الاختراق كلمة تحتوي في طياتها الكثير من المعاني ويتم استعمالها في العديد من المجالات في حياتنا اليومية، ولكن ما سوف نركز عليه في هذا المقال هو كيف يتم إختراق شركات الصغرى والكبرى في بعض الأحيان عن طريق معرفة المسؤول الرئيسي على الأنظمة في تلك الشركة وكذلك سوف نتطرق لطريقة التي يحصل بها بعض الأشخاص على حسابات Netflix و Hulu و Vpn Nord … وقائمة طويلة وينشرونها في العديد من الأماكن ربما سبق وشاهدتها او استعملتها.
وكذلك سوف نشرح طريقة حماية نفسك من تعرض للاختراق بسبب بعض الأخطاء الحمقاء التي يقع بها الكثير من الناس وتؤدي إلى اختراقهم
إخلاء المسؤولية : هذا المقال هدفه الرئيس مساعدتك على حماية نفسك وليس تعليمك أي شيء بخصوص الاختراق
سوف اطلب منك أمر واحد قم بقراءة المقال إلى آخر حرف فهو أهم من vlogs او فيديوهات المضحكة التي تشاهدها وكذلك أهم من ردك على رسائل صديق في المسنجر
يتم إختراق أغلب الشركات بسبب غباء الأشخاص الذين يعملون بها
لنأخذ على سبيل مثال موقع إسمه HorseCanFly، ونريد إختراقه
سوف نقوم بالبحث عن مسؤول الرئيسي على الأنظمة في تلك الشركة نعرف إسمه نقوم بالبحث وجمع معلومات عنه في الشبكات الاجتماعية، ونركز على اسم المستعمل الخاص به login في Gmail أو Hotmail وكذلك في Twitter و Facebook وأي شبكة إجتماعية يوجد بها وكذلك تواريخ الازدياد خاص به أو بأولاده وتاريخ زواجه البعض ينشر منشورات بهذا خصوص .
إذا كان يستعمل نفس login في جميع الشبكات فهذا أمر جيد
والآن ننتقل للمرحلة المهمة وهي البحث عنه في قواعد البيانات المسروقة!
قواعد البيانات المسروقة أو المخترقة : هي قواعد بيانات خاصة بشركات كبرى تعرضت للإختراق، كـ Dropbox أو Zynga أو Taringa أو Canva… إلخ
وعند بحثك عنه قد تجده يستعمل نفس كلمة السر في جميع المواقع التي يستعملها أو يتبع تسلسل في كتابة كلمة سر وسوف تجده في الغالب يستعمل نفس كلمة السر واسم المستعمل في أنظمة الشركة التي يعمل بها
إذا لم تفهم ماسبق سوف اقوم بشرحه لك بطريقة اخرى
عندما تسمع على سبيل المثال أن موقع canva تم إختراقه وسحب بيانات الآف المستعلمين، فقد تقول مع نفسك لا يهمني فأنا ليس لدي بيانات مهمة في ذلك الموقع او تسمع كلام صديقك الغبي الذي يقول لك معلوماتنا ليس لها قيمة او شيء من هذا القبيل وتصدقه فاعلم انك غبي مثله.
لماذا أقول انك غبي إذا كنت تظن أن معلوماتك ليس لها قيمة ؟
لأنه حتى وإذا كان موقع لا يهمك او لا تظن ان معلوماتك مهمة، فقد تكون قد أخطأت وأنشأت حسب على ذلك الموقع بالإيميل الرئيسي الخاص بك وكذلك بنفس كلمة السر التي تستعملها فجميع المواقع وبالتالي الشخص الذي سرق معلومات ذلك الموقع يستطيع الدخول عليه وسحب أي شيء مربوط بذلك الايميل او يقوم بتجربة الايميل وكلمة سر في مواقع كـ Netflix و Nordvpn و Hulu و Ebay إلخ، وهذا مايسميه بعض الاشخاص تكريك الحسابات.
إذا كنت تظن ان الاشخاص الذين يشاركون حسابات نتفلكس بكلمات سر يخترقون نتفلكس نفسها، فأنت على خطأ واتمنى ان تكون الفكرة قد وصلت لدماغك
سبق واخذت حساب تم نشره في فيسبوك خاص بأحد المواقع المعروفة وجربته في موقع في نفس المجال الخاص به وتمكنت من دخول على ذلك الموقع لان صاحبه مشترك فذلك الموقع ويستعمل نفس كلمة السر!!!
يوجد العديد من المواقع المتخصصة في جمع قواعد البيانات و ترتيبها وتعطيك إمكانية البحث فيها بمقابل مادي.
موقع weleakinfo كان به عدد جيد من قواعد البيانات، وكذلك ثمن مناسب والدفع بالبيتكوين، لكن صاحب الموقع تعرض للاعتقال في يناير 2020، ألماني الجنسية لديه 22 سنة، تهمة عدم امتلاك حق قانوني لبيع تلك المعلومات، رغم توفرها بالمجان في الانترنت للعموم، كان الموقع يتوفر تقريبا على 12 مليار كلمة مرور خاصة بمواقع وتطبيقات مشهورة كـ LinkedIn و MyFitnessPal...إلخ
يوجد كذلك موقع amibreached.com، يوجد به العديد من كلمات المرور المسربة في الديب ويب، ويعطيك معلومات حول إيميلك إذا ما تم تسريبه وما اسم الموقع الذي تسرب منه والمزيد من المعلومات ولكنه مدفوع لديه نوعان من Pack الاول ب5 دولار وثاني ب 25 دولار، دفع عن طريق بطاقة البنكية
توجد مواقع مجانية لمعرفة هل تم تسريب الايميل الخاص بك ولكنها لا تعطي معلومات كثيرة حول تسريب :
موقع Haveibeenpwned من المواقع المعروفة يمكن البحث بالايميل وكذلك يوجد خيار في الاعلى الموقع من أجل البحث بكلمة سر هل تم تسريبها في مكان ما
كذلك توجد هذه الإضافة الخاصة بجوجل كروم
https://chrome.google.com/webstore/detail/password-checkup-extensio/pncabnpcffmalkkjpajodfhijclecjno
قد تستعمل هاته الموقع ولا تجد انه تم تسريب الايميل الخاص بك ولكن يجب ان تعرف، أنه قد يكون الايميل والباسورد الخاص بك تم تسريبها ولكن المواقع التي فوق لا تعرف عنها شيء حتى الآن
كيف تحمي نفسك عندما تجد انه تم تسريب كلمة السر الخاصة بك أو حتى في حالة عدم تسريب الباسورد الخاص بك
إذا وجدة انه تم تسريب كلمة سر الخاصة بك قم بتغيير كلمة السر في جميع المواقع التي تستعمل بها نفس كلمة السر.
بالنسبة لحماية نفسك من التعرض للإختراق
يمكن حماية نفسك من تعرض للإختراق عن طريق إستعمال كلمات سر صعبة ومعقدة مكونة من 16 حرف، وتكون الحروف كبيرة وصغيرة ورموز أخرى معها، وكل موقع له كلمة سر لوحده لا تكرر نفس كلمة سر في أكثر من موقع
وعندما تقوم بالتسجيل في المواقع الغير موثوقة ضع كلمات غير مهمة ام الموقع المهمة كـ Gmail و Paypal ضع بها كلمات صعبة ولا تقوم باستعمالها في أي موقع آخر
وكذلك يمكنك إستعمل مواقع وبرامج Password Manager، لأنك لن تتذكر تلك الكلمات الصعبة بطبيعة الحال
ما هو Password Manager
فكر في مدير كلمات المرور Password Manager مثل كتاب كلمات المرور الخاص بك ، مقفل بمفتاح رئيسي تعرفه أنت فقط، وعندما ترغب بكلمة سر تفتح ذلك الكتاب وتأخذها منه.
قد تعتقد أن هذا الأمر يبدو سيئا. ماذا لو حصل شخص ما على كلمة مرور الرئيسية الخاصة بمدير كلمات المرور؟ هذا خوف منطقي وعقلاني. ولكن بافتراض أنك قد اخترت كلمة مرور رئيسية قوية وفريدة ، ولكن لا تستطيع نسيانها ، ولم تستخدمها في أي مكان آخر ولا يوجد بها أي معلومة لها علاقة بتاريخ ميلادك أو أي شخص من عائلتك او تاريخ زواجك أو أي شي له علاقة بك ويمكن لأي شخص معرفته، في هاته الحالة يعتبر Password Manager طريقة شبه مثالية لحماية بقية كلمات المرور الخاصة بك.
لا يقوم مديرو كلمات المرور بتخزين كلمات المرور الخاصة بك فقط - فهو كذلك يساعدوك على إنشاء كلمات مرور قوية وفريدة وحفظها عند الاشتراك في المواقع الجديدة.
وهذا يعني أنه كلما انتقلت إلى موقع أو تطبيق ، يمكنك فتح مدير كلمات المرور الخاص بك ،و نسخ كلمة المرور الخاصة بك ، ولصقها في مربع تسجيل الدخول ، غالبًا ما يأتي مدير كلمات المرور مع بعض المميزات حيث انه يقوم بملأ كلمة المرور وإسم المستعمل تلقائيًا بالنيابة عنك.
ولأن العديد من برامج ومواقع التي تقدم خدمة مدير كلمات المرور لديهم مزامنة مشفرة عبر الأجهزة ، يمكنك الوصول لكلمات المرور الخاصة بك في أي مكان - حتى على هاتفك.
أي مدير كلمات مرور يجب عليك أن تستخدمه؟
الأمر متروك لك أنت من يجب عليه الاختيار. يقوم جميع مديري كلمات المرور بنفس الأمر مع وجود بعض الفروقات بعضهم لديه مميزات أكثر واخرى لا والبعض يجب أن تدفع من أجل الحصول على مميزات أكثر.
بالنسبة لمستعملي منتجات أبل
فأي شخص لديه نظام iOS 11 أو إصدار أحدث - سيكون لديه مدير كلمات مرور افتراضيًا - لذلك ليس هناك عذر. يمكنك مزامنة كلمات المرور الخاصة بك عبر الأجهزة باستخدام iCloud Keychain.
بالنسبة للأشخاص الآخرين الذين لا يتوفرون على منتجات أبل
فمعظم مديري كلمات المرور متوفرون بالمجان ، مع خيار الترقية للحصول على ميزات أفضل مع دفع مبلغ معقول.
إذا كنت تريد مزامنة كلمات المرور عبر الأجهزة التي تمتلكها على سبيل المثال ، فإن LastPass هو خيار جيد
أما بالنسبة لـ 1Password فهو متوافق مع قاعدة بيانات كلمات المرور الخاص ب haveibeenpwned، حتى تتمكن من معرفة هل كلمة مرورك تم تسريبها أو كشفها سابقًا في اختراق البيانات.
وكذلك يوجد العديد من المواقع والخدمات منافسة في هذا المجال فقد إبحث عنها
لم ننته بعد كما قلت لك فوق الاختراق لديه العديد من طرق وهو يعتمد بالأساس على الخطأ البشري وغباء المستخدمين وجهلهم بالتكنولوجيا.
وهذا الأمر يطلق عليه بمبدأ الهندسة الاجتماعية
أغلب الناس تظن المخترق يجلس دائما أمام شاشة الحاسوب ويكتب بعض الأسطر في لوحة console code، ولكن في الحقيقة يتم الاختراق عبر الخروج من غرفتك وذاهب إلى شركة التي تريد إختراقها أو في بعض الأحيان سؤال المستخدم الغبي عن كلمة السر الخاصة به عبر الادعاء أنك مسؤول ما في شركة ما او أي شيء من هذا القبيل، فلماذا تتعب نفسك وتضطر للتعامل مع أقوى المبرمجين في العالم الذين يشتغلون في شركات كبرى مثل فيسبوك و تويتر و لينكدإن، لكي تخترق حساب شخص غبي سوف يعطيك كلمة سر او يثق بك بنفسه وبسهولة
صدق او لا تصدق البشر أغبياء وكسالى
هناك شيئان لا حدود لهما: الكون، وغباء الإنسان. مع أنني لست متأكدًا بخصوص الكون - عبارة شهيرة تنسب لأينشتاين
ولكي أعطيك مثال حي قام أحد الأشخاص، بوضع منشور به صورة صاحب فيسبوك مارك زوكربيرغ ويحمل عبارة ان فيسبوك يحمي كلمة سر الخاصة بك ضعها في تعليق وسوف يحولها إلى نجوم **** وقام ذلك شخص بوضع تعليقات محتواها ****** وبعض الاشخاص فهمو الخدعة ووضع تعليقات بها نجوم، وكانت المفاجئة حصل على أكثر من 20 كلمة مرور حقيقية تشتغل، لأشخاص وضعوها في تعليقات
فى 19 من مارس عام 2016 تلّقى مسئول الحملة الانتخابية لهيلاري كلينتون جون بوديستا رسالة إلكترونية على بريده الإلكترونى تخبره أن بريده الإلكتروني معرّض للاختراق، وأن عليه أن يتبع رابط من أجل تغيير كلمة مروره. شكّ بوديستا فى الرسالة، و قام بإعادة إرسالها إلى مسئول الحملة لأمن المعلومات.
وتكاسل مسئول الحملة لأمن المعلومات عن اتبّاع الرابط، وقام بالرد على رسالة بوديستا: «تبدو الرسالة أصلية، انصحك بتغيير كلمة مرورك».
قام بوديستا بإتبّاع نصيحة مسئول الحملة لأمن المعلومات ودخول على الرابط الذى لم يكن إلا صفحة أنشأها المخترقون، وأعطاهم كلمة مروره بسهولة ليقوموا فورًا بالولوج إلى بريده الإلكترونى وأخذ نسخة عن كل الرسائل بها لتقوم منصة ويكيليكس بنشرها فيما بعد.
وهناك الكثير من الأمثلة لإستغلال غباء الناس، لأن أغلب الناس تحفظ طرق الحماية وتتوقع الأسوء دائما ولكن في بعض الاحيان قد تتعرض للإختراق بأغبى الطرق لأنك كنت تتوقع الاسوأ
كيف تحمي نفسك من الاختراق بالهندسة الاجتماعية؟
الأمر بسيط، عليك فقط اتباع بعض الخطوات البسيطة وأن تكون ذكيًا فى تعاملك مع الإنترنت
1. انظر دائمًا للعنوان URL الخاص بالموقع
حينما تفتح صفحة وقبل كتابة كلمة مرورك تأكد دائمًا من عنوان الصفحة، عليك أن تفهم بنية العناوين الإلكترونية لتتأكد أنك على الموقع الصحيح والرسمي.
أمثلة على روابط مزيفة:
Facebook.topokhan.com
هنا يقوم مالك الدومين بإضافة نطاق فرعي على أي نطاق يملكه
facceboook.com
وهنا يقوم المخترق بشراء نطاق مشابه لفيس بوك مع اختلاف صغير في طريقة الكتابة سواء زيادة حرف أو نقصانه.
2. هل سبق و توصلت ببريدًا إلكترونيًا من شركة معروفة؟ تأكد أنه من العنوان الرسمي لتلك الشركة.
يجب عليك ان تعرف انه لن ترسل لك شركة بريدا إلكترونيا من عناوين بريد إلكترونى ينتهى بـ@gmail.com على سبيل المثال [email protected]، ولكنه سيرسل من [email protected] . وإذا ساورك الشك حول أحد العناوين البريد الالكتروني قم بعمل بحث سريع على جوجل عنه، تقوم كل الشركات الكبرى بوضع قائمة بالعناوين البريد الإلكتروني التي ترسل منها الرسائل للمشتركين منعًا للاحتيال.
ولكن حتى مع ذلك يستطيع المخترقون ايهامك بأنهم يملكون عناوين بريد إلكترونى لا يمتلكونها بالفعل، لذلك عليك الانتباه إذا كان البريد قد أرسل إليك عبر خادم آخر، وبذلك ستجد كلمة عبر أو via بعد العنوان الإلكترونى، على سبيل المثال:
وفي جميع الأحوال راجع دائمًا الرابط الذى يقودك إليه الرابط كما أشرت فوق
3. لن يرسل لك فيس بوك رسالة لتغيير كلمة سرك عبر فيسبوك ماسنجر.
انتشرت في الآونة الاخيرة بكثرة أن يقوم أحد حسابات فيس بوك يخبرك بأنك يجب عليك تغيير كلمة مرورك ويمدّك بالرابط، قد يكون الحساب تحت أي اسم مثل «فريق أمان فيس بوك» أو «facebook security» أو غيرها من الأسماء.
4. لن يقوم صديقك بطلب رقم هاتفك لتفعيل حسابه
حيلة أخرى تعتمد على الهندسة الاجتماعية وهي أن يقوم أحد أصدقائك بطلب منك أن يستخدم رقم هاتفك لتفعيل حسابه على فيس بوك. فى الحقيقة سيكون صديقك قد وقع بالفعل ضحية لاختراق، وأن من يحادثك هو المخترق وليس صديقك، وسيقوم بطلب إعادة تعيين كلمة مرورك على فيس بوك عبر رقم هاتفك و سوف تقوم بإعطاءه بكل ثقة الرمز السري لإعادة التعيين ويقوم باختراق حسابك ويعيد العملية مع أصدقائك.
تذكر دائمًا اتباع التعليمات الموجودة في دليل الحماية الخاصة بكل موقع
وفي نهاية قد تتعرض للإختراق بسبب الحب لانه قد جعلك غبي كما تشاهد معي في صورة أسفله :)
إرسال تعليق