مجوزهایی که هنگام نصب یک برنامه توسط کاربر اعطا میشود، مسئول سوءاستفاده و سرقت اطلاعات شخصی ما هستند. وقتی برنامههایی را از منابع غیررسمی نصب میکنیم، خطر سرقت اطلاعات افزایش مییابد.
در این مقاله سعی داریم تا راهکارهای بسیار کاربردی و ساده برای جلوگیری از سرقت اطلاعات شخصی توسط برنامهها و اپلیکیشنهای مختلف ارائه کنیم. همچنین در مورد چیستی سرقت اطلاعات و نحوهی انجام آن نیز توضیحاتی خواهیم داد.
در ضمن اگر بهدنبال سایر راههای محافظت از رایانه و اطلاعات شخصی خود، در برابر انواع خطرات هستید، میتوانید مقالهی ما را با عنوان راهکارهای جلوگیری از هک شدن تلفن همراه، مطالعه کنید.
مقدمه
برنامههای واقعا وسوسه انگیزی وجود دارند که نسخه پریمیوم را ارائه میدهند.
در نتیجه، برخی از کاربران به مخازن غیررسمی خارج از اپاستور یا گوگلپلی مراجعه میکنند و فکر میکنند که تنها تفاوت برنامه رسمی و نسخه دزدی آن، وجود برخی تبلیغات است و در نهایت عملکردهای مشابهی را به دست میآورند. نسخهی دزدی یک برنامه و نسخه رسمی آن نمیتوانند با یکدیگر یکسان باشند.
درواقع در فضای دیجیتال نیز، باید همان استانداردهایی را که در زندگی واقعی وجود دارد دنبال کنید: فکر کردن به اینکه دقیقاً همان کالا یا خدمات مشخص را بدون پرداخت هیچ هزینهای دریافت میکنیم، کمی احمقانه است.
هیچکس چیزی را مجانی به ما نمیدهد.
اصطلاح سرقت داده میتواند این تصور را که این نوع نقض مبتنی بر یک سوءنیت است، ایجاد کند.
اما همیشه اینطور نیست: سرقت اطلاعات نیز میتواند یک اقدام غیرعمدی باشد. برای مثال، یک کارمند را در نظر بگیرید که ممکن است اطلاعات یک فلش مموری ناامن را به خانه ببرد، یا پس از پایان قراردادش همچنان دسترسی به اطلاعات را، حفظ کند.
سرقت اطلاعات از کارمندان اغلب بدون آگاهی آنها صورت میگیرد، در نتیجه حسابها یا دستگاههای شخصی آنها توسط هکرها به خطر میافتد که معمولا قربانیان از رمزهای عبور ضعیف یا شبکههای ناامن استفاده میکنند.
مهاجمانی که به رایانههای شرکتها دسترسی پیدا میکنند میتوانند در داخل شبکهها کمین کنند و برای روزها، هفتهها یا سالها وانمود کنند که یک کاربر قانونی میباشند.
فهرست مطالب
سرقت اطلاعات چیست؟
سرقت اطلاعات در واقع انتقال یا ذخیرهی غیرقانونی اطلاعات شخصی، محرمانه یا مالی میباشد. این میتواند شامل گذرواژهها، کدهای نرم افزاری یا الگوریتمها و فرآیندها و همچنین فناوریهای اختصاصی باشد.
سرقت دادهها یک نقض جدی امنیت و حریم خصوصی است که عواقب بسیار بدی برای افراد و سازمانها بههمراه دارد. هنگامی که یک شخص غیرمجاز به اطلاعات شخصی یا مالی شما دسترسی پیدا میکند، می تواند بدون اجازه مالک، آن را حذف و تغییر دهد یا از دسترسی به آن جلوگیری کند.
سرقت اطلاعات شخصی معمولاً به این دلیل رخ می دهد که هکرها می خواهند یا اطلاعات را بفروشند یا از آن برای سرقت هویت استفاده کنند.
سارقان اطلاعات می توانند با استفاده از نام قربانی از دادهها برای دسترسی به حساب های امن و راه اندازی کارت های اعتباری استفاده کنند. سرقت اطلاعات در ابتدا یک مشکل برای کسبوکارها و سازمانها بود، اما متاسفانه اکنون به یک مشکل رو به رشد برای افراد تبدیل شده است.
در حالی که این اصطلاح به سرقت اشاره دارد، سرقت داده بهمعنای واقعی کلمه بهمنظور دزدیدن یا حذف اطلاعات از قربانی نیست.
در عوض، سرقت دادهها بهمعنای این است که: مهاجم بهسادگی اطلاعات را برای استفاده خود کپی میکند.
عبارات «نقض دادهها» و «نشت دادهها» نیز میتوانند بهجای یکدیگر در هنگام بحث درباره سرقت اطلاعات استفاده شوند. با این حال، آنها متفاوت هستند:
- نشت دادهها زمانی رخ میدهد که دادههای حساس بهطور تصادفی، چه در اینترنت یا از طریق هارد دیسکها یا دستگاههای گمشده، در معرض دید قرار میگیرند. این امر مجرمان سایبری را قادر میسازد تا بدون تلاش به دادههای حساس دسترسی غیرمجاز پیدا کنند.
- در مقابل، نقض دادهها به حملات سایبری عمدی اشاره دارد.
سرقت اطلاعات چگونه اتفاق میافتد؟
سرقت اطلاعات یا سرقت دیجیتال از روشهای مختلفی صورت میگیرد. برخی از رایجترین آنها عبارتند از:
1) مهندسی اجتماعی:
رایجترین شکل مهندسی اجتماعی؛ فیشینگ است. فیشینگ زمانی اتفاق میافتد که مهاجم بهعنوان یک شخص یا کاربر قابلاعتماد ظاهر میشود، تا قربانی را فریب دهد که ایمیل، پیام متنی یا پیام فوری را باز کند.
یکی از دلایل رایج سرقت اطلاعات شخصی گرفتار شدن کاربران در معرض حملات فیشینگ است.
2) رمزهای عبور ضعیف:
استفاده از رمز عبوری که بهراحتی بتوان آن را حدس زد. یا استفاده از رمز عبور یکسان برای چندین حساب کاربری، میتواند به مهاجمان اجازه دسترسی به دادهها را بدهد.
3) آسیبپذیریهای سیستم:
نرمافزارهای کاربردی یا سیستمهای شبکهای که ضعیف طراحی یا پیادهسازی شدهاند، آسیبپذیریهایی ایجاد میکنند که هکرها میتوانند از آنها سوءاستفاده و برای سرقت اطلاعت از آنها بهره بگیرند. آنتیویروس قدیمی نیز میتواند آسیبپذیری جدی ایجاد کند.
خط مقدم محافظت از امنیت کامپیوتر شما، استفاده از آنتیویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام بهروزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، ضدویروس و امنیت اینترنتی شید را پیشنهاد میکنیم.
در نسخه امنیت اینترنتی شید شما میتوانید در برابر ویروسها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداختها و کارهای بانکیتان نباشید. همچنین کنترل برنامههای دستگاهتان را در دست بگیرید.
اما آنچه که این محصول را برای شما جذابتر میکند، امکان دانلود رایگان و استفاده آزمایشی ۳۰ روزه است. این فرصت بینظیر به شما اجازه میدهد تا بدون پرداخت هزینه، تمام قابلیتهای امنیت اینترنتی شید را تجربه کرده و از امکانات پیشرفته آن بهرهمند شوید.
جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.
4) تهدیدات داخلی:
کارکنانی که برای یک سازمان کار میکنند به اطلاعات شخصی مشتریان نیز دسترسی دارند. کارمندان سرکش یا پیمانکاران ناراضی میتوانند دادهها را کپی کنند، تغییر دهند یا به سرقت ببرند.
با این حال، تهدیدات داخلی لزوماً محدود به کارمندان فعلی نیست. آنها همچنین میتوانند کارمندان، پیمانکاران یا شرکای سابق باشند که به سیستمها یا اطلاعات حساس یک سازمان دسترسی دارند.
آمارها نشان میدهد که تهدیدات داخلی در حال افزایش است.
5) خطای انسانی:
همیشه نقض دادهها نتیجه اقدامات مخرب نیست. گاهی اوقات میتوانند نتیجه خطای انسانی باشند.
خطاهای رایج عبارتند از ارسال اطلاعات حساس به شخص اشتباه، مانند ارسال ایمیل به آدرس نادرست، پیوست کردن سند اشتباه، یا تحویل یک فایل فیزیکی به شخصی که نباید به اطلاعات دسترسی داشته باشد.
از طرف دیگر، خطای انسانی میتواند شامل پیکربندی نادرست باشد، مانند اینکه یک کارمند؛ پایگاه دادهای که حاوی اطلاعات حساس است را بهصورت آنلاین و بدون محدودیت رمز عبور ترک میکند.
6) اعمال فیزیکی:
برخی از سرقت اطلاعات نتیجه جرایم سایبری نیست، بلکه انواعی از اقدامات فیزیکی است. که شامل سرقت اسناد یا وسایلی مانند لپتاپ، تلفن یا دستگاههای ذخیرهسازی است.
با گسترش روزافزون دورکاری، دامنه گم شدن یا دزدیده شدن دستگاهها نیز افزایش یافته است. اگر در یک مکان عمومی مانند کافیشاپ کار میکنید، شخصی میتواند صفحه کلید شما را تماشا کند تا اطلاعاتی مانند جزئیات ورود به سیستم شما را به سرقت ببرد.
7) مشکلات پایگاه داده یا سرور:
اگر شرکتی که اطلاعات شما را ذخیره میکند بهدلیل مشکل در پایگاه داده یا سرور، مورد حملهی هکرها قرار گیرد، در این صورت مهاجمان میتوانند به اطلاعات شخصی مشتریان دسترسی داشته باشند.
8) نشر اطلاعات در فضای مجازی:
اطلاعات زیادی را میتوان در فضای مجازی پیدا کرد. بهعنوان مثال، از طریق جستجوهای اینترنتی و جستجو از طریق پستهای کاربران در شبکههای اجتماعی.
معمولا چه نوع از دادههایی توسط اپلیکیشنها دزدیده میشوند؟
هرگونه اطلاعات ذخیره شده توسط یک فرد یا سازمان میتواند هدف بالقوهای برای سارقان داده باشد. در زیر برخی از آنها را عنوان کردهایم:
- سوابق مشتری
- دادههای مالی مانند اطلاعات کارت اعتباری یا کارت بدهی
- کدهای منبع و الگوریتمها
- توضیحات فرآیند اختصاصی و روشهای عملیاتی
- اعتبار شبکه مانند نام کاربری و رمز عبور
- سوابق منابع انسانی و دادههای کارکنان
- اسناد خصوصی ذخیره در رایانهها
عواقب و خطرات سرقت اطلاعات شخصی ما
برای سازمانهایی که از نقض دادهها رنج میبرند، عواقب آن میتواند بسیار شدید و خطرناک باشد:
- شکایتهای احتمالی از سوی مشتریانی که اطلاعات آنها افشا میشود.
- باجگیریها از سوی مهاجمان.
- هزینههای بازیابی. بهعنوان مثال، بازیابی یا پچ سیستمهایی که نقض شدهاند.
- صدمه به شهرت و از دست دادن مشتریان.
- جریمه از سوی نهادهای نظارتی (بسته به صنعت).
- زمان زیادی که صرف بازیابی اطلاعات میشود.
برای افرادی که اطلاعات آنها به سرقت میرود، پیامد اصلی این است که میتواند منجر به سرقت هویت آنها نیز شود، که باعث زیانهای مالی و ناراحتی عاطفی شود.
راهکارهای جلوگیری از سرقت اطلاعات شخصی
بنابراین، سوالی که پیش میآید این است که: چگونه میتوان از دادهها در برابر مجرمان سایبری محافظت کرد؟ در واقع چندین مرحله برای جلوگیری از سرقت اطلاعات شخصی توسط مجرمان وجو دارد. در ادامه به توضیح این عوامل خواهیم پرداخت:
1) از رمزهای عبور امن استفاده کنید:
در صورتی که شما از رمز عبور قوی استفاده نکنید؛ گذرواژهها میتوانند بهراحتی توسط هکرها شکسته شوند.
یک رمز عبور قوی حداقل 12 کاراکتر یا بیشتر دارد که شامل ترکیبی از حروف بزرگ و کوچک به اضافه نمادها و اعداد است.
شما باید از انتخابهای ساده و واضح اجتناب کنید، مانند اعداد متوالی 1234 یا اطلاعات شخصی که ممکن است کسی که شما را میشناسد بتواند آن را حدس بزند، مانند تاریخ تولد یا نام حیوان خانگی.
2) عدماستفاده از رمز عبور یکسان برای چندین حسابکاربری:
در صورتی که از یک رمز عبور برای چندین حساب خود استفاده میکنید، اگر یک هکر رمز عبور شما را تنها در یک وبسایت شکست دهد، به بسیاری دیگر نیز دسترسی خواهد داشت. فراموش نکنید که رمزهای عبور خود را بهطور منظم تغییر دهید (هر شش ماه یا بیشتر).
3) از نوشتن رمزهای عبور خودداری کنید:
نوشتن رمز عبور در هرجایی ، چه روی یک تکه کاغذ، در صفحه گسترده اکسل یا در برنامه Notes باعث لو رفتن آنها توسط هکرها میشود. اگر گذرواژههای زیادی دارید که نمیتوانید به خاطر بسپارید، از یک برنامهی مدیریت رمز عبور استفاده کنید.
4) احراز هویت چندعاملی:
احراز هویت چندعاملی MFA که در اصل احراز هویت 2 مرحلهای TFA رایجترین آن است؛ ابزاری است که به کاربران اینترنت سطح بیشتری از امنیت را ارائه میدهد.
احراز هویت 2عاملی به دو شکل مجزا از شناسایی، برای دسترسی به حسابتان نیاز دارد.
عامل اول رمز عبور است و عامل دوم معمولاً شامل متنی یا کدی است که با استفاده از اثر انگشت، صورت یا شبکیه چشم به تلفن هوشمند یا بیومتریک شما ارسال میشود.
5) هنگام اشتراکگذاری اطلاعات شخصی مراقب باشید:
سعی کنید تصمیم به اشتراکگذاری اطلاعات خود را براساس نیاز به انتشار، چه آنلاین و چه آفلاین تعیین کنید.
برای مثال، اگر فردی اطلاعات شخصی شما را میپرسد (مانند شماره تامین اجتماعی، شماره کارت اعتباری، شماره پاسپورت، تاریخ تولد، سابقه کار یا وضعیت اعتباری و غیره)، از خودتان بپرسید چرا به آن نیاز دارد و چگونه از آن استفاده خواهد کرد.
6) اشتراکگذاری رسانههای اجتماعی را محدود کنید:
با تنظیمات امنیتی هر پلتفرم شبکهی اجتماعی آشنا شوید. از افشای اطلاعات شخصی مانند آدرس یا تاریخ تولد خود در بایو رسانههای اجتماعی خودداری کنید. زیرا مجرمان میتوانند از این دادهها برای ایجاد تصویری درباره شما استفاده کنند.
7) حسابهای استفاده نشده را ببندید:
اکثر ما برای خدمات آنلاینی که دیگر از آنها استفاده نمیکنیم ثبت نام کردهایم. در پلتفرمی که این حسابها هنوز وجود دارند، احتمالاً حاوی ترکیبی از دادههای شخصی، جزئیات هویت و شماره کارت اعتباری شما نیز هست.
تمام این اطلاعات ارزشمند میتواند مورد سوءاستفادهی مجرمان سایبری قرار بگیرند. برای محافظت از حریم خصوصی خود، توصیه میشود دادههای شخصی خود را از پلتفرمهایی که دیگر استفاده نمیکنید حذف کنید.
شما میتوانید این کار را با بستن حسابهای قدیمی بهجای غیرفعال کردن آنها، انجام دهید.
8) سیستمها و برنامهها را بهروز نگهدارید:
تمام سیستمعاملها و برنامههای نرمافزاری و مرورگرهای وب را بهطور منظم بهروزرسانی کنید.
9) حسابهای خود را زیر نظر داشته باشید:
مرتباً صورتحسابهای بانکی یا کارت اعتباری یا سایر حسابهای خود را بررسی کنید تا بتوانید مشاهده کنید که آیا هزینهی غیرمجازی کسر شده است یا خیر.
گاهی ممکن است پیامک یا اعلانی از سوی بانک دریافت نکنید، بنابراین توصیه میشود که همواره خودتان مراقب باشید.
10) مراقب وایفای رایگان باشید:
استفاده از وایفای عمومی رایگان برای بسیاری از مردم به یک روال روزمره تبدیل شده است. اما هاتاسپاتهای عمومی وایفای میتوانند اهداف آسانی برای هکرها و مجرمان سایبری باشند که میتوانند از آنها برای سرقت اطلاعات شخصی شما استفاده کنند.
برای ایمن ماندن در Wi-Fi عمومی، از باز کردن یا ارسال دادههای حساس خودداری کنید، بلوتوث خود را خاموش کنید، سعی کنید همیشه از VPN و فایروال استفاده کنید.
جمعبندی موارد فوق برای جلوگیری از سرقت اطلاعات شخصی:
قبل از دانلود، همیشه برنامهها و نرمافزارهایی را انتخاب کنید که از منابع معتبر و مخازن رسمی مانند App Store و Google Play میآیند. اگرچه آنها 100٪ عاری از بدافزار نیستند، اما مکانیسمهای امنیتی زیادی برای جلوگیری از برنامههای مخرب و ناامن دارند.
Android و iOS برای جلوگیری از دانلودهایی که از منابع قابلاعتماد نیستند، در پیکربندیهای امنیتی خود ، امکان مسدود کردن دانلود برنامههایی با منشأ ناشناخته را ارائه میدهند.
مجوزهایی را که برنامهها درخواست میکنند بررسی کنید و تصمیم بگیرید که آیا آنها واقعاً مورد نیاز هستند یا خیر. اگر آنها بیش از حد وارد حریم خصوصی شما میشوند، بهتر است گزینهی less intrusive option یا مزاحمت کمتر را انتخاب کنید.
همیشه کامنتها و ارزیابیهای سایر کاربران در مورد هر برنامهای را، چه در فروشگاه برنامه ها و چه در انجمنهای آنلاین، مطالعه و تجزیهوتحلیل کنید.
قبل از دانلود برنامهای که نسخه اصلی نیست، خطرات آن را تحلیل و ارزیابی کنید. در نظر بگیرید که آیا دانلود آن واقعاً ارزشمند است یا خیر.
جدیدترین یافتهها در مورد سرقت اطلاعات شخصی
علیرغم افزایش آگاهی نسبت به امنیت اینترنتی و رخنههای امنیتی مهم؛ تحقیقات نشان میدهد که تقریباً نیمی از اپلیکیشنها، اطلاعات کاربران را بهخطر میاندازند و تمام آنها حداقل یک نقطهضعف برای شروع این آسیبپذیری دارند.
شرکت فناوریهای مثبت Positive Technologies آزمایشهای مختلفی را در این حوزه انجام داده است.
در این آزمایشها که روی 23 اپلیکیشن متفاوت انجام شده؛ از ابزارهای خودکار و دستی و همچنین روشهای جعبهی سفید، خاکستری و سیاه استفاده شده است.
نتایج این آزمایشات نشان میدهد که مهاجمان اینترنتی میتوانند از 44 درصد اپلیکیشنهایی که با اطلاعات کاربران سروکار دارند (مثل آنهایی که برای وبسایتهای بانکی هستند یا آنهایی که برای فروشگاههای اینترنتی جنس عرضه میکنند و همچنین شرکتهای ارتباطاتی)، اطلاعات شخصی دیگران را به سرقت ببرند.
محققان دریافتهاند که میانگین امنیت نرمافزارهای اینترنتی همچنان ضعیف است. هر اپلیکیشنی که مورد آزمایش قرار گرفته دارای عیوبی در سطوح مختلف امنیتی بوده است.
گزارش این تحقیق همچنین بیان میکند که آسیبپذیریهای امنیتی میتوانند در بیش از نیمی از اپلیکیشنهای استفاده شده برای این آزمایش مورد سوءاستفاده قرار بگیرند و تضمین میکند که افراد سودجو میتوانند به اطلاعات حساس، فرمانهای مدیریتی یک سرور و کنترل کامل یک سیستم دست پیدا کنند.
محققان همچنین دریافتهاند که حملاتی که به اپلیکیشنهای اینترنتی میشوند در 96 درصد موارد موفقیتآمیز است و 48 درصد اپلیکیشنها در مقابل دسترسی بدون مجوز، آسیبپذیر هستند. 17 درصد از این اپلیکیشنها آسیبپذیریهایی دارند که به مهاجمین این اجازه را میدهند تا کنترل کامل اپلیکیشن را به دست بگیرد.
جمعبندی
همان طور که بالاتر اشاره کردیم؛ آسیبپذیریها در 100 درصد اپلیکیشنهای اینترنتی وجود داشتهاند و از این بین 52 درصد این اپلیکیشنها دارای آسیبپذیریهایی در سطوح عمیق امنیتی هستند.
در بین 10 آسیبپذیری که در بیشتر اپلیکیشنهای اینترنتی دیده شده اشکالاتی نظیر: تزریقهای SQL، XML External Entities، فرماندهی به سیستمعامل، Path Traversal یا PHP، سریالی کردن اطلاعات غیرقابلاعتماد و دسترسی ناکافی، وجود داشته است.
دوست عزیز
به انتهای این مقاله رسیدیم. از اینکه تا به اینجای کار با ما همراه بودید، سپاسگزاریم. خوشحال میشویم که نظر شما عزیزان را در قسمت کامنت مطالعه کنیم. اگر به مطالب بیشتر در حوزهی امنیت و هک علاقمندید میتوانید وبلاگ ما را دنبال کنید.