«این حساب از دسترس خارج شدهاست». «امکان ورود همزمان دو کاربر به یک حساب وجود ندارد». اینها پیامهای آشنایی هستند که روزانه کاربران مختلف در فضای مجازی با آن مواجه میشوند. کاربرانی که پس از تلاش برای ورود به حسابشان، متوجه میشوند که دیگر به آن دسترسی ندارند و هک شدهاند. کلاهبرداری در فضای مجازی، طبق گزارش پلیس فتا، بیشترین پروندههای قضایی در دست بررسی را تشکیل میدهد. گزارشگران حوادث، روزانه داستانهای متفاوتی را از شیوههای جدید هک و کلاهبرداری در سراسر کشور منتشر میکنند. در اپیدمی کرونا با افزایش فعالیتهای اجتماعی و اقتصادی از طریق اینترنت، هک رونق بیشتری یافته است. هکرها با اهداف متفاوت، مهارت نفوذشان به حریم شخصی کاربران را به رخ میکشند. آنها علاوهبر شهروندان، حالا دیگر به سازمانهای دولتی هم رحم نمیکنند. سال گذشته فعالانی در لباس هکر، بر طبل رسوایی مسئولان کوبیدند و اسناد حقوقهای نجومی آنها را منتشر کردند. برخی دیگر نیز، اسناد و مدارک محرمانه سازمانهای خاصی را برای عموم فاش کردند. ردپای ابهام در کیفیت «امنیت سایبری» در همهی داستانها وجود دارد. آیا سازمانهای دولتی و خصوصی هک شده، امنیت سایبری کمی داشتند؟ شهروندان غرق شده در فضای مجازی، چقدر از شیوههای امنیت در آن میدانند؟
دامِ وام
«هر چه پسانداز داشتم را از کارتم کشیدند. هنوز مشخص نیست آیا میتوانم پولم را برگردانم یا نه». عماد* کارمند اداره منابع طبیعی یکی از شهرستانهای هرمزگان است. او چند ماه پیش درخواست وام داده بود. در فهرست انتظار که بوده، ایمیلی را دریافت میکند. به او گفته شده بود، برای تکمیل درخواست وامش به اطلاعات حساب و مشخصات شخصیاش نیاز است. او میگوید: «فکر کردم ایمیل از سوی بانک است. بر روی لینک تکمیل اطلاعات کلیک کردم و وارد یک صفحه شدم. تصور هم نمیکردم که سایتی شبیه بانک ساخته باشند. شماره کارت و رمزهای مختلفم را دادم. چند روز بعد متوجه شدم پول از حسابم برداشت میشود. فکر کردم برای هزینه وام است. وقتی که کل حسابم خالی شد تازه متوجه شدم که هک شدم». او میگوید که بانک ایمیل را بررسی کرده است. آن ایمیل تقلبی و از سوی بانک نبوده است. عماد میگوید: «هیچوقت فکر نمیکردم برخی اینقدر
کلاهبردار باشند که بخواهند با این روش دزدی کنند».
بررسی راههای حفظ امنیت فضای مجازی، در گفتوگو با «البرز نجاتی»، کارشناس ارشد امنیت شبکه
جراحت غفلت
سوءاستفاده و کلاهبرداری اینترنتی این روزها به شیوههای مختلف انجام میشود. از فرستادن ایمیل و پیامک گرفته تا تماسهای تلفن با کد خارج از کشور. پلیس فتا این روزها با ارسال پیامک هشدار، از مردم میخواهد که فریب پیامهای جعلی را نخورند. «هشدار، هر پیام دریافتی از شماره شخصی با متن ثنا، ابلاغیه قضایی، تخلف یا مسدودی اموال شما یا ثبتنام واکسن، جعلی و به قصد سرقت اطلاعات حساب شماست». چگونه پیام جعلی را از واقعی تشخیص دهیم؟ چگونه از اطلاعات شخصی خود در فضای مجازی محافظت کنیم؟ «البرز نجاتی» کارشناس ارشد امنیت شبکه است. او درمورد حفظ حریم خصوصی در فضای مجازی میگوید: «مسئلهی امنیت، تکبعدی نیست که بتوان با تغییر یا اعمال یک پارامتر آن را تقویت یا تضعیف کرد. برای محافظت از حریم شخصی خود در فضای مجازی باید به بسیاری از نکات توجه کرد. امنیت یک امر مطلق نیست که با فشردن یک دکمه تامین شود. باید در نظر داشته باشیم که هیچ فضایی به طور مطلق امن نیست. امنیت به حریم خصوصی گره خورده است. نمیتوان یکی را زیر پا گذاشت و انتظار تامین دیگری را داشت». برای بررسی شیوههای تامین امنیت در فضای مجازی با البرز نجاتی گفتوگویی داشتم که خلاصهای از آن را میخوانید.
بسیاری از مردم معتقدند که نیازی به داشتن پسورد اختصاصی و غیرقابل پیشبینی برای حسابهای مختلف اجتماعیشان ندارند. اغلب باور ندارند شاید یک روز هک شوند. امنیت و حریم خصوصی امن برای همه نیاز است؟ چرا؟
مسئله امنیت، تکبعدی نیست که بتوان با تغییر یا اعمال یک پارامتر آن را تقویت یا تضعیف کرد. در دل این پرسش، سوالهای زیادی نهفته است. سعی میکنم در حد توان تمام آنها را پاسخ دهم. حفظ امنیت یعنی متحمل شدن سختی. وقتی کسی میخواهد خانهی خود را امن کند (بسته به میزان امنیتی که مد نظر دارد) تمهیداتی میاندیشد. مثلا خرید قفل، درِ دوم، دوربین مدار بسته، دزدگیر و غیره. همه اینها هم از نظر مالی و هم غیرمالی هزینهبر هستند. در نظر داشته باشیم که ذهن انسانها عافیتطلب است. هر چه از آرامشش را به هم بزند، از آن دوری میکند. اگر کسی کیف پول ما را بدزد، ما یک شی، با ارزش مشخص را از دست دادهایم؛ یک کیف، داراییهای مالی و اسناد هویتی درون آن. اگر اما رمز رایانامهی خود را از دست بدهیم شیِ منقولی را از دست ندادهایم. بیشتر مواقع دچار اشتباه در محاسبه ارزش دارایی غیرمنقول میشویم. برای مثال هیچ فرمولی وجود ندارد که با آن بشود ارزش مکاتبات خود را محاسبه کنیم. ذهن عافیتطلب ما سریع به سراغ آخرین مکالمات ما میرود: چندین نامه از همکارم، درددل با دوستان، قبض خرید، تبلیغات و غیره. اما رایانامه (ایمیل) ممکن است حاوی سالها مکاتبات باشد که معمولا در محاسبه فراموش میشوند. نکته مهمتری که فراموش میکنیم مسئلهی ارتباط بین شناسههای مختلف است. برای درک بهتر موضوع شاید بد نباشد به مثال دزدیده شدن کیف پول برگردیم. در این مثال ممکن است که با سوءاستفاده از کارت شناسایی تخلفی صورت بگیرد. به علاوه ممکن است با استفاده از آن اقدام به دسترسی به داراییهای دیگر شود. برای مثال با استفاده از آن به بانک مراجعه شود و حساب شخص را خالی کنند. در مورد شناسههای آنلاین هم این قضیه صادق است. امکان گسترش هک رایانامه به دیگر شناسهها وجود دارد. اما خطر دیگری که با هک شدن رایانامه و شاید دیگر شناسهها کاربران را تهدید میکند، مسئلهی جعل هویت است. برای نمونه فرض کنید که من رایانامهای از یک دوست دریافت که درخواست کمک (مالی) دارد و بسیار مضطرب و گرفتار به نظر میرسد. من برای کمک به او هر کاری میکنم. غافل از این که دوست من هک شده است و اهمیتی برای این مسئله قائل نبوده است.
چگونه از هکشدن در بسترهای مختلف مجازی جلوگیری کنیم؟
هر کسی اطلاعات یا سند باارزشی دارد که امروز لاجرم در فضای مجازی است. هکشدن هر شناسه، بسته به ارزش آن، تبعات مختلفی دارد. فرض کنید که کسی اقدام به نگهداری کلیدهای کیف پول رمزارز (بیتکوین) خود در رایانامه کرده باشد. با این وجود امکان دزدیدهشدن آن وجود دارد. یا فرض کنید که اسناد محرمانهای، مکالمهای خصوصی یا عکسهای شخصی و خانوادگی در بین مکاتبات باشد. دسترسی هکرها به همهی این موارد با یک سهلانگاری اتفاق میافتد. راهکارهای بسیاری برای جلوگیری از هک وجود دارد. افراد از یک کد مشابه برای بیشتر حسابها و کارت بانکیشان استفاده میکنند. یعنی اگر رمز ایمیل کسی R@mz3_Ghav! باشد، این رمز برای هیچ شناسه دیگر نباید استفاده شود. چگونه اما برای هر حساب یک رمزی قوی و یکتا داشت و آن را به خاطر سپرد؟ سوال اساسیتر این که چه رمزی قوی است؟ رمز قوی باید حداقل ۱۲ حرف باشد. این رمز متشکل از عدد، حروف بزرگ و کوچک و علامت باشد. مهمتر از همه نباید قابل پیشبینی باشد. عدد سال تولد خود یا اعضای خانواده، نام فرزند، همسر یا دوست رمزهای قوی نیستند.
به خاطر سپردن رمزهای متعدد بسیار دشوار است. اگر بخواهیم همه رمزهایمان را به خاطر بسپاریم، باید یک فرمول داشته باشیم. برای مثال یک رمز پایه مانند R@mz3_Ghav! داشته باشیم. بسته به سرویسی که بر روی آن شناسه داریم، تغییراتی را در رمز اعمال کنیم. برای نمونه R@mz3_IG_Ghav! میتواند رمز اینستاگرام باشد و R@mz3_BM_Ghav! رمز بانک ملی. در روش دیگر میتوان نام سرویس را با اعمال تغییراتی به رمز بدل کنیم؛ تغییراتی مانند تبدیل a به @ یا تبدیل e به 3 و غیره. در انتها نیز برای قویتر شدن رمز، برعکس سال تولد را به آن اضافه کنیم. اینگونه برای شناسهی اینستاگرام چیزی شبیه به Inst@gr@m17 خواهیم داشت. هر کسی میتواند الگویی برای ساخت رمز درست کند. اما باید به خاطر داشته باشیم که اگر الگو شناسایی شود، همه رمزهای ما پیشبینی میشوند.
راههای مختلف نگهداری امن از رمزهای مختلفمان چیست؟
راهکار سادهتر برای نگهداری رمز، استفاده از ابزاری به نام «مدیریت رمز» (Password Manager) است. این ابزار مانند گاوصندوقی امن برای رمزهاست. برای دسترسی به محتویات آن کافی است «شاهکلید» داشته باشید. مهمترینهای ویژگی این ابزار، عدم نیاز به خاطر سپردن رمز تکتک شناسهها، تولید رمز یکتا و قوی، امکان استفاده در مرورگر و تلفن همراه و وارد کردن شناسه و رمز به صورت خودکار است. در صورت استفاده از این ابزار، تنها کافی است که یک رمز را به خاطر بسپارید. سپس به رمزهای دیگر دسترسی پیدا میکنید. KeePass، Bitwarden، LastPass چند نمونه از ابزارهای معروف برای مدیریت رمز هستند. پیش از استفاده از آن اما، مطمئن شوید که امکانات آن با نیاز شما سازگار باشد. برای نمونه KeePass برای حفظ امنیت و حریم خصوصی کاربرانش، امکان ذخیرهی رمزها را روی اینترنت نمیدهد. این موضوع با آسیب به گوشی یا رایانه، میتواند یک تهدید باشد. به علاوه همین ویژگی امکان به اشتراکگذاری رمزها بین دستگاههای مختلف مثل تلفن و مرورگر رایانه را مشکل میکند.
آیا با داشتن رمز قوی و یکتا، امنیت شناسههای ما حفظ میشود و در برابر هک مصون هستیم؟
خیر. داشتن رمز قوی مانند داشتن یک چرخ است. با یک چرخ نمیتوان یک ماشین ساخت. داشتن رمز قوی برای جلوگیری از هک شدن لازم هست اما کافی نیست. راهکارهای مختلفی را علاوهبر ایجاد رمز قوی باید به کار بگیریم تا از هک شدن جلوگیری کنیم. به چند مورد اشاره میکنم. از نرمافزارهای قفلشکسته و دزدی استفاده نکنیم. درست است که به خاطر تحریمها، مشکلات اقتصادی و البته فرهنگی، خرید محصول اصلی سخت و گاهی ناممکن است. اما میتوانیم از ابزار جایگزین رایگان استفاده کنیم. برای مثال به جای مایکروسافت آفیس از «اپن آفیس» یا «لیبره آفیس» استفاده کنیم. این دو برنامه، جایگزین رایگان، آزاد و خوبی برای نگارش است. با کمی جستوجو نرمافزارهای مشابه با این ویژگیها را مییابیم. نکته مهم دیگر عدم اعتماد به فضای مجازی است. بسیاری از کاربران در شبکههای اجتماعی به بیان خصوصیترین مسائل خود میپردازند. باید در نظر داشته باشند که این فضا، جهانی است. همهی خوانندگان مطالب شما اهداف خوبی ندارند. حواسمان به اطلاعاتی که با دیگران به اشتراک میگذاریم باشد. به جزئیاتی که همراه با عکس و تصاویر منتشر میکنیم هم توجه کنیم. شمارهی تلفن، شماره حساب، عکس کارت شناسایی، پلاک خودرو همه اینها مهم هستند. روی هر پیوندی (لینک) کلیک نکنیم. در واقع بهترین کار این است که پیش از باز کردن هر سایت یا پیوستهای رایانامه، از امنیت آن مطمئن شویم. نسبت به درخواستهای عجیب، مشکوک باشیم. برای مثال اگر دوستی درخواست وجه کرد حتما با او تماس تلفنی بگیریم و ضمن ابراز همدردی صحت آن را جویا شویم. خاطرمان باشد که فضای مجازی چیزی را فراموش نمیکند. اگر چیزی منتشر شد، امکان نابود کردن آن کم است. پس پیش از آن که اسراری را در مورد خود فاش کنید یا عکسی از خود (حتی در گفتوگوی خصوصی) منتشر کنید، به عواقب آن بیندیشید. هیچ چیزی در فضای مجازی مجانی نیست. پس نسبت به پیشنهادهای مجانی بدبین باشید. رمزهای خود را به صورت دورهای عوض کنید. مشخصات امنیتی شناسههای خود را (شماره تلفن، تاریخ تولد، سوالهای امنیتی، رایانامه برای بازیابی و غیره) را به صورت دورهای بررسی کنید و از صحت آنها مطمئن شوید. ابزارهای امنیتی داشته باشید. ضد بدافزار، ضد ویروس و دیوار آتش (فایروال). البته مطمئن شوید که این ابزار دزدی یا قفلشکسته نیستند. سیستمعامل و نرمافزارهای خود را بهروز نگه دارید. و در آخر ابزارهای امنیتی خود را مرتب به روز کنید. برای این کار مهم است که از ابزارهایی استفاده کنید که امکان بهروز شدن داشته باشند. برای همین پیشنهاد میکنم که ابزار رایگان (به جای قفلشکسته و دزدی) استفاده کنید که هنگام بهروز کردن دچار وقفه نشود.
ایمیل یکی از مهمترین راههای انتقال اطلاعات مهم، به خصوص در سازمانهای رسمی است. «فیشینگ» چیست؟ چگونه هکرها از این راه میتوانند به اطلاعات دسترسی پیدا کنند؟
«فیشینگ» (Phishing) شکل تغییر یافته کلمهی Fishing است. فیشینگ بخشی از مبحثی بزرگتر به نام «مهندسی اجتماعی» است. هکر در این روش تلاش میکند با ترفندی اطلاعات به خصوصی را اخذ کند. هکر در فیشنیگ به شکل خاص به دنبال اطلاعاتی مثل رمز، شناسه، کد امنیتی، شماره حساب، رمز بانک است. انگیزهی این کار دزدی مالی، به دست آوردن اطلاعات محرمانه، باجگیری و غیره میتواند باشد. برای مثال فرض کنید که پیامکی دریافت کردهاید که شما یک تبلت در دیجیکالا برنده شدهاید. برای رسیدگی به آن باید روی پیوند کلیک کنید. وقتی روی آن کلیک میکنید از شما مشخصاتتان (نام، کد ملی، تلفن و رایانامه) را میخواهد. سپس از شما تقاضا میکند که مبلغ هزارتومان وجه را واریز کنید تا جزئیات جایزهتان را به شما نشان دهد. هزار تومان مبلغ زیادی نیست اما شما در صفحهای قرار دارید که بسیار شبیه به صفحهی فروشگاه دیجیکالا است. شما که قصد پرداخت هزار تومان را دارید. مبلغی که از حساب شما کم میشود اما صد هزار توامن است. این مدل هک ممکن است از طریق ایمیل، شبکههای اجتماعی یا پیامرسانها اتفاق بیفتد.
پلیس فتا به تازگی پیامی را برای دارندگان تلفن همراه ارسال کرده است. در متن پیام ذکر شده که پیامکهای با مضمون شکایت قضایی و درخواست واکسن و غیره، صحت ندارد. یک پیامک جعلی را چگونه میتوان تشخیص داد؟
با دقت به متن آن توجه کنید. آیا متن یک نوشته معقول است؟ آیا درخواست عجیبی از شما شده است؟ آیا شما باید مخاطب آن باشید؟ مهمتر از همه به پیوندی که برای شما فرستاده شده دقت کنید. مثلا اگر بناست به تارنمای قوهی قضاییه بروید، آیا پیوندی که برای شما نمایش داده شده، شبیه به پیوند قوه قضاییه است؟ اگر مطمئن نیستید یک صفحه در مرورگر خود باز کنید. تارنمای قوهی قضاییه را جستوجو کنید. بعد آن دو را با هم مقایسه کنید. اگر قصد دارید که روی پیوندی کلیک کنید اما از امنیت آن مطمئن نیستید آن را کپی کرده و در موتور جستوجو گوگل بگذارید. نکته مهم دیگر این است که در اغلب حملههای فیشینگ، هکر نام مخاطبان خود را نمیداند. به همین دلیل با استفاده از الفاظی چون «مخاطب عزیز»، «دارندهی شناسهی [رایانامه یا شماره تلفن]» و غیره استفاده میکند. اما بانک، مراجع قضایی، پلیس و غیره مشخصات شما را دارند و معمولا برای جلب اطمینان از نام خودتان در پیام استفاده میکنند. حتما بررسی کنید که کس دیگری هم چنین پیامی دریافت کرده است؟ میتوانید یک پله جلوتر بروید. لینک را در پایگاه بررسی امنیتی کنترل کنید. سایتهایی مانند VirusTotal و VoidIP و PhishTank این امکان را برای شما فراهم میکنند.
برخی کاربران از هک شدن حسابهایشان در اپلیکیشنهایی مانند اینستاگرام و واتساَپ خبر دادهاند. شرکت فیسبوک (مالک این دو اَپ) اما مدعی است که کاربران امنیت بالایی دارند. آیا این دو اپلیکیشن پرطرفدار به آسانی هک میشود؟
امنیت یک امر مطلق نیست که با فشردن یک دکمه تامین شود. باید در نظر داشته باشیم که هیچ فضایی به طور مطلق امن نیست. امنیت به حریم خصوصی گره خورده است. نمیتوان یکی را زیر پا گذاشت و انتظار تامین دیگری را داشت. در مورد شرکت فیسبوک نیز این مسئله صادق است. فیسبوک امنیت قابل قبولی دارد اما حریم خصوصی کاربران را رعایت نمیکند. این دو به هم گره خوردهاند. یعنی واتساپ شما هک نمیشود اما ممکن است اطلاعات آن (با حفظ ناشناسی) به فروش گذاشته شود. در این حالت تغییر مهمی از نظر امنیتی رخ نداده است. واتساپ و اینستاگرام نیز همان رویههای پیشین امنیتی را دنبال میکنند. فیسبوک اعلام کرده است که از این به بعد اطلاعات کاربران واتساپ را میفروشد. یعنی اگر شما در مکالمات (صوتی یا منتی) خود، نیاز به یک وسیله را اعلام کنید، تعجب نکنید که چند دقیقه بعد تمام تبلیغهای اینستاگرام شما تبدیل به آن محصول شود.
سایتهای سازمانهای مختلف دولتی و خصوصی کشور در چه سطحی از امنیت سایبری قرار دارند؟ اطلاعات کاربران و استفادهکنندگان از آن به خوبی حفظ میشود؟
امنیت اغلب سایتها کم و در سطح ابتدایی است. همین موضوع امکان حملات سایبری و دسترسی به اطلاعات کاربران را فراهم میکند.
به نظر شما امنیت کم سایتهای مختلف دولتی به بروکراسی کاغذی ارتباطی دارد؟ اغلب سایتهای دولتی فقط بخش کوچکی از خدمات را ارائه میدهند. مراجعهکننده برای دریافت خدمات بیشتر باید حضوری به ادارات مراجعه کند. درواقع به سایتها توجه کافی نمیشود. برخی مدتهاست که حتی بهروزرسانی هم نشدهاند.
خیر. همه دولتهای دنیا درگیر مسئله بروکراسی هستند. به تعبیری مثبت، بروکراسی یعنی نظم و قانون اما تعبیر منفی هم دارد. یکی از تعابیر منفی آن فساد و عدم شفافیت است. نظام اداری کشور ما با آن دست و پنجه نرم میکند. دولتها برای کاهش هزینه، افزایش سرعت و کیفیت خدمات، آن را برخط (آنلاین) ارائه میدهند. تا چندی پیش لازم بود که برای انتقال وجه به یکی از شعب بانک مراجعه کنید. برای یک پرداخت ساده، مشکلات محیط زیستی، افزایش ترافیک، شلوغی و هزینه برای بانک و فرد و در نهایت دولت وجود داشت. امروز اما انتقال با چند کلیک و اینترنتی انجام میشود. این کار خطراتی هم دارد. مهمترین آن مشکل امنیتی است. دولت، شرکتهای خدماتدهنده و خدماتگیرندگان (مشتریان) باید مسائل امنیتی را تامین و رعایت کنند. خدماترسانی برخط و به طبع آن فرهنگ استفاده از آن در کشور ما نو ظهور است. ما هنوز به آن عادت نداریم. دائم آن را با شکل قدیمی آن مقایسه میکنیم. در حالی که ما داریم از بستری استفاده میکنیم که واقعا امن نیست. برای همین باید هر سه دستهای که پیشتر گفتم توان و دانش و امکانات خود را بالا ببرند.
کاربران زمان زیادی را در فضای مجازی صرف گفتوگو و تبادل اطلاعات شخصی میکنند. چگونه گفتوگوی امنی در اپلیکیشنهای مختلف داشته باشیم؟
ما روزانه اطلاعات زیادی را در اپلیکیشنهای مخصوص گفتوگو ردوبدل میکنیم. از رمز ایمیلمان گرفته تا عکسی که برای دوستمان میفرستیم. اگر از این اطلاعات به هر دلیلی سواستفاده شود، به دردسر میفتیم. در گفتوگو با کسانی که شناخت کمتری از آنها داریم، باید محتاطتر باشیم. قبل از ارسال هر پیام، به خصوص عکس و ویدئو، محتوا را بررسی کنیم. این عکس در آینده ممکن است به موقعیت شغلی یا زندگی شخصی من آسیبی بزند؟ با ارسال این چه اطلاعاتی از محیط را به او منتقل میکنم؟ به حریم خصوصی و نظر دیگران هم توجه کنید. معمولا عکسهایی که در فضای مجازی به اشتراک گذاشته میشود، دسته جمعی است. باید از رضایت تک افراد حاضر در عکس مطمئن باشید. شاید انتشار این عکس شرایط آنها را تحت تاثیر قرار دهد. در ارسال عکسهای شخصی حتی به معشوقتان هم جانب احتیاط را رعایت کنید. بسیاری از سواستفادهها از اطلاعات شخصی افراد پس از ناکامی در یک رابطه اتفاق میفتد. درحال حاضر بسیاری از اپلیکیشنها گزینه گفتوگوی امن را اضافه کردهاند. حتما از این گزینهها استفاده کنیم. اگر مقدور هست گفتوگو ها را زنده و تلفنی یا تصویری انجام دهید. در این حالت اطلاعاتی ذخیره نمیشود.
روزنامه صبح ساحل