Black Hat ( black hat hacker или blackhat ) — это компьютерный хакер , который нарушает законы или этические нормы в гнусных целях, таких как киберпреступность , кибервойна или злой умысел. Эти действия могут варьироваться от пиратства до кражи личных данных . Black Hat часто называют «взломщиком». [1]
Термин берет свое начало в вестернах 1950-х годов , где «плохие парни» (преступники) обычно изображались в черных шляпах, а «хорошие парни» (герои) в белых. Таким же образом взлом в черной шляпе противопоставляется более этичному подходу к взлому в белой шляпе . Кроме того, существует третья категория, называемая взломом в серой шляпе , которая характеризуется людьми, которые взламывают, как правило, с благими намерениями, но незаконными способами. [2] [3] [4]
Преступники, которые намеренно проникают в компьютерные сети со злым умыслом, известны как «хакеры в черной шляпе». [5] Они могут распространять вредоносное ПО , которое крадет данные (в частности, учетные данные для входа), финансовую информацию или личную информацию (например, пароли или номера кредитных карт). Эта информация часто продается в темной паутине . Вредоносное ПО также может использоваться для захвата компьютеров или уничтожения файлов. Некоторые хакеры могут также изменять или уничтожать данные в дополнение к их краже. Хотя взлом стал важным инструментом для правительств по сбору разведданных, черные шляпы, как правило, работают в одиночку или с организованными преступными группами для получения финансовой выгоды. [2] [6]
Черные хакеры могут быть новичками или опытными преступниками. Они обычно являются компетентными инфильтраторами компьютерных сетей и могут обходить протоколы безопасности . Они могут создавать вредоносное ПО, форму программного обеспечения, которое обеспечивает незаконный доступ к компьютерным сетям, позволяет отслеживать действия жертв в Интернете и может блокировать зараженные устройства. Черные хакеры могут быть вовлечены в кибершпионаж или протесты в дополнение к преследованию личной или финансовой выгоды. [7] Для некоторых хакеров киберпреступность может быть захватывающим опытом. [8] [9]
Одним из самых ранних и самых известных хакерских взломов был взлом The Ark Кевином Митником в 1979 году . Компьютерная система Ark использовалась Digital Equipment Corporation (DEC) для разработки программного обеспечения операционной системы RSTS/E .
Атака вируса-вымогателя WannaCry в мае 2017 года — еще один пример черного взлома. Около 400 000 компьютеров в 150 странах были заражены в течение двух недель. Создание инструментов дешифрования экспертами по безопасности в течение нескольких дней ограничило выплаты вымогателей примерно до 120 000 долларов США, или чуть более 1% от потенциальной выплаты. [10]
Известные утечки данных , обычно публикуемые крупными новостными службами, являются работой хакеров-черных хакеров. При утечке данных хакеры могут украсть финансовую, личную или цифровую информацию клиентов, пациентов и избирателей. Затем хакеры могут использовать эту информацию, чтобы очернить бизнес или государственное учреждение, продать ее в темной сети или вымогать деньги у предприятий, государственных учреждений или частных лиц. [11] Согласно отчету о утечках данных за 2021 год Центра ресурсов по краже личных данных, в 2021 году в Соединенных Штатах было зафиксировано рекордное количество утечек данных — 1862. Утечки данных растут уже некоторое время [ период времени? ] . С 2013 по 2014 год хакеры-черные хакеры взломали Yahoo и украли 3 миллиарда записей о клиентах, что, возможно, стало крупнейшей утечкой данных за всю историю. [12] Кроме того, в октябре 2016 года был взломан сайт для взрослых Adult FriendFinder , в результате чего было похищено более 412 миллионов записей о клиентах. [12] Утечка данных, произошедшая в период с мая по июль 2017 года, привела к утечке более 145 миллионов клиентских записей, что сделало национальное кредитное бюро Equifax еще одной жертвой хакерских атак. [12]
Один из самых известных методов черного мошенничества — использовать отвратительные « страницы дорвеев », которые предназначены для высокого ранжирования по определенным поисковым запросам. Соответственно, суть этих страниц дорвеев скрыта как от клиентов, так и от веб-индексов. Страницы дорвеев предназначены для обмана поисковых систем, чтобы они не могли индексировать или ранжировать веб-сайт по синонимичным ключевым словам или фразам.
Другая форма черной поисковой оптимизации (SEO) известна как наполнение ключевыми словами, которое подразумевает многократное использование одних и тех же ключевых слов для попытки обмануть поисковые системы. Эта тактика подразумевает использование нерелевантных ключевых слов на веб-странице (например, на домашней странице или в тегах метаданных ), чтобы сделать ее более релевантной для определенных ключевых слов, обманывая людей, которые посещают сайт. [13]
Ссылочное фермерство происходит, когда несколько веб-сайтов или страниц ссылаются на определенный веб-сайт. Это делается для получения прибыли от рекламы с оплатой за клик (PPC) на этих веб-сайтах или страницах. Проблема в том, что ссылки указывают на определенный веб-сайт только потому, что он обещает что-то взамен, когда на самом деле они существуют только для увеличения трафика на желаемый веб-сайт и его популярности. Такие веб-сайты неэтичны и подорвут доверие к другим страницам веб-сайта, возможно, уменьшив его доходный потенциал.
Скрытие подразумевает показ различного контента клиентам и поисковым инструментам. Веб-сайт может предоставлять поисковым системам информацию, не имеющую отношения к реальному контенту веб-сайта. Это делается для повышения видимости веб-сайта в результатах поиска.
Spamdexing — это форма черного SEO, которая подразумевает использование программного обеспечения для внедрения обратных ссылок на веб-сайт в результаты поисковой системы. Это делается исключительно для повышения рейтинга веб-сайта в поисковых системах.
Ссылка перенаправления считается неэтичной, если она перенаправляет пользователя на веб-страницу, отличную от указанной в ссылке. Например, неэтично иметь ссылку, которая должна перенаправлять пользователя на веб-сайт «ABC», но вместо этого перенаправляет его на «XYZ». Пользователей обманывают, заставляя следовать по непреднамеренному пути, даже если им неинтересен веб-сайт, на который они попадают.
Этичный хакер безопасности называется « белой шляпой» или «белым хакером». Термин « этичный хакинг » подразумевает больше, чем просто тестирование на проникновение. «Белые хакеры» стремятся обнаружить любые недостатки в текущей системе с разрешения владельца. Многие организации нанимают «белых хакеров» для повышения безопасности своей сети с помощью таких мероприятий, как оценка уязвимости . Их главная цель — помочь организации. [15] В то время как «черная шляпа» незаконно использует уязвимость или инструктирует других о том, как это сделать, «белый хакер» будет использовать ее только с разрешения и не раскроет ее существование, пока она не будет исправлена. Команды, известные как «клубы кроссовок и/или хакеров», «красные команды» или «команды тигров», также распространены среди «белых хакеров». [ требуется ссылка ]
Серая шляпа — это хакер, который обычно не имеет злого умысла, но часто нарушает законы или общепринятые этические нормы. Серая шляпа не будет незаконно эксплуатировать уязвимость и не будет давать указания другим, как это сделать; однако серая шляпа может торговать этой информацией ради личной выгоды. [16] Особая группа серых шляп — хактивисты , которые взламывают, чтобы способствовать социальным изменениям. [3]
Идеи «белых» и «черных» хакеров привели к использованию термина «серая шляпа» в конце 1990-х годов.
Другое различие между этими типами хакеров заключается в том, как они находят уязвимости. Черная шляпа взломает любую систему или сеть, чтобы раскрыть конфиденциальную информацию для личной выгоды, тогда как белая шляпа делает это по просьбе своего работодателя или с явного разрешения, чтобы определить, насколько она защищена от хакеров. Серая шляпа обычно обладает навыками и намерениями белой шляпы и пренебрежением черной шляпы к разрешениям или законам. [4] Хакер в серой шляпе может потребовать от организаций добровольной компенсации за свою деятельность. [17]