دستورالعمل دفاع سایبری به دستگاههای اجرایی ابلاغ شد
رئیس سازمان پدافند غیرعامل کشور از تدوین و ابلاغ دستورالعمل دفاع لایه به لایه سایبری…
۶ آبان ۱۴۰۳
۲۷ دی ۱۴۰۲
زمان مطالعه : ۷ دقیقه
کاربران اغلب از اخبار هک به سادگی عبور میکنند در صورتی که خطرات نشت اطلاعات پس از هک تا همیشه همراه آنهاست. کارشناسان میگویند برای کم کردن این خطرات، علاوه بر اینکه مجموعهها باید اهمیت بیشتری به حفظ امنیت دادههای کاربرانشان بدهند، مردم نیز باید آگاهتر شوند تا کمتر در معرض خطر قرار بگیرند.
چرا باید از هک شدن دادههایم نگران باشم؟ من که اطلاعات مهمی در پلتفرمها ثبت نکردهام. شماره تلفن و سفارش غذای من به چه کار هکرها میآید؟ برای چه کسی مهم است من چه زمانی از محل کارم به رستوران مرکز شهر اسنپ یا تپسی گرفتهام؟ اینها حرفهایی است که برخی از افراد با شنیدن اخبار هک و لو رفتن دادهها میزنند.
با اینکه با انتشار اخبار هک و نقض اطلاعات هیچگاه حس خوشایندی به کاربران دست نمیدهد اما بسیاری از مردم هنوز تصور درستی از ابعاد نگرانکننده اطلاعات فروختهشدهشان در اینترنت ندارند. بیایید به این سوال پاسخ بدهیم که دادههای ما به چه درد هکرها میخورد؟
یک باند سازمان یافته سارق را تصور کنید. دادههای شما نشان میدهد هر پنجشنبه حوالی ساعت ۱۰ تا ۱۲ شب از یک رستوران مشخص پیتزا سفارش دادهاید و این روند در اکثر شبهای یک سال اخیر تکرار شده است. سفارشهای نشتشده آدرس منزلتان نیز نشان میدهد تا به حال هیچکس از این آدرس غذا سفارش نداده است و احتمالا تنها زندگی میکنید. باند زورگیر کافی است در همان ساعات پنجشنبه شب به بهانه تحویل پیتزا به منزلتان بیاید و به وسایلتان دستبرد بزند.
موضوع ممکن است از این هم فراتر برود. با اطلاع از سطح بالای قیمت کالاهای خریداریشده توسط شما، تبهکاران میفهمند وضع مالی خوبی دارید. همچنین هر روز در یک ساعت مشخص با استفاده از تاکسی اینترنتی به مهد کودک فرزندتان که در یکی از مناطق ثروتمندنشین شهر است میروید تا او را به خانه میآورید. اینها برای آدمربایان اطلاعات جذابی است.
همچنین کلاهبرداریهای تلفنی میتواند در کمین باشد. با داشتن اطلاعات خرید و سال تولد شما به بهانه ثبت اشتباه قیمت کالا با شما تماس میگیرند و میخواهند اطلاعات و رمز پویای کارتتان را در اختیارشان قرار دهید. افراد کم سن و سال و نسبتا مسن، هدفهای خوبی برای این نوع کلاهبرداریها هستند. شاید عجیب به نظر برسد که چرا شخصی باید رمز پویا خود را در اختیار یک فرد غریبه قرار دهد اما زمانی که فرد پشت تلفن اطلاعات شخصی کاربر را با جزئیات بازگو میکند، افراد به اشتباه به وی اعتماد میکنند و حسابشان خالی میشود.
صرافیهای رمزارز یکی از جاهایی هستند که شما اطلاعات مهمتری از جمله کارت ملی خود را در اختیارشان قرار میدهید. اکثر صرافیها برای احراز هویت پیشرفته از شما میخواهند، کارت ملی خود را در کنار صورتتان قرار دهید و عکس بفرستید. کلاهبرداران میتوانند با دریافت اطلاعات فرد از دیتابیس پلتفرمهایی که اطلاعات هویتی شما را در اختیار قرار دارند و استفاده از کپی کارت ملی یا گذرنامه شما، به راحتی جعل هویت کنند تا اعمالی مانند پولشویی و اخاذی با هویتهای جعلشده انجام دهند.
محمدامین کریمان، متخصص امنیت و مدیرعامل پلتفرم باگ بانتی راورو است که باور دارد حداقل کاری که میشود انجام دهد آگاهیبخشی است کریمان سعی میکند الفبای امنیت را با توضیح مفهوم PII شرح دهد: مفهوم PII مخفف Personal Identifiable Information
به معنی اطلاعات هویتی کاربر است که طیف گستردهای از اطلاعات را در بر میگیرد. اطلاعاتی مانند کارت ملی، اطلاعات شغلی، اطلاعات شخصی (آدرس خانه، عکس پروفایل) اطلاعات سلامتی (گروه خونی، رنگ چشم، قد) و همه اینها ذیل PII طبقهبندی میشوند. این را برای این میگویم که باید بدانیم تمامی این اطلاعات در کنار هم میتوانند باعث آسیب به ما شوند، حتی دادههای کماهمیتتر.
او ادامه میدهد: به فرض در موردی مثل تپسی بخشی از دادههای شما هک میشود که شامل کد ملی، آدرس منزل، شماره تلفن و … است. این را در کنار دادهای که چند سال پیش از ایرانسل و بانک ملت منتشر شده است بگذارید. در آن موارد، شماره حساب، آدرس، شماره تلفن و دادههای هویتی شما نشت پیدا کرده است. وقتی چند نشت از چند سامانه مختلف اتفاق میافتد کمکم تکههای پازل اطلاعات شخصی شما کنار هم شکل میگیرد.
شما برخی از این اطلاعات را نمیتوانید تغییر بدهید. شماره ملی شما همیشه ثابت است مگر اینکه سیستم جدیدی جایگزین شود. آن چیزی که نگرانکننده است این است که قطعات پازل در نشتهای مختلف تکمیل میشود هویت دیجیتال شما به طور کامل عیان میشود.
مدیرعامل راورو در مورد دردسرهایی که کاربر را تهدید میکند میگوید: موارد بسیار زیادی داریم که اطلاعات کارت ملی، پاسپورت یا پروفایل شخص منتشر شده است. هکر میتواند با هویت شما اقدام به خرید کند. اینها جزو مواردی است که دردسر حقوقی برای کاربر ایجاد میکند. در دستهبندی دیگر خطرات میتوان به حملات فیشینگ اشاره کرد یا حملات مهندسی اجتماعی. هکر با دادهای که از کاربر دارد مطمئن میشود که شما از آیفون استفاده میکنید یا مثلا مرورگر شما را میفهمد. به این ترتیب میتواند لینک فیشینگی که ارسال میکند را با استفاده از این دیتا شخصیسازی کند، در نتیجه درصد موفقیتش بالا میرود.
با وجود اینکه کاری از کاربران نهایی برای جلوگیری از نشت دادههایشان بر نمیآید اما توجه به یک سری نکات بعد از اینکه دادهها نشت پیدا کرد میتواند کمی شرایط را بهتر کند.
مجتبی مددخانی، مدیر انفورماتیک هلدینگ طرفهنگار در این رابطه میگوید: بسته به دادهای که نشت پیدا کرده، سازمان مربوطه باید نکات امنیتی را اعلام کند. مثلا در مورد هک دادههای کاربران تپسی andoroid adv ID کاربران در دیتابیس این شرکت ذخیره شده بود که کاربران به راحتی میتوانند آن را تغییر دهند.
اشاره وی به کدهایی است که گوگل در سیستم عامل اندروید و اپل در سیستم عامل iOS به نام IDFA به هر دستگاه اختصاص میدهد تا به توسعهدهندههای اپلیکیشن کمک کند بدون اینکه حریم خصوصی کاربر نقض شود، رفتار او را دنبال کنند؛ این کد کاربردهایی مانند نمایش تبلیغات شخصیسازیشده دارد.
اما زمانی که یک هکر به این کدها به همراه دیگر اطلاعات شخصی کاربر دسترسی پیدا کند، میتواند با تطابق این دادهها از آنها سواستفاده کند. هم کاربران اندروید و هم آیفون به راحتی میتوانند این کد را در گوشی خود ریست کنند.
محمدامین کریمان نیز به مواردی اشاره میکند که شاید بدیهی به نظر برسد اما بسیاری از کاربران رعایت نمیکنند: عموم مردم از گذرواژههای یکسان برای حساب کاربری خود استفاده میکنند. ممکن است پسورد شما در یکی از مجموعهها لو برود. هکر از پسورد شما در حسابهای دیگرتان هم استفاده میکند.
این متخصص امنیت توصیه دیگری میکند: اگر سایتی از شما مدرک هویتی مثل عکس یا تصویر پاسپورت یا کارت ملی خواست حتما روی عکس واترمارک بزنید و بنویسید این تصویر برای احراز هویت در آن استفاده میشود. اگر روزی این عکس منتشر شود شما میتوانید از روی واترمارک بفهمید برای چه سایتی بوده و اقدام به پیگیری قضایی کنند.
به باور کریمان بخش دیگری از اقداماتی که باید برای ارتقای امنیت در کشور صورت بگیرد به مطالبهگری مربوط میشود که چندان آسان نیست. کریمان توضیح میدهد: قسمت بعدی که شاید به صورت مستقیم فنی نباشد آگاهی و مطالبهگری از نمایندههای مجلس، مسئولان مربوطه و شرکتهاست. باید از آنها پرسید شرکتها و مجموعهها بابت امنیت دادههای کاربران خود چه کار میکنند. در بخش قانونگذاری هم باید بخواهیم اگر مجموعهای در محافظت از اطلاعات هویتی کاربرهای خود کوتاهی کرده است خسارت و جریمهای پرداخت بکنند. البته این موارد از جنس فرهنگسازی است و زمان میبرد. همچنین کاربران باید از مجموعهها درخواست کنند قابلیت حذف اطلاعات خود را در اختیارشان بگذارند.
او اضافه میکند: مورد دیگر اینکه کاربران باید بتوانند به پلتفرم درخواست بدهد تا سامانه بگوید چه دادهای از کاربر ذخیره کرده است. تصور اکثر مردم این است وقتی مثلا از اسنپفود استفاده میکنند فقط سفارشهایشان ثبت شده است در صورتی که وفتی دیتای ذخیره و پردازششده سمت اسنپفود را نگاه میکنید میبینید اطلاعات خیلی بیشتری ثبت میشود.