مجرمان سایبری چگونه به اطلاعات حساب شما دسترسی پیدا می‌کنند؟

مجرمان سایبری چگونه به اطلاعات حساب شما دسترسی پیدا می‌کنند؟

مجرمان سایبری چگونه به اطلاعات حساب شما دسترسی پیدا می‌کنند؟ هکرها باهوش و تنبل هستند چه کسی دوست دارد تمام روز پشت کامپیوتر بنشیند و رمزهای عبور را حدس بزند؟ من نه. می‌گویند افراد تنبل اغلب نوآوران جامعه ما هستند و به راه‌هایی برای انجام کارهایی فکر می‌کنند که به حداقل زمان و تلاش نیاز دارند. در طول دهه‌ها، هکرها روش‌های خود را به اشتراک گذاشته و توسعه داده‌اند و ابزارهای خود را برای تصاحب حساب‌های کاربری اصلاح کرده‌اند. امروزه انجام این کار بسیار آسان است، تنها کاری که باید انجام دهند این است که دکمه شروع را روی یک برنامه فشار دهند و فقط بنشینند و استراحت کنند. می‌دانم به چه فکر می‌کنید، چه اهمیتی دارد که هکر به حساب Woolworths من دسترسی پیدا کند. چیزی به بی‌ضرری جزئیات حساب خرید آنلاین شما، اطلاعات بسیار مفیدی است.

اصلاً چطور وارد حساب من می‌شوند؟

ابزارها و تکنیک‌های زیادی برای نفوذ به یک حساب کاربری وجود دارد. با پیشرفت فناوری و نیاز به به‌روزرسانی سیستم‌ها، ممکن است گمان کنید که این کار آسیب‌پذیری‌ها را کاهش می‌دهد، با این حال، لزوماً اینطور نیست. اگر در مورد دنیای سایبری اطلاعات داشته باشید، هیچ چیز ۱۰۰٪ ایمن نیست. به‌روزرسانی سیستم که یک آسیب‌پذیری قدیمی را وصله می‌کند، می‌تواند نتیجه‌ی باز شدن یک آسیب‌پذیری جدید باشد. همانطور که می‌گویند: «هر دری که بسته می‌شود، در دیگری باز می‌شود.»

در اینجا برخی از رایج‌ترین روش‌هایی که امروزه می‌بینیم هکرها حساب‌ها را به خطر می‌اندازند، آورده شده است:

۱. حدس زدن رمز عبور شما

جستجو در گوگل برای یک هدف و بررسی شبکه‌های اجتماعی او و سپس حدس زدن رمز عبورش کار سختی نیست. حتی برخی از باهوش‌ترین افراد هم از رمزهای عبور ضعیف استفاده می‌کنند، مانند جرمی هاموند، هکر آمریکایی که پس از دسترسی مقامات آمریکایی به رایانه‌اش با حدس زدن رمز عبور “Chewy123” دستگیر شد و 10 سال را در زندان گذراند.

اگر آنها فوراً به رمز عبور دسترسی پیدا نکنند حدس زدن می‌تواند مدت زیادی طول بکشد و همانطور که گفتم هکرها تنبل هستند و نمی‌خواهند این کار را انجام دهند! برخی از وب‌سایت‌ها نیز قبل از قفل کردن حساب، تعداد دفعات تلاش برای ورود به حساب را محدود می‌کنند بنابراین اگر چنین باشد، نمی‌خواهند تلاش خود را برای حدس زدن هدر دهند. با این حال، باید در نظر داشت که اگر بتوانید رمز عبور خود را فراموش کنید و حدس بزنید یا اگر یکی دیگر از اعضای خانواده بتواند این کار را انجام دهد، احتمالاً خیلی امن نیست.

۲. مهندسی اجتماعی

ممکن است بدون اینکه حتی متوجه شده باشید از طریق تلفن یا حضوری با یک هکر صحبت کرده باشید چه یک تماس تلفنی کلاهبرداری باشد، چه کسی که در خیابان با او صحبت کرده‌اید یا حتی یک پیشخدمت در یک کافه. این برخوردها بی‌ضرر و بی‌معنی به نظر می‌رسند، که همان چیزی است که آنها می‌خواهند. این مهندسان اجتماعی آموزش‌دیده شما را فریب می‌دهند تا جزئیات خاصی را فاش کنید. چیزهای ساده‌ای که در یک مکالمه معمولی می‌گویید و بی‌ضرر به نظر می‌رسند، بسیار مفید هستند.

در فیلم «حالا من را می‌بینی» صحنه‌ای در هواپیما وجود دارد که آنها با آرتور ترسلر، شخصیت منفی داستان، صحبت می‌کنند. در این صحنه، آرتور نام سگ و نام خانوادگی مادرش را فاش می‌کند. چنین جزئیاتی در آن زمان بی‌اهمیت به نظر می‌رسیدند.

بعداً در فیلم آنها از این اعتبارنامه‌ها برای دور زدن سوالات امنیتی بانک‌های آرتور استفاده می‌کنند. این دقیقاً نحوه کار مهندسی اجتماعی در زندگی واقعی است! آزمایشی که توسط جسیکا کلارک، یک هکر مهندسی اجتماعی، انجام شده است نشان می‌دهد که مهندسی اجتماعی افراد از طریق تلفن چقدر آسان است خود را به برنامه تلفنی یک غریبه اضافه می‌کند و او را تنها در چند دقیقه قفل می‌کند. اینگونه است که هکرها با استفاده از مهندسی اجتماعی ساده شما را هک می‌کنند.

۳. نیروی بیرحمانه

حمله‌ی فراگیر (brute-forcing) همان حدس زدن مکرر یک رمز عبور با آزمون و خطا است. به جای اینکه شخصی بنشیند و به صورت دستی ترکیب‌های ممکن را تایپ کند، ابزارهایی دارند که این کار را برای او انجام می‌دهند. تنها کاری که لازم است انجام دهید این است که یک مجموعه داده، احتمالاً از اینترنت، مانند لیستی از رایج‌ترین رمزهای عبور ، را بارگیری کنید و تمام. این ابزار هر رمز عبور موجود در مجموعه داده را در برابر حساب کاربری هدف امتحان می‌کند.

همانطور که گفته شد، برخی از وب‌سایت‌ها دارای محافظتی هستند که در صورت وارد کردن نادرست رمز عبور خود به تعداد دفعات مشخص، حساب کاربری قفل می‌شود. اما بسیاری از پلتفرم‌ها هنوز این نوع پیشگیری را ندارند و گاهی اوقات آسیب‌پذیری‌هایی وجود دارد که به آنها اجازه می‌دهد به هر حال آن را دور بزنند.

اگر یک مهاجم بتواند مجموعه داده‌های مربوط به اعتبارنامه‌های احتمالی خود را کاهش دهد، می‌تواند سریع‌تر به آن دسترسی پیدا کند، بنابراین دانستن اطلاعات در مورد هدف مفید است زیرا آنها می‌دانند که چگونه با استفاده از نام، تاریخ تولد و غیره شما، ترکیب‌ها را امتحان کنند.

۴. نقض داده‌های شرکت

دشمنان ممکن است رمزهای عبور شما را داشته باشند، بدون اینکه حتی شما را هدف قرار دهند. دشمنان با نفوذ به شرکت‌ها و سیستم‌های آنها می‌توانند اطلاعات کاربری مانند جزئیات ورود شما را بدزدند. اطلاعات شما می‌تواند همین الان به همراه فهرستی از صدها اعتبارنامه کاربری دیگر در بازار سیاه فهرست شود. rockyou2021 یکی از بزرگترین نشت‌های داده بود که حاوی تقریباً 8.4 میلیارد رمز عبور کاربر بود. و در اینجا فهرست دیگری از نقض‌های امنیتی که ارزش خواندن دارند، آمده است. 

شما همچنین میتوانید با کلیک برروی خرید آنتی ویروس نود 32 که دارای فایر وال, سپر شبکه و وای فای امن ⭐️ضد سرقت لپتاپ( Anti-theft ) ⭐️ قابلیت نصب نرم افزار از سایت رسمی eset.com – آپدیت از سرور اصلی ESET ⭐️پشتیبانی از سیستم عامل: ویندو ، مک ، لینوکس  تهیه و خریدای کنید.

۵. فیشینگ

فیشینگ نوعی کلاهبرداری است که در آن برای اهداف، پیام‌های جعلی ارسال می‌شود. این پیام‌ها اغلب شامل لینک‌ها/فایل‌های مخرب هستند. کلاهبرداری‌های فیشینگ رایج شامل ایمیلی است که وانمود می‌کند رئیس شماست، لینکی به یک حساب کاربری جعلی مایکروسافت، ایمیلی که می‌گوید پرداخت در حال انجام است، یک سند اجرایی که هنگام باز شدن، بدافزار را اجرا می‌کند و موارد دیگر. مهندسی اجتماعی در کلاهبرداری‌های فیشینگ مفید است و یادگیری در مورد بهترین راه برای تحریف پیام آنها برای باورپذیر کردن، مفید است.

۶. ورود به سیستم از طریق سایت‌های دیگر

راه‌اندازی ورود بین سایتی بدترین کاری است که می‌توانید انجام دهید. ورود بین سایتی جایی است که می‌توانید با استفاده از گوگل، رسانه‌های اجتماعی و غیره، یک حساب کاربری جدید ایجاد کنید. این ویژگی معمولاً با استفاده از چارچوب OAuth ساخته می‌شود. وقتی تصمیم می‌گیرید از این طریق وارد شوید، وب‌سایت درخواستی برای دسترسی به برخی اطلاعات، مثلاً از فیس‌بوک شما، ارسال می‌کند.

بسیاری از مشکلات پیکربندی با راه‌اندازی Oauth به دلیل اختیاری بودن تنظیمات ایجاد می‌شوند. این باعث آسیب‌پذیری‌های پیکربندی می‌شود که به هکرها اجازه می‌دهد جزئیات حساب را بدزدند. اگر چندین حساب کاربری را با استفاده از این ویژگی راه‌اندازی کرده‌اید، اکنون دشمنان می‌توانند به سایر حساب‌های مرتبط شما دسترسی پیدا کنند.

۷. آسیب‌پذیری‌های شناخته‌شده

فقط با انجام یک جستجوی گوگل، نگاه کردن به اخبار یا در فهرست  و آسیب‌پذیری‌های رایج مایکروسافت (CVE)، یک هکر می‌تواند آسیب‌پذیری‌های مفید در برنامه‌ها را شناسایی کند. با استفاده از این اطلاعات رایگان، آنها می‌توانند به نقاط ضعف مفید نفوذ کنند، درهای پشتی ایجاد کنند و اطلاعات کاربر را فاش کنند.

بسیار خب، پس آنها به حساب من دسترسی پیدا کرده‌اند… حالا چه کار می‌کنند؟

بیشتر حساب‌ها اطلاعات کاربری استانداردی مانند نام کامل، تاریخ تولد، آدرس ایمیل، شماره تلفن، آدرس پستی و احتمالاً موارد دیگر را دارند. بیایید بررسی کنیم که آنها با این اطلاعات چه کاری می‌توانند انجام دهند. در این مثال، یک هکر از یکی از روش‌های فوق برای ورود به حساب خرید آنلاین Woolworths شما استفاده کرده است.

سلام، من یک هکر هستم و همین الان وارد حساب خرید آنلاین شما در فروشگاه وولورث شدم. من یک ایمیل برای شما فرستادم و وانمود کردم که از وولورث هستم و سفارش شما را به شما اطلاع دادم. شما روی لینک جعلی که من ساخته بودم کلیک کردید و وارد شدید. حالا نام کاربری و رمز عبور شما را دارم. من در حال بررسی حساب شما هستم و شماره تلفن، ایمیل و آدرس شما را در زیر جزئیات حساب شما پیدا کرده‌ام.

اکنون در حال بررسی سفارشات قبلی شما هستم و می‌توانم ببینم که شما هر هفته کوالاهای کاراملویی سفارش می‌دهید، این‌ها باید میان وعده مورد علاقه شما باشند.

شما اطلاعات کارت اعتباری خود را به صورت خودکار در حساب وولورث خود ذخیره کرده‌اید، اما به دلایل امنیتی باید هر بار پین خود را وارد کنید. من این پین را ندارم، اما از آنجایی که شما از طریق لینک “کوالاهای کاراملویی رایگان” سفارش می‌دهید، می‌توانم پین شما را هنگام پرداخت دریافت کنم.

تاکنون، هکر توانسته است جزئیات زیر را به خطر بیندازد:

با استفاده از عادات سفارش شما، آنها می‌توانند جزئیاتی مانند اینکه آیا تنها زندگی می‌کنید، بچه دارید، سگ دارید و غذای سگ می‌خرید و غیره را استنباط کنند. همچنین همانطور که این هکر انجام داده است، به راحتی می‌توان فهمید غذای مورد علاقه شما چیست. این یک اتفاق بعید نیست. جوایز Woolworths نیز همین کار را انجام می‌دهند، آنها سابقه خرید شما را فیلتر می‌کنند، الگوهای خرید را می‌بینند و برای خرید اقلام خاص، پاداش اضافی ارائه می‌دهند. این جوایز دستچین شده‌اند تا شما را به خرید بیشتر وسوسه کنند. کار به اینجا ختم نمی‌شود، هنوز کارهای بسیار بیشتری می‌توان انجام داد!

شما سفارش خود را برای جمعه ثبت کرده‌اید. من یک لینک برای شما ایمیل می‌کنم تا بتوانیم تلفن شما را ردیابی کنیم. این برای این است که مطمئن شویم غذای شما را وقتی در خانه هستید، تحویل می‌دهیم! از اینکه به ما اجازه دادید موقعیت مکانی شما را ردیابی کنیم، متشکریم.

حالا آدرس محل کار، مکان‌های رایجی که می‌روید، عادات سفر و موقعیت مکانی فعلی‌تان، همگی در اختیار هکر قرار گرفته است، زیرا شما به او اجازه داده‌اید موقعیت مکانی شما را ردیابی کند. چقدر عجیب است که هکر فقط با دسترسی به چند جزئیات توانسته کارهای زیادی انجام دهد. این سناریو بسیار پیچیده است، اما همچنان واقع‌بینانه است.

حالا شما اصول اولیه هک کردن حساب‌های کاربری و اینکه چطور ممکن است بدون اینکه حتی متوجه شوید، آنها را لو بدهید را درک می‌کنید. برای محافظت بهتر از خود و حساب کاربری‌تان، اولین قدم ایمن‌سازی رمزهای عبورتان است. می‌توانید مقاله‌ای را در اینجا پیدا کنید که به راهنمایی برای محافظت بهتر از خودتان در فضای آنلاین می‌پردازد .