5 ترفند نفوذ به حساب‌ های کاربری شبکه های اجتماعی

5 ترفند نفوذ به حساب‌ های کاربری شبکه های اجتماعی

پنج تکنیک مورد استفادۀ مهاجمان برای نفوذ به حساب های کاربری شبکه های اجتماعی

این روزها شبکه های اجتماعی بخش مهمی از زندگی ما را به خود اختصاص داده اند. این شبکه ها ما را تشویق به برقراری ارتباط و تعامل با مردم سراسر جهان می کنند. ما فعالیت های روزمره، زندگی های شخصی و اطلاعات مالیمان را بی پرده با دنبال کنندگانمان به اشتراک می گذاریم. به همین دلیل است که مهاجمان نابکار پلتفرم های شبکۀ اجتماعی را برای نفوذ انتخاب می کنند، چرا که از این طریق می توانند به سادگی به تمامی مشخصات و ویژگی های یک شخص دسترسی یابند.

نفوذ به حساب‌ های کاربری شبکه های اجتماعی

تکنولوژی مدام در حال پیشرفت است، اما بیشتر افراد به دلیل فقدان دانش اولیۀ فنی، از چگونگی محافظت از اطلاعاتشان در برابر مهاجمان خرابکار اطلاعی ندارند. در حال حاضر 2.8 میلیون متخصص امنیت سایبری در سراسر جهان وجود دارند که دربارۀ تست نفوذ مخرب و نحوۀ جلوگیری از آن اطلاع کامل دارند. متاسفانه، این تعداد متخصص در مقایسه با تعداد افرادی که از شبکه های اجتماعی استفاده کرده و اطلاعات شخصی خود را بر روی پلتفرم های آسیب پذیر به اشتراک می گذارند، بسیار پایین است.

مهاجمان  چگونه به حساب کاربری شبکۀ اجتماعی شما دسترسی پیدا می کنند؟

در این مقاله قصد داریم در رابطه با هر یک از تاکتیک های مهاجمان ی مخرب توضیحاتی ارائه دهیم تا شما نیز به دیدی کلی دربارۀ این که مهاجمان  چگونه حریم خصوصی حساب های کاربری شبکه های اجتماعی را نقض می کنند، برسید. در ادامه رایج ترین حملاتی را که یک مهاجم می تواند انجام دهد بررسی می کنیم.

  1. حملۀ Man-in-the-Middle

حملۀ Man-in-the-Middle

این نوع حمله زمانی اتفاق می افتد که یک مهاجم ارتباطات خصوصی مابین فرستنده و گیرنده را سرقت و دستکاری نماید. کاربر ممکن است این باور را داشته باشد که در طرف دیگر ارتباط با کاربر صحیح و موردنظر خود سروکار دارد، حال آن که همۀ ارتباطات از مهاجمی عبور می کند که ممکن است بدون اطلاع دو طرف، ارتباط آن ها را تغییر داده باشد.

BurpSuite بین مهاجمان  ابزاری محبوب برای اجرای حملۀ man in the middle محسوب می گردد. مهاجمان  می توانند با استفاده از این ابزار جلوی ترافیک مابین یک ماشین و سرور را بگیرند، درخواستی را که توسط ماشین به سمت سرور ایجاد شده بگیرند، آن را تغییر داده و چیزی دیگر از سرور درخواست نمایند.

پیشگیری:

همواره از یک آنتی ویروس مناسب به همراه فایروالی که امکان تشخیص کاربر جعلی را داشته باشد، استفاده کنید. علاوه بر این، از VPN و سرور Proxy برای دسترسی به شبکه استفاده نمایید.

  1. حملۀ فیشینگ

حملۀ فیشینگ

فیشینگ رایج ترین و موفق ترین تاکتیکی است که مهاجمان  برای فریب افراد و سرقت اطلاعاتشان به کار می برند. در این حمله، مهاجم یک صفحۀ ورود ساختگی شبکۀ اجتماعی را با ظاهری کاملاً واقعی می سازد و آن را در اختیار قربانی ها قرار می دهد تا از طریق این صفحۀ ساختگی وارد شوند. هنگامی که قربانی مشخصات کاربری ورود خود را وارد می نماید، این مشخصات به طور خودکار به سیستم مهاجم انتقال می یابد. این امر موثرترین استراتژی مورد استفاده است، چرا که بیشتر کاربران قادر به تمایز صفحات ورود قانونی و جعلی نبوده، فریب خورده و مشخصات کاربری خود را ارائه می نمایند. این حمله نیازمند استقامت و مهارت های استثنایی برای فریب دادن قربانی و وادار کردن وی به ورود تکراری از طریق وب سایت جعلی مهاجم است.

پیشگیری:

پیش از وارد کردن مشخصات کاربری یا هر گونه اطلاعات شخصی،  URL را مجددا بررسی کنید. علاوه بر این، از طریق لینک ارسال شده از طریق پیامک و ایمیل وارد وب سایت نشوید.

  1. حملۀ جعل DNS/Cache Poisoning

حملۀ جعل DNS/Cache Poisoning

جعل DNS نوعی حملۀ مخرب است که در آن، کاربر مجبور می شود به یک صفحۀ وب جعلی ولی مشابه با صفحۀ واقعی مراجعه نماید تا به این طریق ترافیک وی منحرف شده یا مشخصات ورود کاربر مورد سرقت قرار گیرد.

به منظور سمی کردن کش DNS، مهاجمان  می توانند ریزالورهای DNS را طوری فریب دهند که اطلاعات اشتباه را کش کند و به این طریق باعث شود ریزالور، آدرس IP اشتباه به کاربر برگردانده و او را به صفحۀ نادرست هدایت نماید.

حملا جعل (spoofing) می توانند برای مدت طولانی شناسایی نشده و مشکلات امنیتی جدی ایجاد نمایند.

پیشگیری:

سعی کنید سرور DNS و فایروال خود را به شکلی امن مدیریت نماید.

  1. سرقت کوکی (Cookie Hijacking)

سرقت کوکی (Cookie Hijacking)

منشا این نوع حمله، کوکی های ذخیره شده در مرورگر شما است. هنگامی که یک کاربر وارد حساب کاربری آنلاین خود نظیر فیس بوک یا توئیتر می شود، سرور مربوطه یک سشن کوکی به وی ارسال می کند. این کوکی حاوی دیتای کوچکب است که کاربر را به سرور شناسانده و به آن ها اجازۀ دسترسی به حساب کاربریشان را می دهد. تا زمانی که دستگاه کاربر، توکن مربوط به سشن (نشست) خود را حفظ کند، سرور این امکان را به کاربر می دهد که اپلیکیشن مربوطه را مورد استفاده قرار دهد.

هنگامی که کاربر از اپلیکیشن خارج می شود، سرور فوراً توکن مربوط به سشن را باطل کرده، و تمامی دسترسی های بعدی به حساب کاربری نیازمند این است که کاربر دوباره مشخصات ورود خود را وارد نماید.

یک مهاجم می تواند توکن مربوط به سشن را سرقت کرده و از آن برای ورود به حساب کاربر استفاده نماید. از طریق آلوده کردن دستگاه کاربر به بدافزاری که امکان ردیابی و سرقت دیتای سشن را دارد، می توان توکن مربوطه را سرقت نمود. روش دیگری که می توان از آن برای سرقت سشن استفاده نمود، حملۀ cross-site scripting است. در این نوع حمله، مهاجم کد مخرب را در صفحۀ وبی که کاربر اغلب از آن بازدید می کند، قرار داده و کامپیوتر کاربر را مجبور به ارسال اطلاعات سشن کوکی به سرور مهاجم می نماید.

پیشگیری:

هر 4 الی 5 روز یک بار کوکی مرورگرهای خود را پاک کرده و هرگز از WiFi عمومی استفاده نکنید.

  1. کلیدنگاری (Keylogging)

کلیدنگاری (Keylogging)

keylogging روش سادۀ دیگری برای نفوذ به  شبکه های اجتماعی است. مهاجمان  نرم افزاری تحت عنوان «کی لاگر» ایجاد می کنند که الگوی کلیدهای تایپ شدۀ کاربر بر روی کیبورد را ردیابی می کند. در ادامه، این نرم افزار فوراً فایلی حاوی این الگوی کلید ایجاد کرده و آن را از طریق اینترنت به کامپیوتر مهاجم ارسال می کند. یک مهاجم با استفاده از این روش حتی می تواند متخصصان کامپیوتری را نیز موردحمله قرار دهند، چرا که امکان دانلود این فایل از هر جایی میسر است.

هنگامی که شخصی بر روی یک لینک ناشناس کلیک می کند یا فایل/پیوست دریافتی از یک ایمیل فیشینگ را باز می کند، یک حملۀ مهندسی اجتماعی قادر به نصب کی لاگر بر روی کامپیوتر آن شخص خواهد بود.

اسکریپت یک صفحۀ وب نیز می تواند برای استقرار و گسترش کی لاگر مورد استفاده قرار گیرد. این امر زمانی محقق می شود که کاربر از مرورگری آسیب پذیر استفاده نموده و هنگام بازدید از وب سایت مخرب، کی لاگر راه اندازی شود.

پیشگیری:

همواره نرم افزارهای موردنیاز خود را تنها از وب سایت های مطمئن دانلود کرده و از باز کردن ایمیل های فیشینگ خودداری نمایید.

امیدواریم این مقاله برایتان مفید واقع شده باشد، بابت وقتی که برای مطالعۀ این مقاله صرف نمودید از شما سپاسگزاریم 😊

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *