درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات مطلب
      مدرس/نویسنده
      مصطفی خادمی اسلام
      امتیاز: 5735
      رتبه:283
      0
      33
      13
      97
      مصطفی خادمی اسلام، کارشناس فناوری اطلاعات و فعال در زمینه شبکه و سیستم های متن باز مدرس لینوکس و اسکریپت نویسی در bash پروفایل کاربر

      امنیت شبکه های اجتماعی (قسمت اول)

      تاریخ 22 ماه قبل
      نظرات 4
      بازدیدها 1105
      سلام دوستان
      امروز میخوایم ببینیم یک هکر چجوری حساب ما توی شبکه های اجتماعی رو هک میکنه و ما چه کارهایی باید بکنیم که این اتفاق نیفته.
      بحث ما شبکه های اجتماعی ای هست که شما توسط یک Browser به اونا وصل میشید نه چیزی مثل تلگرام یا واتس آپ، البته شاید در یکسری از انواع حملات یکی باشن ولی بعضی از حملات هم متفاوت هست.
      قبلا درباره امنیت در شبکه های اجتماعی مانند تلگرام در یک مقاله پرداختیم و الان هم میخوایم درباره حساب هایی مثل فیسبوک یا لینکد این صحبت کنیم.
      هر روز درباره هک میشنویم، یاهو هک میشه گوگل هک میشه حتی شرکت های امنیتی هک میشن. در بیشتر اوقات یک هکر این کار ها رو نمیکنه و یک گروه از هکر های بزرگ با روش های بسیار پیشرفته و گاهی کشف نشده این شرکت ها رو هک میکنن. اگر شما هم حسابتون تو این شرکت ها باشه خب نمیتونید کاری انجام بدید چون دیتابیس این شرکت هک شده.
      حالا بیایم سر بحث اصلی خودمون که روش کنترل داریم. همه شرکت هایی که حساب کاربری برای ما درست میکنن نسبت به امنیتی که مدنظرشون هست به ما پیشنهاد های امنیتی ای میدن که اگر اونا رو رعایت نکنیم ممکنه به راحتی حتی یکی از دوستان خودمون هم ما رو هک بکنه.


      حالا با چه روشی هایی ما هک میشیم؟

      اولین مورد هک شدن با روشی به نام Phishing هست.
      خب هکر در این روش چیکار میکنه؟
      در این روش یک هکر یا با استفاده از برنامه هایی مثل Beef که در کالی هم هست میاد صفحه ورود سایت مورد نظر رو انتخاب و دانلود میکنه و اون رو روی سروری قرار میده یا اینکه خودش کد ها رو در میاره که این بستگی به کیفیت کار و علم هکرمون داره. حالا با یه مقدار کد زنی یا استفاده از همون برنامه ها کار های دیگه ای میکنه. در مرحله اول به برنامه میگه که به طور مثال وقتی فونیکس حساب کاربری و رمز رو زد به من ایمیل کن یا میگه به فلان سرور بفرست و در مرحله دوم برای اینکه شما رو گول بزنه که حتی روحتون هم خبردار نشه که هک شدید شما رو redirect میکنه به همون صفحه اصلی.
      حالا چه اتفاقی میفته؟
      یه ایمیل فیک میسازه به شما یک ایمیل میده به انگلیسی که فونیکس عزیز شما مشکل امنیتی داری بدو بیا رمزت رو عوض کن و یه لینک هم میده که لینک اون صفحه ساختگی هست. شما وارد میشی و میبینی بله سایت فیسبوک اومد بالا و میگه حالا یوزر و پست رو بزن و شما هم میزنی، حالا چی میشه؟ شما میری به صفحه اصلی فیسبوک با همون قابلیت redirect ای که هکرمون گذاشته بوده و پیش خودت فکر میکنی که خب صفحه یک بار reload شده و دوباره یوزر پس رو تو سایت اصلی میزنی و وارد میشی و اصلا متوجه نمیشی که شما یوزر و پست رو به راحتی دادی به هکرمون :)
      خب حالا راهکار چیه؟
      اولا که گول هیچگونه ایمیل و پیامی رو نخورید. اگر فیسبوک بخواد خبری به شما بده حتما تو اکانت خودتون ذکر میکنه نه با ایمیلتون و راه دوم هم یک نگاه ساده به url ای هست که دارید توش رمزتون رو میزنید. شکل غیر عادی ای از url رو دیدید شک کنید، تاکید میکنم هر شکلی رو چون راهکارهای عجیبی هست که واقعا url رو شبیه چیزی میکن که شما گول بخورید پس وقتی میخواید وارد فیسبوک بشید فقط url خود فیسبوک رو بزنید و اگر اسمی شبیه بود شک کنید.



      حالا بریم سراغ راه دوم که پسورد های ذخیره شده تو مرورگر ماست
      این یکی از خطرناک ترین راه ها هست. شاید هرکسی نتونه استفاده بکنه از این راه چون باید به دستگاه شما دسترسی داشته باشه ولی مشکل از جایی شروع میشه که حتی دوستان و آشنایان ما برای شوخی هم که شده میخوان این کار رو بکنن و حتی اگر دوست و آشنا نباشه کافیه یک مقدار با مهندسی اجتماعی بیاد جلو.
      چند بار در روز دوستانتون یا اطرافیانتون توی محل کار یا دانشگاه میگن که فلانی یک لحظه لپ تاپت رو بده تا یچیزی بریزم رو فلشم یا اطلاعات فلش رو بریزم رو هاردم یا خیلی چیزای دیگه؟ خب شما یا نباید لپ تاپتون رو به کسی بدید که نمیشه :) یا اینکه اطلاعاتتون میره رو هوا.
      چجوری؟
      خب یکسری برنامه هست که یک مقدار تاریک هستن :) یعنی اینکه هرکسی نمیشناستشون و تو هر جایی گیر نمیاد و حتی تو کالی یا جاهای دیگه هم نیست ولی کاربری خیلی آسونی دارن، این یعنی چی؟ یعنی نیاز نیست نصب بشن و به صورت پورتابل میان بالا و دستورات خاصی ندارن و فقط علم استفادشون رو میخواد هکرمون و اینکه بتونه برنامه رو پیدا کنه.
      خب فلش رو نصب میکنه به دستگاه ما و ما هم که از همه جا بیخبر به حرف زدنمون با یقیه ادامه میدیم، هکر عزیز cmd رو باز میکنه و برنامه رو اجرا میکنه ( چون فقط از cmd قابل اجرا هست ) و به محض اجرا برنامه میره داخل فایلی که رمز مرورگر اونجا ذخیره میشه و تمام رمز ها رو میکشه بیرون. شاید باورش سخت باشه که بگم خیلی وقت ها این برنامه روی لپ تاپ ادمین سایت ها باز شده و حساب کاربری سایتشون در اومده یا حساب ورود مدیران و استاد ها در دانشگاه ها یا جاهای دیگه و خیلی خطرناک تر ( به قول مهران مدیری دیدم که میگم:) ) حساب شبکه اجتماعی شما هم تو همینجا ذخیره میشه و به راهتی هک میشید و روحتون هم خبر نداره و حتی اگر شکایتی هم صورت بگیره هیچ کاری نمیشه کرد چون پلیس در نهایت در رجیستری دستگاه شما میرسه به این برنامه ولی اینکه کی این برنامه رو اجرا کرده رو هیچکس نمیفهمه چون شما در روز به خیلیا لپ تاپ میدید.

      حالا چیکار کنیم که این اتفاق نیفته؟
      یک مقدار به خودمون سختی میدیم و هر حساب کاربری ای که باهاش وارد میشیم رو نمیدیم مرورگر ذخیره کنه و لحظه ای که میپرسه ذخیره کنم شما میگی زحمت نکش خودم هروقت خواستم بیام تو حسابم یوزر و پس رو میزنم :)



      خب تو قسکت سوم میریم سراغ هک حساب ایمیل شما
      نصف این بحث میشه همون هک شدن خود سایت که کاری از دستمون بر نمیاد (مثلا خود گوگل هک بشه) و نصف دیگش دست ماس. میتونیم با گذاشتن پسورد سخت از ورود اجباری هکر جلوگیری بکنیم و دو مورد بالا رو هم رعایت بکنیم که ایمیلتنون هک نشه




      قسمت بعدی درباره یکی از روش های مهندسی اجتماعی هست با نام Masked Passwords
      خب تو این از راه های ساده داریم تا راه های پیچیده ( توجه داشته باشید برای هک نیازی نیست حتما خدای کامپیوتر و کالی باشیم همونطور که بزرگ ترین هکر تاریخ و ابداع کننده کلمه مهندسی اجتماعی آقای kevin mitnick رو همه با مهندسی اجتماعی میشناسن) شما تو این قسمت نیاز به کامپیوتر ندارید و خودتونید و وسایل دیگه به هر شکلی که رمز رو ببینید. ساده ترین شکل دیدن پسورد با چشم هست که مثلا شما رمز رو میزنید و دوستتون میبینه حالا یکم پیچیده تر زمانی هست که هکر شما رو به جایی میبره که دوربین های مخفی داره که همه جا میفروشن مثل دوربین در خودکار یا دوربین های جیبی یا حتی مثلا تو شرکتی که دوربین مدار بسته داره یا تو راهی که شاید خنده دار باشه ولی خیلیا استفاده میکنن استفاده از فسفر هست :) مثل فیلم ها
      مثلا هکر ما به شما ماژیکی میده یا کتاب یا هرچیزی که روش فسفر زده شما اون رو لمس میکنید و بعد با دستگاه وارد حساب میشید، حالا کافیه دستگاه برای خود هکر باشه و بعد از این کار سر شما رو به کار دیگه ای مشغول کنه، حالا کافیه با چراغی که فسفر رو میتونه ببینه کلید ها رو بررسی کنه و ببینه مثلا شما روی دکمه های f r i m n a e کلیک کردید و حالا با ترکیب های مختلف امتحان میکنه تا به رمز شما که fireman بوده میرسه (شاید کمی پلیسی به نظر بیاد ولی حواستون باشه بعضی وقت ها هک حساب های کاربری خیلی ارزش داره برای یک هکر بسته به شخص مورد نظر).


      خب امیدوارم این قسمت مفید بوده باشه
      چند مورد دیگه هم هست که فردا بررسی میکنیم و نمیخوام یک مقاله اونقدر طولانی بشه که خوندنش حوصله آدم رو سر ببره
      شاد و پیروز باشید
      Phone-X
      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      • این برنامه ها که فرمودید برای پسورد رو از مرورگر میکشه بیرون چی هست؟
      • متاسفانه آموزش هک ممنوعه تو سایت
      • البته اگر هم آزاد بود فرستادنش کار درستی نبود چون ممکنه سو استفاده بشه و در آخر برای آدم دردسر ساز میشه
      • اگر خودتون بگردید و پیدا کنید بهتره به نظرم

      برای ارسال نظر ابتدا به سایت وارد شوید

      arrow