الهندسة الاجتماعية المأجور والحسابات المرتبطة: كيفية حماية سرقة الهوية

في هذا اليوم وهذا العصر ، يكون للإنترنت صلة وثيقة بمعظم جوانب حياتنا وهويتنا. عمليا ، كل شخص لديه ملف شخصي على Facebook ، بالإضافة إلى حساب تويتر ، صفحة LinkedIn ، حسابات التحقق عبر الإنترنت ، حسابات مع تجار التجزئة على الإنترنت ، وربما الكثير من الملفات الشخصية القديمة على المواقع الأخرى التي تجمع الغبار الظاهري فقط. لقد أصبح معظمنا يثقون في الإنترنت بمعلوماتنا. نحن على ثقة من أن الشركات العالمية المتطورة مثل PayPal و Facebook و Amazon وجميع الأسماء الكبيرة الأخرى لن تترك معلوماتنا متاحة للقرصنة. لكن القوة العقلية الجماعية للقراصنة في جميع أنحاء العالم يتم وضعها نحو إيجاد طرق جديدة ومبتكرة لاختراق أنظمة تلك الشركات.

لقد قيل من قبل ، لكنني سأقولها مرة أخرى: إن الأمان قوي بقدر قوة أضعف رابط لك. ما مدى ضعف السلسلة التي تؤدي إلى معلوماتك الشخصية بالضبط؟ هناك العديد من نقاط الضعف التي يجب مراعاتها في تواجدك على الإنترنت: بعضها قد تكون على دراية به وبعض الأشخاص الآخرين الذين لم تفكّروا به. تعتبر الحماية والوقاية عنصرًا رئيسيًا في عملية الأمان عبر الإنترنت ، حيث يكون منع الاختراق أسهل بكثير من إصلاح الضرر بعد حدوثه.

ما هي الهندسة الاجتماعية؟

في هذا السياق ، تعد الهندسة الاجتماعية طريقة تستخدم للتلاعب بالأشخاص في الكشف عن المعلومات الشخصية. وصف مقال حديث من Wired’s Mat Honan بالتفصيل كيف كان ضحية لاختراق الهندسة الاجتماعية الذي جعل حياته الرقمية تنهار. سمحت نقاط الضعف في بروتوكول أمان Amazon و Apple للمتطفلين بالوصول إلى سلسلة من حسابات الكاتب. تمكن الهاكر من الدخول إلى حسابه في Amazon ، والذي قدم عنوانًا للفاتورة بالإضافة إلى الأرقام الأربعة الأخيرة من رقم بطاقة الائتمان. كانت هذه المعلومات كل ما هو مطلوب لإقناع شركة أبل بأن الهاكر هو هونان ، وبالتالي سمحت له بإعادة تعيين كلمة مرور Apple ID. ومن هناك ، تمكن الهاكر من الدخول إلى حسابه على حساب Apple الإلكتروني ، والذي أدى بعد ذلك إلى حساب Gmail الخاص به ، والذي كان مركزًا لمزيد من المعلومات عبر الإنترنت. هذا هو الهندسة الاجتماعية في العمل. لم تعرف كيفية معرفة المتسللين أن السيد هونان يملك حسابًا في الأمازون ليس واضحًا تمامًا ، ولكن سلسلة الأحداث التي حالتهم إلى ضعفه جديرة بالملاحظة:

"بعد المجيء عبر حسابي [Twitter] ، قام المخترقون بإجراء بعض الأبحاث الأساسية. ربط حسابي في Twitter بموقعي الشخصي على الويب ، حيث عثرت على عنوان Gmail الخاص بي. عند التخمين بأن هذا كان أيضًا عنوان البريد الإلكتروني الذي استخدمته للتويتر ، ذهب Phobia [الهاكر] إلى صفحة استرداد حساب Google. لم يكن مضطرًا في الواقع إلى محاولة الشفاء. كانت هذه مجرد مهمة إعادة. نظرًا لعدم تشغيل مصادقة Google ثنائية العوامل ، فعندما دخلت Phobia إلى عنوان Gmail ، كان بإمكانه عرض البريد الإلكتروني البديل الذي أعدته لاسترداد الحساب. تحجب Google هذه المعلومات جزئيًا ، مع تمييزها بأحرف كثيرة ، ولكن هناك عددًا كافيًا من الأحرف المتاحة ، mtes•••@me.com. الفوز بالجائزة الكبرى."

فكر مرتين حول الحسابات المرتبطة

تبدأ سلسلة حياتك الرقمية وتنتهي في مكان ما ، وإذا تم العثور على ثغرة سهلة ، فسيتم استغلالها. منذ ذلك الحين ادعت أمازون أنها غيرت إجراءاتها الأمنية بحيث لم يعد هذا النوع من الاستغلال ممكنًا (ولكن بعد قراءة قصة Wired ، قمت منذ ذلك الحين بحذف جميع معلوماتي من Amazon وسأدخلها يدويًا في كل مرة من الآن فصاعدًا. لا يوجد شيء مثل توخي الحذر الشديد). من ناحية أخرى ، لم تقل شركة آبل أنها غيرت أي سياسات أمنية - إذ قالت شركة أبل فقط إن إجراءاتها الأمنية لم تتم بشكل كامل. هناك العديد من الشركات الأخرى التي تتعرض لتكتيكات الهندسة الاجتماعية ، والحسابات المرتبطة بها تخبرهم من أين تبدأ. في بعض الأحيان ، يمكن أن يكون أسهل استغلال لك هو حساب Facebook الخاص بك.

المسار الرقمي الذي يؤدي إلى حياتك غير الرقمية

إذا كان ملفك الشخصي على Facebook عامًا ، أو أنك تقبل طلبات صداقة من أشخاص لا تعرفهم حقًا ، فهل يتضمن ملفك الشخصي عيد ميلادك الكامل؟ عنوان البريد الإلكتروني الشخصي وعنوان المنزل ورقم الهاتف؟ هل لديك صور لحيوان أليف قديم خاص بك حيث تسميته ، أم أنك صديقك مع أمك ، التي ما زالت تستخدم اسمها قبل الزواج؟ هل هناك صور لك من الصف الأول تعرض اسم المدرسة ، أنت مع صديقتك الأولى ، أو صديقك المفضل؟

نعم ، ولماذا أطلب كل هذه الأسئلة الشخصية؟ حسنًا ، يمكن أن يمنحني تاريخ ميلادك وعنوانك معلومات كافية لبدء انتحال هويتك في شركات أخرى أو عبر الإنترنت. في بعض الحالات ، قد أحتاج إلى الأرقام الأربعة الأخيرة من رقم الضمان الاجتماعي ، ولكن هذه ليست هي الأداة المؤقتة التي تعتقد أنها موجودة. لذا ، لماذا يجب أن يكون أول حيوان أليف لك ، أو اسم أمك ، أو أول مدرسة ابتدائية ، أو صديقة أولى ، أو اسم صديقك المفضل؟ إنها جميع الإجابات عن أسئلة الأمان لعمليات استرداد الحساب. إذا كنت غير معروف لك ، فقد قمت بتصدع بريدك الإلكتروني ، لكن هدفي الحقيقي هو حسابك المصرفي ، لدي الآن إجابات لأسئلتك الأمنية وسأتمكن من تغيير كلمة المرور على حسابك المصرفي للحصول على إمكانية الوصول.ولأغراض جيدة ، قد أقوم بتغيير كلمة المرور على بريدك الإلكتروني ، أو إذا قمت باستغلالها ، قد أقوم بحذف الحساب بالكامل. بالطبع ، هناك الكثير من العوامل لجعل هذا الوضع مثاليًا ، وهناك طرق أخرى يمكن استخدامها للسيطرة على هويتك.

إذا كان لديك كلمات مرور ضعيفة مثل "bucketKid" ، كمثال عشوائي تمامًا ، فإن هجوم القوة الغاشمة على حسابك سيستغرق حوالي ثمانية أيام لكسر كلمة المرور الخاصة بك (المزيد عن كيف أعرف ذلك في قسم التوصية). ببساطة إضافة رقم لجعله "bucketKid7" يضيف ست سنوات إلى الوقت الذي قد يستغرقه هاكر للقضاء عليه.

من الممكن أيضًا أن تتعرض معلوماتك إلى أضرار جانبية في اختراق شركة أخرى. إذا كنت تستخدم كلمة المرور نفسها على مواقع متعددة ، يشتمل أحدها على بريدك الإلكتروني ، فقد حان الوقت لتغيير جميع كلمات المرور والتحقيق في مدى الضرر الذي قد يحدث. الآن ، أن لديك أسوأ السيناريوهات في ذهنك ، دعنا ننتقل إلى كيف يمكنك حماية نفسك بالفعل.

توصية موقعنا

لا تستخدم مطلقًا كلمة المرور نفسها مرتين! أعلم أنك سمعت ذلك قبل مليون مرة ، وقد تعتقد أنه من غير العملي وجود عشرات كلمات المرور الفريدة على العديد من المواقع. حسنًا ، هناك شيئان يمكنك القيام به لجعله عمليًا:

الأول هو أنه يمكنك استخدام برنامج لمساعدتك في إنشاء وتخزين كلمات مرور فريدة لجميع مواقعك. 1Password هو أحد هذه البرامج - عند تسجيل الدخول إلى أحد ملفات التعريف الخاصة بك على الإنترنت ، يمكنك ببساطة اختيار تسجيل الدخول الذي تحتاجه ، وسوف توفر كلمة المرور 1 كلمة المرور وتمنحك الوصول. ومع ذلك ، ربما لا ترغب في تخزين جميع كلمات مرورك في قاعدة بيانات واحدة - وهذا مصدر قلق صحيح.

الخيار التالي هو إنشاء سلسلة من كلمات المرور ذات الصلة. كلمة مرور واحدة يمكن أن تكون "Treez4Eva" في المرة القادمة "Trees4eVer" وهكذا. تذكر أي موقع يستخدم الإصدار الذي يمكن أن يكون صعبًا بعض الشيء ، ولكنه قابل للتنفيذ ويستحق المحاولة بالتأكيد. تذكر أنه يمكنك دائمًا استرداد كلمات المرور التي نسيتها. قد يستغرق ذلك وقتًا طويلاً ، ولكن لا تدع نسيان كلمات المرور يمنعك من إنشاء كلمات فريدة وآمنة.

الآن إلى كلمة المرور نفسها: يمكنك استخدام How Secure Is My Password كمرجع مفيد لقياس مدى أمانك بالفعل. استخدم دائمًا المجموعات الأبجدية الرقمية مع الأحرف الكبيرة والأحرف الخاصة. إذا كان الموقع يسمح بذلك ، فاستخدم المساحات أيضًا. "bucketKid" أكثر أمانًا كثيرًا عندما يكون "bu (k3t K! 4 15 r3a!)" ستستغرق كلمة المرور هذه 3 تريليون عام للتصدع ، وفقًا لـ How Secure Is My Password ، وهو عدد كبير من السنوات يبدو مزيفًا. أعتقد أن الأمر سيستغرق سنوات عديدة لتذكر كلمة مرور كهذه - لكن فكر في كيفية استخدام حيل الذاكرة لتسهيل العملية ، والمثال أعلاه يقرأ: "طفل دلو حقيقي" ، كل ما عليك أن تتذكره هو أي الحروف إذا كنت لا تزال ترغب في استخدام نفس كلمة المرور على العديد من المواقع ، فاستخدم أقوى كلمة مرور ، مثل المثال أعلاه ، للمواقع التي تستخدمها كثيرًا مثل البريد الإلكتروني. كلمات المرور مثل "umbrella boy 15 fake" للمواقع الأخرى التي لا تستخدمها كثيرًا أو لا تشعر أنها آمنة.

استخدم دائمًا التحقق من خطوتين لأي موقع يدعمه. تذكر حساب كاتب Wired لكيفية اختراقه لأنه لم يستخدم التحقق من خطوتين؟ لا ترتكب الخطأ نفسه. جوجل تدعم ذلك ، كما يفعل ياهو وفيس بوك. يعني التحقق من خطوتين أنه عند تسجيل الدخول إلى حسابك من جهاز كمبيوتر أو عنوان IP غير معروف ، ستتم مطالبتك بوضع رمز تم إرساله إلى هاتفك. الأمر الرائع في هذا أيضًا هو أنه يعمل أيضًا كنظام إنذار لحساباتك. إذا حاول شخص ما الوصول إلى بريدك الإلكتروني ، وكنت تحصل فجأة على نص يزودك برمز تسجيل دخول ، فأنت تعلم أن الوقت قد حان لإسقاط الفتحات.

أخيرًا ، إذا كانت لديك أية مخاوف على الإطلاق بشأن الأمان عبر الإنترنت ، فتحقق من هل يجب أن أغير كلمة المرور الخاصة بي. يتيح لك هذا الموقع إدخال عنوان بريدك الإلكتروني ومعرفة ما إذا كان يظهر على أي قوائم قام المتسللون بتجميعها بعد تكسير أحد المواقع. لقد أضافت للتو ميزة جديدة يمكنك من خلالها تخزين عنوان بريدك الإلكتروني معهم وسيتم نقلها إلى أي هجمات مستقبلية.

قد يبدو كل هذا وكأنه يخرج من النهاية العميقة ويصيبك بجنون الارتياب ، لكن كونك مصاب بجنون العظمة على الإنترنت يمكن أن يحفظك في بعض الأحيان في أمان. هناك العديد من الإجراءات الأخرى التي يجب عليك اتخاذها لحماية نفسك ، مثل: تشفير محرك الأقراص الثابتة وإنشاء عناوين بريد إلكتروني يمكن التخلص منها وأسماء للمواقع التي لا تثق بها أو تشعر بعدم الأمان وتغيير كلمات المرور كل بضعة أشهر. يجب أن يؤخذ هذا الدليل كنقطة انطلاق لجعلك أكثر أمانًا ، وإذا كان كل ما عليك فعله هو إنشاء كلمة مرور واحدة قوية وتسجيل بريدك الإلكتروني باستخدام قاعدة البيانات "يجب أن أغيّر كلمة المرور" ، فهذا يمثل على الأقل خطوة أولى جيدة لحماية نفسك من سرقة الهوية على الإنترنت.

توصيات الخبراء

ريان دزرائيلي، نائب رئيس خدمات الاحتيال في TeleSign:

"إن الشخص العادي يمكن اختراقه بشكل مثير للصدمة ، لكن الحقيقة هي أن المتسللين سيسعون إلى مهاجمة الهدف الأسهل. هذا لا يختلف عن غير متصل. هل سيسرق اللص منزلًا به حراس أمن على مدار الساعة طوال الأسبوع أو منزل يغادر الباب الأمامي دائمًا؟ والحقيقة هي أن السارق الجيد يمكنه أن يسرق منزله بأمان رائع ، ولكنه يفضل أن يسقط بعد ضحية أسهل.تمامًا كما لو كنت ستتخذ احتياطات لحماية ملكيتك الشخصية ، يجب على الأفراد أن يبحثوا عن إضافة عدة طبقات للوقاية لضمان هويتهم عبر الإنترنت."

دودي جلين, مدير منتج VIPRE Antivirus من GFI Software:

"علاج هاتفك الذكي مثل جهاز الكمبيوتر. إذا نفذت أي نوع من المعاملات المالية على هاتفك ، فسيتم تطبيق "أفضل الممارسات" الأمنية نفسها كما هو الحال مع الكمبيوتر ".

شومان غوسماجمدر، نائب الرئيس للاستراتيجية في Shape Security:

"انتبه إلى كيفية الوصول إلى مواقع الويب. جزء من التأكد من أنك تثق في موقع ما هو التحقق من أن المنظمة التي تقع خلف موقع الويب ذات سمعة طيبة. جزء آخر هو التأكد من أنك تثق في اتصالك بهذا الموقع. يجب أن تتأكد من أن عنوان URL صحيح ، وأنك انتقلت إليه مباشرة ، ولم تنقر على رابط من بريد إلكتروني غير مرغوب فيه ، أو IM ، أو منبثق. إذا كنت تستطيع ، فقط استخدم أجهزتك واتصالاتك الخاصة. يجب تجنب اتصالات WiFi العامة وأجهزة الكمبيوتر العامة المشتركة إذا كنت تستطيع ذلك ، حيث يسهل على المهاجمين اقتحام حركة مرور الشبكة أو تثبيت keyloggers لالتقاط كلمات المرور. إذا كنت بحاجة إلى استخدام اتصال WiFi عام ، فتأكد من عدم إرسال أي معلومات تسجيل دخول أو معلومات شخصية إلى موقع لا يستخدم اتصال HTTPS ".