaya pada server website korang secara remote. Ini adalah salah satu serangan yang paling berbahaya sebab hacker boleh buat apa saja di server korang seolah-olah diorang ni lah admin.
RCE berlaku bila ada kelemahan dalam app web atau software dalam server yang membenarkan hacker untuk masukkan dan run code diorang tanpa sebarang masalah. Code ni boleh mencuri data, ubah settings dalam server, dan paling menakutkan boleh delete semua data website.
13. Zero-Day Exploits: Memanfaatkan kelemahan baru yang tak diketahui
Zero-Day Exploits adalah serangan yang memanfaatkan kelemahan dalam software yang baru ditemui dan belum sempat pun di fixkan oleh developer asal.
Hacker pulak memang dah menjadi tugasnya untuk membuat pen testing dengan sentiasa mencari kelemahan dalam software yang belum diketahui oleh developer tu sendiri. Bila diorang jumpa, diorang akan gunakan kelemahan tu untuk lancarkan serangan sebelum patch dikeluarkan oleh developer tu sendiri. Disebabkan benda ni, korang kena pastikan semua software yang digunakan dalam website sentiasa up to date.
14. Social Engineering: Manipulasi dengan kaedah psikologi
Social Engineering adalah teknik di mana hacker menggunakan manipulasi psikologi untuk menipu korang untuk memberikan maklumat sensitif atau sesuatu perkara yang menguntungkan hacker. Biasanya hacker akan berpura-pura dengan menjadi rakan sekerja, pegawai bank, atau wakil syarikat teknologi. Diorang boleh call atau email korang, berpura-pura perlukan bantuan atau maklumat.
Dengan cara ni, diorang boleh dapatkan maklumat macam password atau butiran login korang tanpa diorang perlu susah payah untuk pecah masuk ke dalam sistem. Sosial Engineering ni bukan hacker je yang buat, scammer pun ramai yang guna kaedah ni. So hati hati lah selalu ya.
15. Password Cracking: Crack password dengan pelbagai kaedah
Password Cracking adalah teknik di mana hacker cuba pecahkan password dengan pelbagai cara, termasuk dictionary attack (guna senarai password yang biasa) atau rainbow tables (pra-kira hash password).
Hacker akan guna software khas untuk cuba meneka atau memecahkan password korang. Kalau korang guna password yang lemah atau pernah terdedah dalam kebocoran data sebelum ni, risiko untuk password korang dipecahkan sangat tinggi. Sebab tu, penting untuk guna password yang kuat dan unik untuk setiap akaun.
Nak belajar jadi hacker?
Nak jadi hacker ni tak susah kalau korang ada minat. Tapi korang kena tahu dulu tujuan korang jadi hacker ni untuk apa. Kalau niat jadi hacker sebab nak tolong orang, itu semua ayat basi dah.
Kesimpulan
Dengan memahami 15 teknik ni, korang boleh buat persediaan yang lebih mantap lagi untuk protect website korang daripada serangan cyber yang dijalankan oleh hacker. Pastikan korang guna langkah-langkah keselamatan yang betul, seperti encryption, password yang kuat, dan sentiasa update system. Keselamatan website adalah tanggungjawab bersama, dan dengan kesedaran yang betul, korang boleh elakkan daripada jadi mangsa serangan Cyber.
Adakah artikel ini membantu?
