هکرها چگونه حساب‌های کاربری را هک می‌کنند و از چه روش‌هایی می‌توان در فضای مجازی از خود محافظت کرد؟

هر روزه تعدادی از مردم اذعان می‌کنند که حساب(های) کاربری‌شان مورد هجوم هکرها قرار گرفته و به اصطلاح هک شده است. اما این هک شدن چگونه صورت می‌گیرد؟ در پاسخ باید گفت که در اکثر موارد، به سادگی! هکرها جادوگر نیستند که با خواندن ورد بتوانند به اطلاعات کاربری افراد دسترسی پیدا کنند. در این مقاله قصد داریم روش‌های ساده‌ای را که با رعایت آن‌ها می‌توانید جلوی هک شدن حساب‌های کاربری خود را بگیرید، آموزش دهیم.

استفاده از یک گذرواژه یکسان برای تمامی حساب‌های کاربری:

بسیاری از مردم برای جلوگیری از فراموش کردن تعداد زیادی گذرواژه،‎ از یک گذرواژه خاص برای تمامی حساب‌های کاربری خود از پست الکترونیک گرفته تا فیسبوک و توئیتر و... استفاده می‌کنند. انجام این کار بسیار بسیار خطرناک است. چنانچه شما جزو این گروه هستید، هر چه سریع‌تر اقدام به تعیین گذرواژه یکتا برای تک تک حساب‌های کاربری خود کنید.

یکی از خطرات بزرگ تعیین یک گذرواژه برای تمامی حساب‌های کاربری این است که اگر گذرواژه شما به هر نحوی به دست تبهکاران اینترنتی برسد، می‌توانند به راحتی به تمامی اطلاعات شما در فضای مجازی دسترسی داشته باشند و از آن بدتر احتمال انجام کارهای ناپسند و غیر اخلاقی با نام شما وجود دارد.

برای مثال چند سال پیش پایگاه داده اصلی وب‌سایت LinkedIn هک شد و اطلاعات کاربری تمامی کاربران آن به بیرون درز کرد. متاسفانه نه تنها بسیاری از کاربران این وب‌سایت، اطلاعات خود را از دست دادند، بلکه هکرها توانستند با استفاده از نام کاربری و گذرواژه آنها در LinkedIn، بقیه حساب‌های آنان در وب‌سایت‌های دیگر را نیز شناسایی نمایند.

پس همین الان اقدام کرده و هرگز فراموش نکنید که برای هر حساب کاربری، یک گذر واژه یکتا تعیین نمایید.

Keylogger ها:

کی‌لاگر ها که عموما به صورت نرم‌افزاری تولید می‌شوند، در پس‌زمینه سیستم عامل و به صورت کاملا مخفی اقدام به ثبت و ضبط اطلاعاتی می‌نمایند که شما با استفاده از صفحه کلید وارد کرده‌اید.

بسیاری از هکرها از همین روش برای هک کردن حساب کاربری و حتی بدتر از آن، هک کردن شماره حساب‌های بانکی و رمز عبور کارت‌های اعتباری کاربران می‌نمایند.

بهترین روش برای مقابله با این نرم‌افزارها، استفاده از آنتی‌ویروس بروز و قدرتمند است. یک آنتی‌ویروس خوب می‌تواند جلوی فعالیت مخفی این نرم‌افزارهای مخرب را بگیرد.

همچنین پیشنهاد می‌کنیم چنانچه قصد دارید عملیات بانکی را از طریق اینترنت به انجام برسانید، حتما از صفحه کلید مجازی که در وب‌سایت بانک وجود دارد استفاده نمایید. همچنین برخی از آنتی‌ویروس‌ها یک صفحه کلید مجازی دارند که می‌توانید با کمی جستجو پیدایش کنید.

مهندسی اجتماعی:

در حال حاضر این روشی است که اکثر قریب به اتفاق تبهکاران اینترنتی از آن استفاده می‌کنند. زیرا با تجهیز دستگاه‌های الکترونیکی به آنتی‌ویروس‌های قدرتمند، انجام یک حمله تمام عیار به صورت الکترونیکی، بسیار سخت و طاقت‌فرسا است.

مهندسی اجتماعی بحثی بسیار گسترده است که نمی‌توان آن را در چند سطر به طور کامل تشریح نمود، اما در اینجا به ذکر روش‌های رایج که هکرها با استفاده از آنها، اقدام به دزدیدن اطلاعات افراد می‌کنند، می‌پردازیم:

• شما یک پست الکترونیکی دریافت نموده‌اید که ادعا می‌کند از طرف بانکی که شما در آن حساب دارید، ارسال شده است. در این نامه از شما خواسته شده تا با کلیک کردن بر روی لینک داده شده، اطلاعات کاربری مانند شماره مشتری، شماره حساب و رمز عبور خود را وارد نمایید.
• شما یک پیام خصوصی از طرف یک وب‌سایت اجتماعی مانند فیسبوک دریافت نموده‌اید که به شما اعلام می‌کند که از طرف کمپانی فیسبوک با شما تماس گرفته و از شما درخواست می‌کند تا رمز عبور خود را برای بررسی مجدد به وی ارسال کنید.
• شما در حال بازدید از یک وب‌سایت، با یک پیام مواجه می‌شوید. برای مثال متن آن پیام اینگونه است: در صورت وارد نمودن اطلاعات شخصی خود در قرعه کشی 10 دستگاه آیپد شرکت داده خواهید شد.
• 
  

در مورد فرد یا وب‌سایتی که قصد دارید رمز عبور خود را دو دستی تقدیم کنید، کاملا هوشیار و مراقب باشید. هرگز پست‌های الکترونیکی که محتوایی شبیه به موارد بالا دارند را باز نکنید. همچنین در مورد دادن مجوز دسترسی به اطلاعات شخصی در پست الکترونیکی خود به برخی از وب‌سایت‌ها کاملا دقت کنید. اول وب‌سایت مربوطه را کاملا شناسایی کرده و سپس حد مجاز دسترسی به اطلاعات خود را برای آن تعیین نمایید.

پاسخ به سوالات امنیتی:

بسیاری از سرویس‌های اینترنتی که به کاربران خدمات ارائه می‌‌کنند، هنگام ثبت نام از شما می‌خواهند تا یک سوال و پاسخ مناسب را برای خود انتخاب کنید. این کار به این دلیل صورت می‌گیرد تا چنانچه نام کاربری و گذرواژه خود را فراموش کردید، بتوانید از این طریق آن‌ها را بازیابی نمایید. برای انتخاب یک سوال و پاسخ، سعی کنید اطلاعاتی را وارد کنید که دیگران کمتر از آن مطلع هستند. یکی از روش‌های نفوذ به حساب کاربران همین روش است. زیرا برخی از سوالات آنقدر ساده هستند که هکر به راحتی می‌تواند از آن عبور کند. برای مثال ممکن است از شما سوال شود در کدام شهر به دنیا آمدید؟ اگر هکر شما را بشناسد به راحتی می‌تواند به این سوال پاسخ دهد. بهتر است سوالی را انتخاب نمایید که هر کسی نتواند پاسخ آن را پیدا کند. البته بسیاری از وب‌سایت‌های معروف و مشهور مانند گوگل و فیسبوک، حتی در صورت جواب دادن به این سوال نیز اجازه دسترسی به حساب کاربری را نمی‌دهند، در عوض گذرواژه جدیدی را به پست الکترونیکی ثانویه شما ارسال می‌کنند تا فقط خود شما بتوانید به آن دسترسی داشته باشید.

بازنشانی (Reset) حساب‌های پست الکترونیکی و گذرواژه‌ها:

اگر یک هکر موفق به انجام یکی از کارهای فوق شود، شما در مهلکه بدی قرار خواهید گرفت. اوضاع ممکن است بدتر از این نیز بشود زیرا ممکن است هکر موفق شود اطلاعات کاربری پست الکترونیک شما را نیز پیدا کرده و کنترل آن را به طور کامل در دست بگیرد.

پست الکترونیک، اصلی ترین حساب کاربری شما در اینترنت است. زیرا بسیاری از وب‌سایت‌ها و بولتن‌هایی که شما در آن‌ها ثبت نام کرده‌اید، با استفاده از اطلاعات کاربری پست الکترونیک شما کنترل می‌شوند.

برای جلوگیری کردن از دزدیده شدن اطلاعات کاربری پست الکترونیک خود هر کاری را که لازم است انجام دهید تا از آن نهایت محافظت را به عمل آورید.

چنانچه یک هکر موفق به بازنشانی اطلاعات کاربری پست الکترونیک شما شود، هیچ کاری از دست کسی ساخته نخواهد بود. پس مراقب باشید.

چه گذرواژه‌هایی غیر قابل هک شدن هستند؟

بسیاری از افراد تصور می‌کنند که هکرها با سر صبر تک تک گذرواژه‌های ممکن را وارد کرده و منتظر کسب نتیجه نهایی که همان ورود به حساب کاربری است، می‌نشینند. اما این تصور کاملا غلط است، زیرا این اتفاق رخ نمی‌دهد! اگر شما سعی کنید با اکانت شخص دیگری که رمز آن را نمی دانید وارد شوید، پس از چند بار وارد کردن رمز اشتباه، سیستم بصورت خودکار مانع ورود و سعی مجدد شما می‌شود‎. بسیاری از کاربران از گذرواژه‌های رایج مانند Password یا Login یا حتی نام حیوان خود، استفاده می‌کنند.

هکرها عمدتا از روش‌هایی مانند Brute-Force برای استخراج گذرواژه استفاده می‌کنند. در این نوع حملات هکرها با استفاده از نرم افزارهای روبوت با ارسال میلیاردها میلیارد نام کاربری و کلمه عبور بر روی بخش Login و با استفاده از قاعده زمان بی نهایت و حالت بی نهایت که احتمال 100% را نتیجه می دهد، به یافتن نام کاربری و کلمه عبور اقدام می کنند. پس هر چه نام کاربری و کلمه عبور پیچیده تری انتخاب کنید، هکر دیرتر موفق می شود. اما در صورتیکه سرور میزبان فضای وب پورتال شما از قدرت کافی برخوردار باشد و اصلطلاحاً کرش نکند و از قابلیت Brute Force Detection نیز برخوردار نباشد باز هم هکر می تواند به نتیجه دلخواهش که همانا دستیابی به نام کاربری و کلمه عبور شما است برسد.

در حمله Brute Force هکر یک کار ساده برای انجام دادن دارد که آزمایش هر ترکیب حرفی عددی ممکن تا زمان رسیدن به کلمه عبور واقعی است. بصورت تئوری، هکر یک شانس 100 درصدی را برای یافتن کلمه عبور در اختیار دارد، اما در عمل یک مشکل واقعاً بزرگ وجود خواهد داشت: زمان و قدرت. یک کلمه عبور هشت کاراکتری بایستی با 2 به توان 63 تلاش آزمایش گردد. به این ترتیب برای آنکه در زمانهای انسانی به نتیجه ای دست پیدا کرد، به یک پردازنده بسیار قدرتمند نیاز خواهد بود. یک کامپیوتر معمولی می تواند 10 کلمه عبور را در هر ثانیه آزمایش کند. این یکی از دلایلی است که باعث می شود هیچکس معمولاً یک حمله Brute Force خالص را آغاز نکند. با اینحال، یک فناوری محاسباتی جدید وارد میدان شده که می تواند این وضعیت را تغییر دهد.

در پایان، هرگز، هرگز و هرگز  رمز عبور  حساب‌های کاربری خود را در سرویس‌های ارائه کننده فضای ابری رایگان مانند دراپ‌باکس ذخیره نکنید، زیرا چنانچه فردی موفق به دسترسی به آن‌ها شود، باید به طور کامل با دنیای مجازی خداحافظی کنید.