المعلوماتية > عام
أشهر طرق الحصول على كلمات سر لحسابات في شبكات التواصل الاجتماعي
كثيراً ما نسمع عن اختراق الحسابات في شبكات التواصل الاجتماعي، فما صحة الطرق التي تذكر؟ وهل يجب الخوف والحذر الدائم منها؟
لنبدأ باستعراض أشهر الطرق:
Phishing:
نظريــًّا :
الكلمة نفسها تعبِّر عن الحصول على معلوماتٍ مهمَّة: كاسم المستخدم، أو كلمة المرور مثلًا، أو معلوماتٍ عن الحساب البنكي عن طريق الظهور كجهةٍ موثوقة (انتحال شخصيّةِ جهةٍ موثوقة).
الجهة الموثوقة التي تُنتَحَل هي موقع الشبكة الاجتماعيّة مثلًا في حال اختراق حسابٍ ما على موقع شبكةٍ اجتماعيّة، وقد تكون موقع بنكٍ ما في حال محاولة اختراق حساباتٍ بنكيَّة، وهكذا..
عمليــًّا:
تُرسَل روابط لمواقع تنتحل الجهة الموثوقة ضمن رسائلٍ تدفع المستخدم لفتحها، كالرسالة الآتية:
"لديك رسالةٌ مهمة على حسابك على موقع الفيس بوك، الرجاء الدخول هنا والرد عليها بأسرع وقتٍ ممكن".
الهدف هنا هو شغل المستخدم بفكرة أنَّ الرسالة مستعجلة ومهمَّة أولاً، ومحاولة إحساسه بأنّ الموضوع طبيعي جدًا ثانيًا، وبالتالي جعله يضغط على "هنا".
’’هنا’’ هي الرابط الذي يحمل الجهة التي تحاول الظهور كموقع الفيس بوك، ثمّ ما إن تفتح هذا الرابط حتى تجد أمامك موقعاً يشبه تمامًا موقع الفيس بوك بالشكل، وما عليك إلا أن تضع اسم المستخدم وكلمة المرور حتى يكون حسابك قد اختُرِق وبذلك تكون قد سلَّمتهم تفاصيل حسابك بيدك.
انتشر مثلاً في فترة بعيدة نسبيًّا (الفترة التي انتشر فيها برنامج المحادثة الخاص ببريد هوتميل MSN Messenger)، إذ وصل لكثير من المستخدمين رسالة بمحتوى شبيه بالآتي:
’’شكراً لثقتك بنا واستخدامك بريدنا، لقد أُرسِل هدية لك من شركة هوتميل، اذهب إلى الصفحة الرئيسة من هنا، وأرسل لنا طريقة إيصالها لك".
ثمَّ كانت الرسالة تحوي أيضًا ترجمة للنص السابق لكي توحي بالثقة، والرابط كان لصفحةٍ تشبه تماماً واجهة تسجيل الدخول لموقع هوتميل، حتَّى إنَّ الرابط كان مشابها، فقد كان رابط الصفحة: WWW.H0TMAIL.COM، وما لم ينتبه إليه الكثيرون أنَّ الحرف الثاني هو الرقم صفر "0"، وليس حرف “O”.
الحل:
الانتباه إلى الرابط الذي تستخدمه في حال طُلِبَ وضع اسم المستخدم وكلمة المرور التي تخصُّك.
Keyloggers / RATs:
نظريّاً:
الـKeylogger أداة مراقبة على نحوٍ عام، كانت تُستخدم لمعرفة ما إذا كان الموظفون يستخدمون أجهزة العمل للعمل فقط، أم كانوا يستخدمونها لأغراضٍ أخرى، ولكنَّ هذه الأداة استُغِلت من قبل المخترقين.
الفكرة تعتمد على الوصول لجهاز الضحيّة، وهذا الوصول يكون فعالًا على نحوٍ محدود في حال كان الوصول عن بعد Remote، ويكون فعالًا على نحوٍ أكبر في حال كان الوصول فيزيائيًّا (أي إن كانت الأداة موجودةً على جهاز الضحيّة).
بعد تنصيب الـ Keylogger على جهاز الضحيّة، تراقب هذه الأداة الأزرار وتحفظ كل الأزرار التي يُضغط عليها في لوحة المفاتيح، ومن ثمّ تُرسَل هذه الأزرار إلى جهةٍ حدَّدها المخترق (إذ يحدد المخترق بنفسه الجهة التي أُرسِلت التفاصيل إليها، وتكون هي جهاز المخترق نفسه غالباً).
عمليّاً:
يُرسَل ملف ما يحتوي الـ Keylogger لكن غالبًا ما يكون مموَّهاً (أي باسم ملف صورة مثلاً)، ويشغله المستخدم بنفسه غالباً (إلا في حال وجود تحكُّم عن بعد من قبل المخترق بجهاز الضحيّة).
ومثال على ذلك، فقد انتشر مؤخَّراً ملف CuteCatPicture، ويبدو الاسم أنه صورة قطّة ظريفة، لكنَّ الملف كان ملفًّا تنفيذيًّا (exe) يحوي الأدوات التي يريد المخترق تنصيبها ولم يكن صورة.
الحل:
أخذ الحيطة في التعامل مع الملفّات التي تُحمَّل من شبكة الإنترنت، وخاصَّة الواردة من جهة غير معلومة (حتَّى وإن كانت الجهة هي طرف اتصال لديك، فهذا لا يمنع القليل من الحذر، فقد يكون حساب تلك الجهة مخترقًا ويرسل المخترق هذا الملف إليك بالنيابة عن صاحب الحساب).
البريد الإلكتروني الرئيسي:
نظريّاً وعمليّاً:
بالنسبة للمخترقين فهذه طريقة واضحة، وتعتمد على اختراق بريدك الإلكتروني الرئيسي في موقع الفيس بوك (البريد الإلكتروني الذي تستخدمه للدخول إلى حساب الفيس بوك الخاص بك). بعد اختراق البريد الإلكتروني الأساسي تصبح عمليَّة اختراق حسابك سهلة جداً على كل المخترقين، فيمكن استخدام خدعة "نسيت كلمة المرورForgot Password" لتغيير كلمة السر باستخدام البريد الأساسي.
الحل:
حماية البريد الإلكتروني واجبة، بل وعمليَّة أساسيَّة لتأمين حسابك على مواقع التواصل الاجتماعي.
الهندسة الاجتماعيَّة:
نظرياً:
إن الدراسة الاجتماعية لحساب شخص ما، أو معرفة مجتمعه تمامًا، قد تؤدِّي إلى الوصول لكلمة السر. هذا لا يتضمن سحراً أو معرفة بالغيب، بل محاولة التخمين استناداً إلى الاحتمالات الواردة.
عمليّاً:
في حالات كثيرة يُتوصَّل إلى معلومات مهمّة لشخص ما عبر دراسته اجتماعيًّا بعمق للوصول إلى المطلوب، ففي كثير من الأفلام نجد أن معرفة الضحية معرفة تامَّة قد تسمح بالتخمين السليم لكلمة السر (بغض النظر عن المبالغات التي تجري في الأفلام، لكن كثيراً من الآباء تكون كلمة سرّهم غالباً تاريخ ميلاد أحد أولادهم مثلا).
بمعرفتنا لمجتمعنا الحالي، يمكننا القول إن هناك قاعدة تقول إن كلمة السر هي رقم الهاتف النَّقال لصاحب الحساب، رقم هاتفه الثَّابت أو رقم أحد أفراد عائلته على أبعد تقدير. للأسف فهذه القاعدة تنطبق على كثير من المستخدمين، وقد يدرك المخترق أن القاعدة هذه تنطبق عليهم بمجرَّد الاحتكاك الاجتماعي البسيط معهم.
لتعرف أكثر عن كلمات السر اقرأ هذه المقالة من الباحثين السوريين:
الحل:
إن كلمة السرّ يجب أن تكون شيئاً لا تنساه بسهولة، وفي الوقت نفسه يجب أن يكون أمرًا يصعب توقُّعه كثيراً. فكلمة سر مثل رقم جوَّالك لن تنساها أبدًا، لكنَّها سهلة التوقّع. وكلمة سر مثل: "trysomethingyoucanremember1253" صعبة جداً، لكن تذكّرها صعب أيضا، والاختيار الموفَّق هو ما يحقّق التوازن المعقول بين:
* سهولة الحفظ
* صعوبة التوقّع
خاتمة:
باستعراض الطرق السابقة نجد أن المستخدم نفسه هو المُلام غالباً، فبطريقة أو بأخرى هو مَن سمح بالوصول للمخترق لحسابه.
يجب التنويه في النِّهاية إلى أنَّ الإشاعات الكثيرة كتلك التي تقول إن الضغط على رابط ما يؤدِّي لاختراق حسابك لا أساسَ لها من الصِّحَّة، وتذكّر أنَّ كل من اختُرِقَ حسابه قد أجرى "غالباً" خطوة جعلت منه فريسة سهلة للاختراق.
المصدر:هنا