ترفند و روش

یکی از متداول ترین پرسشهای کاربران کامپیوتری این است: هکرها چگونه هک میکنند برای پاسخ به این سوال ابتدا باید هدف هکرها را در نظر بگیریم. بسته به هدف هکر ها روش آنها نیز تغییر میکند، در این آموزش میخواهم به پنج روش کلی که هکر ها از طریق آن به اطلاعات کاربران دسترسی پیدا میکنند را بیان کنم.

تله فیشینگ (Phishing Scam) :

یکی از کاربردی ترین روشهای هک که از گذشته تا به امروز مورد استفاده هکرها قرار گرفته، تله فیشینگ میباشد. در تله Phishing هکر با جعل نمودن منابع اصلی، سعی بر سرقت اطلاعات مربوط به حساب های کاربری شما میکند. مثلا با ساخت یک ایمیل جعلی وانمود میکند، ایمیل از سمت بانک ارسال شده و شما باید اطلاعات بانکی خود را تایید و یا تکمیل کنید، زمانی که شما ایمیل را مشاهده میکنید دقیقا همان ایمیل را میبینید که تا به حال از سمت بانک برای شما ارسال میشده، به همین خاطر فکر نمیکند که شاید یک ایمیل جعلی باشد. پس سعی میکنید با ارسال اطلاعات درخواست شده پاسخ بانک را بدهید اما در نهایت اطلاعات شما به دست هکر ها می افتد. بگذارید تله Phishing را با یک مثال برایتان توضیح دهم، به ایمیل زیر توجه کنید:

نمونه تله Phishing

با سلام و احترام

مشترک گرامی شما در قرعه کشی بانک ملت برنده یک دستگاه پژوه 206 شده اید برای دریافت هدیه خود مستلزم به تکمیل اطلاعات هویتی هستید. برای تکمیل اطلاعات ابتدا به سامانه بانکداری اینترنتی مراجعه کنید و از سمت راست گزینه تکمیل اطلاعات هویتی را انتخاب کنید. برای ورود به سامانه بانکداری اینترنتی اینجا را کلیک کنید.

با تشکر واحد پشتیبانی بانک ملت

در این زمان معمولا کاربر ها هول شده و سریعا برای دریافت جایزه خود روی لینک کلیک میکند. تا وارد سامانه بانکداری اینترنتی شود. اما نمیداند لینک، آنها را به سایت هکر منتقل میکند که فقط شبیه به سایت بانک میباشد. و پس از وارد نمودن اطلاعات بانکی کلیه این اطلاعات به دست هکر می افتد.

جلوگیری از تله Phishing

برای جلوگیری از تله Phishing کافیست، به آدرس سایت و یا محتوای ارسال شده دقت کنید. هیچ وقت گول چنین محتوای را نخورید هر چند شبیه به منابع اصلی باشد چرا که معمولا هیچ بانکی از طریق ایمیل برای شما اینگونه پیامها ها را نمی فرستد. و حتما با شماره اصلی بانک به شما زنگ میزنند.

تله Fishing انواع مختلفی دارد که یکی از آنها ارسال ایمیل جعلی میباشد. تله فیشینگ در واقع یکی از زیر مجموعه های Social Engineering میباشد که به معنای مهندسی اجتماعی است.

سر ریز شدن بافر (Buffer Overflow)

یکی دیگر از تکنیک های که هکر های هوشمند برای نفوذ به سیستم ها استفاده میکنند Buffer Overflow میباشد. در این تکنیک هکر با ارسال بیش از حد داده به ورودی ها، باعث سر ریز شدن مرز Buffer میشود. و از این مورد برای صدمه زدن یا سرقت اطلاعات استفاده میکند. تکنیک Buffer Overflow به طور عادی قابل تشخیص نیست و باید از UTM برای جلوگیری از این نوع حملات استفاده نمود.

هک نمودن رمز عبور (Password Hacking)

یکی از رایجترین روشهای که هکرها از طریق آن به سیستم های امنیتی دسترسی پیدا میکنند، وجود رمز عبور نامناسب میباشد. معمولا افراد برای اینکه به زحمت نیافتند از رمز های عبور پیچیده و دارای سیاست ماهانه استفاده نمیکنند. به همین دلیل هکر ها به راحتی با حدس زدن رمز عبور به کلیه داده های شما دسترسی پیدا میکنند.

معمولا هر دستگاه یا سیستم عامل دارای یک رمز عبور پیشفرض میباشد. که کسی هم آنرا تغییر نمیدهد. مثل کلیه مودم های ADSL که نام کاربری و رمز عبور آنها admin است. یکی از مواردی که هکر ها به خوبی از آنها استفاده میکنند همین رمز های پیشفرض میباشد. هکر با یک جستجوی ساده میتواند به رمز پیشفرض دستگاه شما دسترسی پیدا کند. و از طریق آن شما را هک کند.

جلو گیری از هک شدن رمز عبور

برای جلو گیری از هک شدن رمز عبور باید از رمز های پیچیده استفاده کنید. که حداقل دارای هشت حرف باشند. و از حروف کوچک و بزرگ به همراه علامتها و اعداد استفاده شده باشد. همچنین باید سعی کنید یک سیاست ماهانه یا هر چند ماه یکبار برای تعویض رمز ها ایجاد کنید. تا رمز ها به سادگی حدس زده نشوند.

دانلود برنامه های رایگان

یکی دیگر از راهکارهای که هکرها برای نفوذ به سیستم های شما استفاده میکنند. تولید کرک یا ارائه نرم افزارهای پولی به صورت رایگان میباشد. در این روش هکر ها با آلوده ساخت برنامه به ویروس یا تروجان از سیستم شما به کامپیوتر خود پلی درست میکنند و هر آنچه را که بخواهند از این طریق به دست می آورد. آنچه که شما فکر میکنید دریافت یک برنامه مفت میباشد. اما آنچه اتفاق می افتد باز شدن یک راه نفوذ به سیستم شما است.

برای جلوگیری این مورد، شما میتوانید از یک آنتی ویروس خوب همانند BitDefender استفاده کنید یا اینکه هر برنامه ای را از هر جایی دریافت نکنید. همه برنامه های معروف دارای یک سایت رسمی میباشند. میتوانید برنامه خود را از منبع اصلی دریافت کنید. یا حداقل از منابع شناخته شده همانند سایت Soft98 که سالهاست امتحان خود را پس داده استفاده کنید.

تزریق خطا (Fault Injection)

یکی از تکنیکهای پیشرفته در هک کردن وب سرویسها Fault Injection میباشد. هکرها در این روش سعی میکنند با نفوذ به Source Code های سایت آنها را تغییر دهند تا بررسی کنند که آیا سیستم مورد نظر Crash میکند یا خیر. یکی از نمونه حملات Fault Injection تزریق به پایگاه داده یا Database Query است که باعث حذف محتوا میشود یا با تایپ کردن در URL مرورگر Worm ها را به شبکه شما منتقل کنند. برای جلوگیری از این نوع حملات نیاز به استفاده از UTM دارید.

پس به طور کلی پنج روش رایج که هکر ها از طریق آن به سیستم ها نفوز میکنند از قرار زیر میباشد:

1. تله فیشنیگ (Phishing Scam) یا جعل نمودن صفحه های رسمی به هدف گول زدن شما برای سرقت اطلاعات حساب های کاربری.
2. سر ریز شدن بافر (Buffer Overflow) برای ایجاد خطا در فرم های آنلاین و … به قصد سرقت اطلاعات یا صرمه وارد نمودن به سیستم.
3. هک کردن رمز عبور (Password Hacking) برای دسترسی به حسابهای کاربری که از رمز های ضعیف یا نامناسب استفاده میکنند.
4. تولید برنامه های رایگان (Free Software) برای ترقیب نمودن کاربران، برنامه های که به ویروس و تروجان آلوده شده اند.
5. تزریق خطا (Fault Injection) روشی که به کدهای سایت نفوز نموده و آنها را برای انجام علیات شیطانی تغییر میدهند.