استفاده ایمن از اینترنت، تجهیزات رایانهای، و گوشیهای هوشمند به تدریج تبدیل به یکی از دغدغههای روزمره کاربران شده است. این حساسیت به ویژه در مواردی که کاربران در معرض انواع محدودیتها و تهدیدات هستند، شکلی بسیار حیاتی مییابد. پیشتر از این در خلال مطالب عرضه شده، توصیههایی ایمنی متعددی به صورت فهرستهای عملی ذکر کرده یا در برخی موارد آموزشهایی برای اجرای یک یا چند توصیه ارائه نمودهایم.
در همین زمینه:
سیاهه باید و نبایدهای امنیتی کاربران اینترنت
شناسایی منابع معتبر امنیت در فضای اینترنت
در این مجموعه با عنوان چالشهای امنیتی تلاش میکنیم که ضمن برشمردن دوباره این موارد، جزئیات بیشتری را در چارچوب کاربردی و با ذکر نمونهها با شما درمیان بگذاریم.
چالش نخست : مهندسی اجتماعی
برخی از انواع شیوههایی که منجر به مخدوش شدن امنیت شما در فضای مجازی میشود را با عنوان شیوههای مهندسی اجتماعی نامگذاری کردهاند؛ این دسته اقدامات بر جلب اعتماد شما و دریافت تمام یا بخشی از اطلاعات حیاتی از خودتان با اهداف خرابکارانه و مجرمانه پایهریزی شده است. در این روش چه با گفتوگوی مستقیم، تماس تلفنی، ارسال ایمیل یا پیامک، و چه با استفاده از گروهها و کانالهای موجود در شبکههای اجتماعی، فرد مورد نظر اعتماد شما را جلب کرده و اقدام به دریافت اطلاعات مینماید. پس از کسب اطلاعات کار نفوذ به شبکه، رایانه، گوشی هوشمند، حساب کاربری،… شما شروع میشود.
به عنوان نمونه:
“یکی از مال باختگان… در گفتوگو با خبرنگار ایرنا اظهار کرد: حدود ساعت ۱۴ روز پنجشنبه تماسی با من گرفته شد که خود را از رادیو معارف معرفی کرد و گفت که شما برنده ۵۰ میلیون ریال جایزه کمک هزینه سفر به عتبات عالیات شدهاید. برای گرفتن این جایزه لطفاً شماره کارت خود را بفرمایید که این مبلغ به حساب شما واریز شود.
وی افزود: با خواندن شماره کارت گفتند که این شماره کافی نیست و همکار من اشاره میکند که باید تاریخ انقضای کارت و شماره CVV2 را نیز بفرمایید که بتوان این مبلغ را واریز کرد.
این مالباخته گفت: پس از آن شماره رمز دوم را با زبان بازی و نیرنگ از من خواستند و گفتند که همه مبلغ قابل انتقال به یک کارت نیست، لطفاً شماره کارت دیگری بفرمایید که بتوان بقیه مبلغ را به آن واریز کرد.
وی ادامه داد: اما چون کارتم رمز دوم نداشت از من خواستند که به خودپرداز بانک تجارت بروم که آنجا عملیات واریز مبلغ انجام شود.
این مالباخته اضافه کرد: در پایان نیز پس از گفتوگوی پیچیدهای در کنار خودپرداز که تقریباً من را گیج کرد متوجه شدم که ۳۰ میلیون ریال از حسابم برداشته شده است.”
منبع: خبرگزاری ایرنا – خالی کردن حساب، جایزه یک مسابقه رادیویی
در واقع کلاهبرداران با استفاده از ابزارهای مختلف (در اینجا تماس تلفنی در ساعت پخش یک مسابقه رادیویی) و به قول معروف با چرب زبانی و ضمن دادن برخی اطلاعات مبهم سعی در جلب اعتماد قربانی داشته و اطلاعات لازم را از او دریافت کرده و برای اهداف خود استفاده مینماید.
در نمونه دیگر کلاهبرداران با استفاده از جاذبههای جنسی سعی در به دام انداختن طعمه خود و اخاذی دارند، توجه به این نمونه از آن جهت اهمیت دارد که در بسیاری از موارد سیاسی و امنیتی نیز قربانیان به روشهای مشابهی فریفته شده، تحت فشار قرار گرفته و خود یا نزدیکانشان را دچار مخاطرات بزرگتری کردهاند.
“یک مرد جوان فلسطینی که در خارج زندگی میکند، یک شب با دیدن زنی جذاب و نیمه برهنه و فیلمبرداری از رابطه جنسی دیجیتال به دام یک کلاهبرداری آنلاین افتاد…. در خانه تنها بودم. دختری به صفحه فیسبوک من پیوست. به نظرم عجیب نیامد چون موارد زیادی پیش آمده بود که دوستان و همکلاسیهای قدیمی که آنها را خوب نمیشناسم به صفحه فیسبوک من پیوسته بودند. روز بعد پیامی برایم فرستاد:”سلام، چطوری؟ پروفایلت را دیدم، از تو خوشم میآید.” بعد به صفحه فیسبوک و عکسهای او دقت کردم. خیلی جذاب و سکسی بود. همان شب از طریق اسکایپ شروع کرد به فرستادن پیام”
منبع: بی بی سی فارسی – کلاهبرداری سکسی در اسکایپ، ثروتی محصول شرمسار کردن دیگران
در ادامه این ماجرا فرد یاد شده گرفتار دام افرادی میشود که پشت پرده این ارتباط بوده و فیلم ارسال شده توسط وی را در اختیار دارند!
به بیان دیگر آنچه که از آن به عنوان شیوه مهندسی اجتماعی نام برده میشود شامل همه روشهایی است که با استفاده از غفلت، ساده اندیشی، کم اطلاعی،… قادر به جلب اعتماد قربانی شده و قبل از انجام عمل مجرمانه، همه اطلاعات لازم را از خود قربانی به دست آورده یا او را ابزار انجام اعمال خود میسازند. هکری که با شیوه مهندسی اجتماعی قصد دسترسی به اطلاعات رایانه، ایمیل، حساب بانکی،… شما را دارد به جای صرف مقدار زیادی وقت برای یافتن رمز عبور، کاری میکند که شما آن را به وی تحویل دهید.
روشن است که با استفاده از این روشها امکان گستردن دامهای بسیاری برای کاربران فضای مجازی وجود دارد، اما برای پرهیز از آنها میتوان به این چند راهنمایی ساده توجه کرد:
۱- شک کنید؛ هر چیزی که با ظاهر متعارف برای شما ارسال میشود را بهسرعت و سهولت نپذیرید.
۲- به تماس، پیامک، ایمیل مشکوک توجه نکنید. بهترین راه برای گرفتار نشدن در این نوع حملات، باز نکردن ایمیلهای مشکوک است؛ آنها را پاک کنید.
۳- منبع تماس را بررسی کنید. بهسادگی و برمبنای اطلاعاتی که تماس گیرنده تلاش میکند به شما بدهد، اعتماد نکنید. اگر تماس از طریق تلفن، پیامک، ایمیل بوده، به ویژه آنکه تماس با عنوان یک موسسه یا سازمان است، به مشخصههای مربوطه توجه کنید.
· تماس با شماره تلفن همراه، ولی به نام یک سازمان حتماً مشکوک است
· پیامک با عنوان یک سازمان، از طریق یک شماره شخصی حتماً باید مورد تردید قرار گیرد
· ایمیل از طرف یک موسسه اما با استفاده از خدمات رایگان مانند Gmail یا استفاده از دامنههایی که در سایت آن موسسه معرفی نشده، حتماً مشکوک است.
۴- به تماسهایی که شما را ترغیب به انجام فوری برخی کارها میکند، شک کنید.
· پیامک، تماس تلفنی، ایمیلی که ادعای هدیه دادن، و یا هشدار فوری برای از دست دادن حساب کاربری، یا لو رفتن رمز عبورتان را کرده و شما را تشویق به اقدام فوری میکند، ابتدا بررسی کرده و در پاسخ دادن عجله نکنید.
· به سایت موسسه مربوطه مراجعه کرده، یا تلاش کنید با تماس تلفنی (نه با جایی که در پیامها شما را به آن ارجاع دادهاند، بلکه با شمارههایی که از منابع معتبر به دست میآورید) از صحت ادعاهای مطرح شده اطمینان کسب کنید.
· بهتر است که ایمیل، یا پیامک، یا مشخصههای تماس دریافتی را به بخشهای مرتبط در موسسه مربوطه ارسال کرده و تا دریافت پاسخ از آنها دست نگه دارید.
۵- هر درخواستی که با رفتار شناخته شده قبلی آن موسسه یا فرد تماس گیرنده سازگاری ندارد را به عنوان یک نشانه برای تردید تلقی کنید.
به عنوان نمونه بانک هرگز از شما درخواست نمیکند، رمز عبور یا اطلاعات دیگرتان را از طریق ایمیل برای آنها ارسال کنید، پس هر درخواست به نام بانک با چنین محتوایی مشکوک است.
۶- سارقین فقط به دنبال اطلاعات حسابهای بانکی شما نیستند، اینکه بگویید “مشخصات من به چه دردی میخورد” برداشتی اشتباه است. هر نوع اطلاعات خصوصی شما میتواند بخشی از ابزار اقدامات خرابکارانه علیه شما باشد. قبل از به اشتراک گذاشتن اطلاعات، مشخصات فردی، تصاویر، خاطرات،… درباره سوءاستفادههای احتمالی از آنها فکر کنید، اما مهمتر اینکه: پیام، تماس تلفنی، ایمیل،… را که درخواست اطلاعاتی چون نشانی، مشخصات کارت بانکی، مشخصات فردی،… شما را میکند، به عنوان یک زنگ خطر در نظر بگیرید. این بدان معناست که خطر به شما نزدیک شده و لازم است تلاش بیشتری برای حفاظت از اطلاعات خود بکنید.
۷- پیامک، تماس، ایمیل مشکوک ممکن است به هر زبانی برای شما ارسال شود، به ویژه آنکه اگر حاوی پیشنهاد یا امتیاز خاصی برای شما باشد که برای آن اقدامی نکردهاید و یا خارج از روند متعارف است.
احتمال دارد ایمیلی به زبان انگلیسی از شرکتی دریافت کنید که مدعی شده به تخصص شما نیاز دارد و برای طی مراحل بعدی باید اطلاعات سایر حسابهای کاربریتان را در اختیار بگذارید، و به این منظور لینکهایی را نیز در ایمیل ذکر کرده باشد. قبل از آزمودن لینکهای ناشناس، منبع را بررسی کنید.
۸- دنبال کردن لینکهای پیامهای دریافت شده از منابع ناشناس، مانند دنبال کردن مسیر یک فرد ناشناس در یک محله ناشناس است. برای پیشگیری از بروز مخاطرات امنیتی لینکهای پیامها ناشناس را دنبال نکنید، همچنین هرگز از طریق لینکهای فرستاده شده در ایمیل وارد حسابهای کاربری، حساب بانکی،… خود نشوید.
· اطلاعات خود به ویژه اطلاعات حساس بانکی را تنها در وب سایتهای شناخته شده وارد کنید. نشانی وب سایتهای ایمن با کلمه HTTPS مشخص شده و عموماً یک نشان سبز رنگ در کنار آن قرار دارد.
· هر تغییر در ظاهر و مشخصههای وب سایتهای مهم چون خدمات دهنده ایمیل، بانک،… را با وسواس بررسی کنید.
۹- امنیت کامپیوتر خود را با نصب نرمافزارهای امنیتی و دیوارههای آتش افزایش دهید، و به پیغامهایی که مرورگر یا نرمافزار امنیتی درباره سایتهای مشکوک و با محتوای غیر ایمن میدهند توجه کرده و آنها را جدی بگیرید.
۱۰- اگر از جعلی بودن درخواستها یقین کردید آن را برای اطلاع دیگران نشر دهید و سازمانهای مسئول را نیز مطلع سازید. افزایش آگاهی دیگران موجب ناکامی طرحهای خرابکارانه میشود.
۱۱- حسابهای کاربری خود در سایتهای مختلف را به صورت منظم بررسی کنید. هیچ ضرری ندارد که شما حسابهای آنلاین به خصوص حسابهای بانکیتان را به صورت منظم بررسی کنید، تا اگر اتفاق عجیبی در آن افتاده باشد، به موقع از آن با خبر شوید. این اتفاقات شامل تراکنشهای مالی، تغییرات در خدمات و مشخصههای ظاهری سایت، و پیامهای دیده نشده، و… است.
اما برای حفظ آمادگی و ایمنی خود در مقابل چالشهای امنیتی لازم است که خبرهای مربوط به امنیت دیجیتال را دنبال کنید.
منابع مفید در این زمینه:
- چگونه یک حمله مهندسی اجتماعی اتفاق می افتد؟
- حمله مهندسی اجتماعی چیست و چگونه می توان با آن مقابله کرد؟
- تشخیص حملات مهندسی اجتماعی در ۱۵ قدم
- هشیار باشید: انسان ضعیفترین حلقه امنیت سایبری است
- ایمیلهای فیشینگ : به دلایل امنیتی حساب شما مسدود شده است
ویدیوهای آموزشی امن گذر را از اینـجـا ببینید.
برای دسترسی به آرشیو بخش امن گذر، اینـجا و همینطور اینـجا را کلیک کنید.