امنیت و هک, همه مطالب

راهکارهای جلوگیری از سرقت اطلاعات شخصی توسط اپلیکیشن‌ها

جلوگیری از سرقت اطلاعات شخصی
۱۶ تیر

مجوزهایی که هنگام نصب یک برنامه توسط کاربر اعطا می‌شود، مسئول سوءاستفاده و سرقت اطلاعات شخصی ما هستند. وقتی برنامه‌هایی را از منابع غیررسمی نصب می‌کنیم، خطر سرقت اطلاعات افزایش می‌یابد.

در این مقاله سعی داریم تا راهکارهای بسیار کاربردی و ساده برای جلوگیری از سرقت اطلاعات شخصی توسط برنامه‌ها و اپلیکیشن‌های مختلف ارائه کنیم. همچنین در مورد چیستی سرقت اطلاعات و نحوه‌ی انجام آن نیز توضیحاتی خواهیم داد.

در ضمن اگر به‌دنبال راهکارهایی، برای بالابردن امنیت کامپیوتر خود در فضای آنلاین هستید میتوانید مقاله‌ی ما؛ معرفی امن‌ترین مرورگرهای جهان را مطالعه بفرمایید.

مقدمه

برنامه‌های واقعا وسوسه انگیزی وجود دارند که نسخه پریمیوم را ارائه می‌دهند.

در نتیجه، برخی از کاربران به مخازن غیررسمی خارج از اپ‌استور یا گوگل‌پلی مراجعه می‌کنند و فکر می‌کنند که تنها تفاوت برنامه رسمی و نسخه دزدی آن، وجود برخی تبلیغات است و در نهایت عملکردهای مشابهی را به دست می‌آورند. نسخه‌ی دزدی یک برنامه و نسخه رسمی آن نمی‌توانند با یکدیگر یکسان باشند.

درواقع در فضای دیجیتال نیز، باید همان استانداردهایی را که در زندگی واقعی وجود دارد دنبال کنید: فکر کردن به اینکه دقیقاً همان کالا یا خدمات مشخص را بدون پرداخت هیچ هزینه‌ای دریافت می‌کنیم، کمی احمقانه است.

هیچ‌کس چیزی را مجانی به ما نمی‌دهد.

اصطلاح سرقت داده می‌تواند این تصور را که این نوع نقض مبتنی بر یک سوءنیت است، ایجاد کند.

اما همیشه اینطور نیست: سرقت اطلاعات نیز می‌تواند یک اقدام غیرعمدی باشد. برای مثال، یک کارمند را در نظر بگیرید که ممکن است اطلاعات یک فلش مموری ناامن را به خانه ببرد، یا پس از پایان قراردادش همچنان دسترسی به اطلاعات را، حفظ کند.

سرقت اطلاعات از کارمندان اغلب بدون آگاهی آن‌ها صورت می‌گیرد، در نتیجه حساب‌ها یا دستگاه‌های شخصی آن‌ها توسط هکرها به خطر می‌افتد که معمولا قربانیان از رمزهای عبور ضعیف یا شبکه‌های ناامن استفاده می‌کنند.

مهاجمانی که به رایانه‌های شرکت‌ها دسترسی پیدا می‌کنند می‌توانند در داخل شبکه‌ها کمین کنند و برای روزها، هفته‌ها یا سال‌ها وانمود کنند که یک کاربر قانونی می‌باشند.

فهرست مطالب

سرقت اطلاعات چیست؟

سرقت اطلاعات در واقع انتقال یا ذخیره‌ی غیرقانونی اطلاعات شخصی، محرمانه یا مالی می‌باشد. این می‌تواند شامل گذرواژه‌ها، کدهای نرم افزاری یا الگوریتم‌ها و فرآیندها و همچنین فناوری‌های اختصاصی باشد.

سرقت داده‌ها یک نقض جدی امنیت و حریم خصوصی است که عواقب بسیار بدی برای افراد و سازمان‌ها به‌همراه دارد. هنگامی که یک شخص غیرمجاز به اطلاعات شخصی یا مالی شما دسترسی پیدا می‌کند، می تواند بدون اجازه مالک، آن را حذف و تغییر دهد یا از دسترسی به آن جلوگیری کند.

سرقت اطلاعات شخصی معمولاً به این دلیل رخ می دهد که هکرها می خواهند یا اطلاعات را بفروشند یا از آن برای سرقت هویت استفاده کنند.

سارقان اطلاعات می توانند با استفاده از نام قربانی از داده‌ها  برای دسترسی به حساب های امن و راه اندازی کارت های اعتباری استفاده کنند. سرقت اطلاعات در ابتدا یک مشکل برای کسبوکارها و سازمان‌ها بود، اما متاسفانه اکنون به یک مشکل رو به رشد برای افراد تبدیل شده است.

در حالی که این اصطلاح به سرقت اشاره دارد، سرقت داده به‌معنای واقعی کلمه به‌منظور دزدیدن یا حذف اطلاعات از قربانی نیست.

در عوض، سرقت داده‌ها به‌معنای این است که: مهاجم به‌سادگی اطلاعات را برای استفاده خود کپی می‌کند.

عبارات «نقض داده‌ها» و «نشت داده‌ها» نیز می‌توانند به‌جای یکدیگر در هنگام بحث درباره سرقت اطلاعات استفاده شوند. با این حال، آن‌ها متفاوت هستند:

  • نشت داده‌ها زمانی رخ می‌دهد که داده‌های حساس به‌طور تصادفی، چه در اینترنت یا از طریق هارد دیسک‌ها یا دستگاه‌های گمشده، در معرض دید قرار می‌گیرند. این امر مجرمان سایبری را قادر می‌سازد تا بدون تلاش به داده‌های حساس دسترسی غیرمجاز پیدا کنند.
  • در مقابل، نقض داده‌ها به حملات سایبری عمدی اشاره دارد.

سرقت اطلاعات چگونه اتفاق می‌افتد؟

سرقت اطلاعات یا سرقت دیجیتال از روش‌های مختلفی صورت می‌گیرد. برخی از رایج‌ترین آن‌ها عبارتند از:

1) مهندسی اجتماعی:

رایج‌ترین شکل مهندسی اجتماعی؛ فیشینگ است. فیشینگ زمانی اتفاق می‌افتد که مهاجم به‌عنوان یک شخص یا کاربر قابل‌اعتماد ظاهر می‌شود، تا قربانی را فریب دهد که ایمیل، پیام متنی یا پیام فوری را باز کند.

یکی از دلایل رایج سرقت اطلاعات شخصی گرفتار شدن کاربران در معرض حملات فیشینگ است.

2) رمزهای عبور ضعیف:

استفاده از رمز عبوری که به‌راحتی بتوان آن را حدس زد. یا استفاده از رمز عبور یکسان برای چندین حساب کاربری، می‌تواند به مهاجمان اجازه دسترسی به داده‌ها را بدهد.

3) آسیب‌پذیری‌های سیستم:

نرم‌افزارهای کاربردی یا سیستم‌های شبکه‌ای که ضعیف طراحی یا پیاده‌سازی شده‌اند، آسیب‌پذیری‌هایی ایجاد می‌کنند که هکرها می‌توانند از آن‌ها سوءاستفاده و برای سرقت اطلاعت از آن‌ها بهره بگیرند. آنتی‌ویروس قدیمی نیز می‌تواند آسیب‌پذیری جدی ایجاد کند.

خط مقدم دفاع از شما در مقابل حملات روز صفر، استفاده از آنتی ویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام به روزرسانی شود. ما در مجموعه‌ی شیدافزار برای این نگرانی شما عزیزان، ضدویروس شید را پیشنهاد می‌کنیم.

در صوت تمایل به آشنایی با ضدویروس‌های شید می‌توانید روی دکمه زیر کلیک کنید:

آشنایی با ضدویروس شید

4) تهدیدات داخلی:

کارکنانی که برای یک سازمان کار می‌کنند به اطلاعات شخصی مشتریان نیز دسترسی دارند. کارمندان سرکش یا پیمانکاران ناراضی می‌توانند داده‌ها را کپی کنند، تغییر دهند یا به سرقت ببرند.

با این حال، تهدیدات داخلی لزوماً محدود به کارمندان فعلی نیست. آن‌ها همچنین می‌توانند کارمندان، پیمانکاران یا شرکای سابق باشند که به سیستم‌ها یا اطلاعات حساس یک سازمان دسترسی دارند.

آمارها نشان می‌دهد که تهدیدات داخلی در حال افزایش است.

5) خطای انسانی:

همیشه نقض داده‌ها  نتیجه اقدامات مخرب نیست. گاهی اوقات می‌توانند نتیجه خطای انسانی باشند.

خطاهای رایج عبارتند از ارسال اطلاعات حساس به شخص اشتباه، مانند ارسال ایمیل به آدرس نادرست، پیوست کردن سند اشتباه، یا تحویل یک فایل فیزیکی به شخصی که نباید به اطلاعات دسترسی داشته باشد.

از طرف دیگر، خطای انسانی می‌تواند شامل پیکربندی نادرست باشد، مانند اینکه یک کارمند؛ پایگاه داده‌ای که حاوی اطلاعات حساس است را به‌صورت آنلاین و بدون محدودیت رمز عبور ترک می‌کند.

6) اعمال فیزیکی:

برخی از سرقت اطلاعات نتیجه جرایم سایبری نیست، بلکه انواعی از اقدامات فیزیکی است. که شامل سرقت اسناد یا وسایلی مانند لپ‌تاپ، تلفن یا دستگاه‌های ذخیره‌سازی است.

با گسترش روزافزون دورکاری، دامنه گم شدن یا دزدیده شدن دستگاه‌ها نیز افزایش یافته است. اگر در یک مکان عمومی مانند کافی‌شاپ کار می‌کنید، شخصی می‌تواند صفحه کلید شما را تماشا کند تا اطلاعاتی مانند جزئیات ورود به سیستم شما را به سرقت ببرد.

7) مشکلات پایگاه داده یا سرور:

اگر شرکتی که اطلاعات شما را ذخیره می‌کند به‌دلیل مشکل در پایگاه داده یا سرور، مورد حمله‌ی هکرها قرار گیرد، در این صورت مهاجمان می‌توانند به اطلاعات شخصی مشتریان دسترسی داشته باشند.

8) نشر اطلاعات در فضای مجازی:

اطلاعات زیادی را می‌توان در فضای مجازی پیدا کرد. به‌عنوان مثال، از طریق جستجوهای اینترنتی و جستجو از طریق پست‌های کاربران در شبکه‌های اجتماعی.

معمولا چه نوع از داده‌هایی توسط اپلیکیشن‌ها دزدیده می‌شوند؟

هرگونه اطلاعات ذخیره شده توسط یک فرد یا سازمان می‌تواند هدف بالقوه‌ای برای سارقان داده باشد. در زیر برخی از آن‌ها را عنوان کرده‌ایم:

  • سوابق مشتری
  • داده‌های مالی مانند اطلاعات کارت اعتباری یا کارت بدهی
  • کدهای منبع و الگوریتم‌ها
  • توضیحات فرآیند اختصاصی و روش‌های عملیاتی
  • اعتبار شبکه مانند نام کاربری و رمز عبور
  • سوابق منابع انسانی و داده‌های کارکنان
  • اسناد خصوصی ذخیره در رایانه‌ها

عواقب و خطرات سرقت اطلاعات شخصی ما

برای سازمان‌هایی که از نقض داده‌ها رنج می‌برند، عواقب آن می‌تواند بسیار شدید و خطرناک باشد:

  • شکایت‌های احتمالی از سوی مشتریانی که اطلاعات آن‌ها افشا می‌شود.
  • باج‌گیری‌ها از سوی مهاجمان.
  • هزینه‌های بازیابی. به‌عنوان مثال، بازیابی یا پچ سیستم‌هایی که نقض شده‌اند.
  • صدمه به شهرت و از دست دادن مشتریان.
  • جریمه از سوی نهادهای نظارتی (بسته به صنعت).
  • زمان زیادی که صرف بازیابی اطلاعات می‌شود.

برای افرادی که اطلاعات آن‌ها به سرقت می‌رود، پیامد اصلی این است که می‌تواند منجر به سرقت هویت آن‌ها نیز شود، که باعث زیان‌های مالی و ناراحتی عاطفی شود.

راهکارهای جلوگیری از سرقت اطلاعات شخصی

بنابراین، سوالی که پیش می‌آید این است که: چگونه می‌توان از داده‌ها در برابر مجرمان سایبری محافظت کرد؟ در واقع چندین مرحله برای جلوگیری از سرقت اطلاعات شخصی توسط مجرمان وجو دارد. در ادامه به توضیح این عوامل خواهیم پرداخت:

1) از رمزهای عبور امن استفاده کنید:

در صورتی که شما از رمز عبور قوی استفاده نکنید؛ گذرواژه‌ها می‌توانند به‌راحتی توسط هکرها شکسته شوند.

یک رمز عبور قوی حداقل 12 کاراکتر یا بیشتر دارد که شامل ترکیبی از حروف بزرگ و کوچک به اضافه نمادها و اعداد است.

شما باید از انتخاب‌های ساده و واضح اجتناب کنید، مانند اعداد متوالی 1234 یا اطلاعات شخصی که ممکن است کسی که شما را می‌شناسد بتواند آن را حدس بزند، مانند تاریخ تولد یا نام حیوان خانگی.

2) عدم‌استفاده از رمز عبور یکسان برای چندین حساب‌کاربری:

در صورتی که از یک رمز عبور برای چندین حساب خود استفاده می‌کنید، اگر یک هکر رمز عبور شما را تنها در یک وب‌سایت شکست دهد، به بسیاری دیگر نیز دسترسی خواهد داشت. فراموش نکنید که رمزهای عبور خود را به‌طور منظم تغییر دهید (هر شش ماه یا بیشتر).

3) از نوشتن رمزهای عبور خودداری کنید:

نوشتن رمز عبور در هرجایی ، چه روی یک تکه کاغذ، در صفحه‌ گسترده اکسل یا در برنامه Notes  باعث لو رفتن آن‌ها توسط هکرها می‌شود. اگر گذرواژه‌های زیادی دارید که نمی‌توانید به خاطر بسپارید، از یک برنامه‌ی مدیریت رمز عبور استفاده کنید.

4) احراز هویت چندعاملی:

احراز هویت چندعاملی MFA  که در اصل احراز هویت 2 مرحله‌ای TFA رایج‌ترین آن است؛ ابزاری است که به کاربران اینترنت سطح بیشتری از امنیت را ارائه می‌دهد.

احراز هویت 2عاملی به دو شکل مجزا از شناسایی، برای دسترسی به حسابتان نیاز دارد.

عامل اول رمز عبور است و عامل دوم معمولاً شامل متنی یا کدی است که با استفاده از اثر انگشت، صورت یا شبکیه چشم به تلفن هوشمند یا بیومتریک شما ارسال می‌شود.

5) هنگام اشتراک‌گذاری اطلاعات شخصی مراقب باشید:

سعی کنید تصمیم به اشتراک‌گذاری اطلاعات خود را براساس نیاز به‌ انتشار، چه آنلاین و چه آفلاین تعیین کنید.

برای مثال، اگر فردی اطلاعات شخصی شما را می‌پرسد (مانند شماره تامین اجتماعی، شماره کارت اعتباری، شماره پاسپورت، تاریخ تولد، سابقه کار یا وضعیت اعتباری و غیره)، از خودتان بپرسید چرا به آن نیاز دارد و چگونه از آن استفاده خواهد کرد.

6) اشتراک‌گذاری رسانه‌های اجتماعی را محدود کنید:

با تنظیمات امنیتی هر پلتفرم شبکه‌ی اجتماعی آشنا شوید. از افشای اطلاعات شخصی مانند آدرس یا تاریخ تولد خود در بایو رسانه‌های اجتماعی خودداری کنید. زیرا مجرمان می‌توانند از این داده‌ها برای ایجاد تصویری درباره شما استفاده کنند.

7) حساب‌های استفاده نشده را ببندید:

اکثر ما برای خدمات آنلاینی که دیگر از آن‌ها استفاده نمی‌کنیم ثبت نام کرده‌ایم. در پلتفرمی که این حساب‌ها هنوز وجود دارند، احتمالاً حاوی ترکیبی از داده‌های شخصی، جزئیات هویت و شماره کارت اعتباری شما نیز هست.

تمام این اطلاعات ارزشمند می‌تواند مورد سوءاستفاده‌ی مجرمان سایبری قرار بگیرند. برای محافظت از حریم خصوصی خود، توصیه می‌شود داده‌های شخصی خود را از پلتفرم‌هایی که دیگر استفاده نمی‌کنید حذف کنید.

شما می‌توانید این کار را با بستن حساب‌های قدیمی به‌جای غیرفعال کردن آن‌ها، انجام دهید.

8) سیستم‌ها و برنامه‌ها را به‌روز نگهدارید:

تمام سیستم‌عامل‌ها و برنامه‌های نرم‌افزاری و مرورگرهای وب را به‌طور منظم به‌روزرسانی‌ کنید.

9) حساب‌های خود را زیر نظر داشته باشید:

مرتباً صورت‌حساب‌های بانکی یا کارت اعتباری یا سایر حساب‌های خود را بررسی کنید تا بتوانید مشاهده کنید که آیا هزینه‌ی غیرمجازی کسر شده است یا خیر.

گاهی ممکن است پیامک یا اعلانی از سوی بانک دریافت نکنید، بنابراین توصیه می‌شود که همواره خودتان مراقب باشید.

10) مراقب وای‌فای رایگان باشید:

استفاده از وای‌فای عمومی رایگان برای بسیاری از مردم به یک روال روزمره تبدیل شده است. اما هات‌اسپات‌های عمومی وای‌فای می‌توانند اهداف آسانی برای هکرها و مجرمان سایبری باشند که می‌توانند از آن‌ها برای سرقت اطلاعات شخصی شما استفاده کنند.

برای ایمن ماندن در Wi-Fi عمومی، از باز کردن یا ارسال داده‌های حساس خودداری کنید، بلوتوث خود را خاموش کنید، سعی کنید همیشه از VPN و فایروال استفاده کنید.

جمع‌بندی موارد فوق برای جلوگیری از سرقت اطلاعات شخصی:

قبل از دانلود، همیشه برنامه‌ها و نرم‌افزارهایی را انتخاب کنید که از منابع معتبر و مخازن رسمی مانند App Store و Google Play می‌آیند. اگرچه آن‌ها 100٪ عاری از بدافزار نیستند، اما مکانیسم‌های امنیتی زیادی برای جلوگیری از برنامه‌های مخرب و ناامن دارند.

Android و iOS برای جلوگیری از دانلودهایی که از منابع قابل‌اعتماد نیستند، در پیکربندی‌های امنیتی خود ، امکان مسدود کردن دانلود برنامه‌هایی با منشأ ناشناخته را ارائه می‌دهند.

مجوزهایی را که برنامه‌ها درخواست می‌کنند بررسی کنید و تصمیم بگیرید که آیا آن‌ها واقعاً مورد نیاز هستند یا خیر. اگر آن‌ها بیش از حد وارد حریم خصوصی شما می‌شوند، بهتر است گزینه‌ی  less intrusive option یا مزاحمت کمتر را انتخاب کنید.

همیشه کامنت‌ها و ارزیابی‌های سایر کاربران در مورد هر برنامه‌ای را، چه در فروشگاه برنامه ها و چه در انجمن‌های آنلاین، مطالعه و تجزیه‌وتحلیل کنید.

قبل از دانلود برنامه‌ای که نسخه اصلی نیست، خطرات آن را تحلیل و ارزیابی کنید. در نظر بگیرید که آیا دانلود آن واقعاً ارزشمند است یا خیر.

جدیدترین یافته‌ها در مورد سرقت اطلاعات شخصی

علی‌رغم افزایش آگاهی نسبت به امنیت اینترنتی و رخنه‌های امنیتی مهم؛ تحقیقات نشان می‌دهد که تقریباً نیمی از اپلیکیشن‌ها، اطلاعات کاربران را به‌خطر می‌اندازند و تمام آن‌ها حداقل یک نقطه‌ضعف برای شروع این آسیب‌پذیری دارند.

شرکت فناوری‌های مثبت Positive Technologies آزمایش‌های مختلفی را در این حوزه انجام داده است.

در این آزمایش‌ها که روی 23 اپلیکیشن متفاوت انجام شده؛ از ابزارهای خودکار و دستی و همچنین روش‌های جعبه‌ی سفید، خاکستری و سیاه استفاده شده است.

نتایج این آزمایشات نشان می‌دهد که مهاجمان اینترنتی می‌توانند از 44 درصد اپلیکیشن‌هایی که با اطلاعات کاربران سروکار دارند (مثل آن‌هایی که برای وب‌سایت‌های بانکی هستند یا آن‌هایی که برای فروشگاه‌های اینترنتی جنس عرضه می‌کنند و همچنین شرکت‌های ارتباطاتی)، اطلاعات شخصی دیگران را به سرقت ببرند.

محققان دریافته‌اند که میانگین امنیت نرم‌افزارهای اینترنتی همچنان ضعیف است. هر اپلیکیشنی که مورد آزمایش قرار گرفته دارای عیوبی در سطوح مختلف امنیتی بوده است.

گزارش این تحقیق همچنین بیان می‌کند که آسیب‌پذیری‌های امنیتی می‌توانند در بیش از نیمی از اپلیکیشن‌های استفاده‌ شده برای این آزمایش مورد سوءاستفاده قرار بگیرند و تضمین می‌کند که افراد سودجو می‌توانند به اطلاعات حساس، فرمان‌های مدیریتی یک سرور و کنترل کامل یک سیستم دست پیدا کنند.

محققان همچنین دریافته‌اند که حملاتی که به اپلیکیشن‌های اینترنتی می‌شوند در 96 درصد موارد موفقیت‌آمیز است و 48 درصد اپلیکیشن‌ها در مقابل دسترسی بدون مجوز، آسیب‌پذیر هستند. 17 درصد از این اپلیکیشن‌ها آسیب‌پذیری‌هایی دارند که به مهاجمین این اجازه را می‌دهند تا کنترل کامل اپلیکیشن را به دست بگیرد.

جمع‌بندی

همان طور که بالاتر اشاره کردیم؛ آسیب‌پذیری‌ها در 100 درصد اپلیکیشن‌های اینترنتی وجود داشته‌اند و از این ‌بین 52 درصد این اپلیکیشن‌ها دارای آسیب‌پذیری‌هایی در سطوح عمیق امنیتی هستند.

در بین 10 آسیب‌پذیری‌ که در بیشتر اپلیکیشن‌های اینترنتی دیده شده اشکالاتی نظیر: تزریق‌های SQL، XML External Entities، فرماندهی به سیستم‌عامل، Path Traversal یا PHP، سریالی کردن اطلاعات غیرقابل‌اعتماد و دسترسی ناکافی، وجود داشته است.

دوست عزیز

به انتهای این مقاله رسیدیم. از اینکه تا به اینجای کار با ما همراه بودید، سپاسگزاریم. خوشحال می‌شویم که نظر شما عزیزان را در قسمت کامنت مطالعه کنیم. اگر به مطالب بیشتر در حوزه‌ی امنیت و هک علاقمندید می‌توانید وبلاگ ما را دنبال کنید.

برچسب‌ها:
جدیدتر راخنی چیست و چگونه می‌توان از وقوع آن جلوگیری کرد؟
قدیمی‌تر معرفی جامع الگوی تاریک در طراحی تجربه کاربری و راهکارهای جلوگیری از آن توسط کاربران اپلیکیشن‌ها

مطالب مرتبط

۲ نظر در “راهکارهای جلوگیری از سرقت اطلاعات شخصی توسط اپلیکیشن‌ها

  1. بازتاب: وبلاگ شیدو | وبلاگ سایت آگهی های رایگان شیدو
  2. بازتاب: وبلاگ | شید افزار رایانه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.