سرقت هویت چیست؟ چگونه از هویت خود محافظت کنیم؟

0 90
۵/۵ - (۱۰ امتیاز)

فهرست

در این مقاله قصد داریم در مورد یکی از چالش های بسیار مهم در امنیت فضای مجازی و امنیت اینترنت یعنی سرقت هویت صحبت کنیم. ابتدا به بررسی موضوع پرداخته و سپس راهکارهایی برای محافظت از هویت خود در فضای مجازی و شبکه اینترنت ارائه می دهیم.

سرقت هویت یا Identity Theft چیست؟

سرقت هویت استفاده بدون اجازه از اطلاعات شخصی دیگران به قصد انجام کلاهبرداری، سوءاستفاده و کارهای خلاف دیگر می باشد. قربانیان این عمل به سه دسته تقسیم می شوند. دسته ی اول قربانیانی هستند که عمل سرقت اطلاعات از آن ها برای آن ها تنها یک آزار و اذیت کوتاه مدت محسوب می شود و می توانند به سرعت مشکل خود را حل کنند. دسته ی دوم قربانیانی هستند که دچار ضرر و زیان بسیاری از جمله تخریب اعتبار، ضرر مالی شدید، محروم شدن از حقوق شهروندی، از دست دادن شغل و … می شوند. این دسته از قربانیان ماه ها و حتی سال ها، با هزینه های زیاد در پی بازیابی هویت خود هستند و در این مدت زیان های متعددی را متحمل می شوند. اما دسته ی سوم قربانیانی هستند که به دلیل جرم هایی که با هویت آن ها انجام شده دستگیر شده و به زندان می افتند! این دسته از قربانیان تا زمانی که نتوانند بی گناه بودن خود را ثابت کنند در حالت بازداشت و تعقیب باقی می مانند. باید توجه داشت که اثبات بی گناهی در این موضوع بسیار کار دشوار و هزینه بری است چرا که شخص دیگر با اطلاعات هویتی مجاز قربانی اقدام به انجام کارهای خلاف کرده و هیچ نشانی از وی باقی نمانده است.

سرقت هویت چگونه رخ می دهد؟

روش های مورد استفاده در سرقت هویت بسیار گسترده است. روش های سنتی سرقت هویت از جمله سرقت اسناد ارسال شده از صندوق پستی، زباله گردی و سرقت موارد مهم از سطل زباله (برای مثال صورت بانکی یا کلمه عبور ارائه شده توسط بانک در هنگام افتتاح حساب)، سرقت کیف پول، کپی گرفتن از کارت های اعتباری و… عموما در دنیای واقعی و برا اثر سهل انگاری یا اعتماد بی جا شکل می گیرند. 

اما روش های مدرن برای سرقت هویت در فضای مجازی و شبکه اینترنت می توانند بخش وسیعی از تکنیک ها و تاکتیک های مورد استفاده در حملات سایبری را پوشش دهند. در مورد روش های سرقت اطلاعات در فضای مجازی و شبکه اینترنت می توان به تکنیک های مختلف فیشینگ از جمله فیشینگ فریبنده و اسپیر فیشینگ، دانلود یک بد افزار روی کامپیوتر یا موبایل و تبلت، اتصال به شبکه های وایرلس ناامن (عموما بدون کلمه عبور)، استفاده از عابر بانک ها یا ATMهایی که روی آن ها یک دستگاه یا تراشه ی اسکیم که اطلاعات کارت را ذخیره می کند، استفاده از کلمات عبور ضعیف، اشتراک کلمات عبور با دیگران، نشت اطلاعات در پی حمله سایبری به سازمان ها، دولت، مراکز نظامی، مراکز آموزشی و… اشاره کرد.

چگونه از هویت خود در فضای مجازی و شبکه اینترنت محافظت کنیم؟

اولین اقدام برای محافظت از هویت خود بالابردن دانش و اطلاعات در مورد روش های سرقت اطلاعات می باشد. طبیعی است شخصی که مثلا در مورد تکنیک های مهندسی اجتماعی دانش کافی دارد کمتر در معرض خطر سرقت هویت قرار می گیرد چرا که برای مثال می داند روی هر لینکی که در ایمیل خود مشاهده می کند نباید کلیک کند. اما ما در این بخش روش هایی برای بالا بردن امنیت خود در فضای مجازی و شبکه اینترنت ارائه می دهیم که می توانند خطر سرقت هویت را به حداقل برسانند.

استفاده از نرم افزارهای امنیتی روی کامپیوتر و تلفن همراه

استفاده از نرم افزارهای امنیتی مثل آنتی ویروس ها می تواند خطر نصب و اجرای بدافزارهای مختلف را به حداقل برسانند. توجه شود اگر بدافزار روی یکی از سیستم های شما که اطلاعات شخصی، نام های کاربری و کلمات عبور در آن وجود دارد، با موفقیت اجرا شود از آن پس می تواند به این اطلاعات شما دسترسی داشته باشد و از آن ها سوءاستفاده کند.

بروزرسانی سریع سیستم عامل ها و نرم افزارها

هنگامی که یک آسیب پذیری یا ضعف در یک سیستم عامل یا نرم افزار و محصول دیگر کشف می شود، تولید کنندگان سریعا اقدام به ارائه وصله یا Patch آن می کنند. این وصله آسیب پذیری و ضعف قبلی را برطرف کرده و تولید کننده به عنوان بروزرسانی این وصله ها را در اختیار مصرف کنندگان قرار می دهد. فرض کنید یک آسیب پذیری در مدیریت حافظه مثلا سرریز بافر یا Buffer Overflow در یک نرم افزار باعث گرفتن دسترسی کامل به سیستم شود. هکر با استفاده از این آسیب پذیری می تواند به سیستم آسیب پذیر (سیستمی که نرم افزار آسیب پذیر روی آن نصب است) نفوذ کرده و از آن بهره برداری (در اینجا سرقت هویت) انجام دهد. وقتی این آسیب پذیری در نرم افزار مورد نظر کشف می شود، تولید کننده اقدام به برطرف کردن آن و ارائه نسخه جدید آن می کند. حال اگر بروزرسانی برای برطرف شدن این آسیب پذیری توسط کاربر انجام نشود، هکرها با یک بررسی ساده می توانند متوجه استفاده کاربر از نسخه ی قبلی نرم افزار شوند و از آن سوءاستفاده کنند. بنابراین لازم است بروزرسانی همواره در سریع ترین زمان ممکن انجام شود.

ارتقاء دانش در تشخیص کلاهبرداری ها و هرزنامه یا اسپم ها

همانطور که در ابتدای این بخش گفتیم، ارتقا سطح دانش نسبت به تکنیک های فریبنده اولین گام در مقابله با سرقت هویت است. یاد بگیرید شیوه های کلاهبرداری مجازی را فرا بگیرید. برای مثال روی هر لینکی کلیک نکنید. هر پیشنهاد فریبنده چه در ایمیل چه در وب سایت ها را دنبال نکنید. تصاویری که در ایمیل ها برای شما ارسال می شود را بدون اطمینان به شخص ارسال کننده باز نکنید. فایل های مربوط به مایکروسافت آفیس و فایل های پی دی اف مشکوک را باز نکنید (این آموزش را مشاهده کنید). اگر فایل های مربوط به مایکروسافت آفیس را باز کردید به هیچ وجه اجازه اجرای ماکرو را ندهید (لینک قبلی را مشاهده کنید). اگر ایمیلی از همکارتان دریافت کردید که در آن درخواست عجیبی وجود داشت سریعا در مورد آن با وی صحبت کنید و پس از آن در صورت عدم وجود مشکل، درخواست وی را اجرا کنید (ممکن است به ایمیل همکار شما نفوذ شده باشد). اگر ایمیلی از بانک به شما ارسال شده، از طریق لینک ارائه شده در ایمیل وارد سایت نشوید و سعی کنید مستقیما با آدرس سایت یا با استفاده از موتورهای جستجو اقدام به باز کردن سایت شوید.
به ایمیل زیر توجه کنید:

اسپم

همانطور که مشاهده می کنید این ایمیل با ظاهری طبیعی و با پیشنهاداتی وسوسه کننده اقدام به ارسال اسپم کرده است که در صورت پیروی از مراحل کاری قربانی یک سرقت هویت یا فیشینگ می شوید. حال به آدرسی که این ایمیل را ارسال کرده توجه کنید:

آدرس اسپمر

مشاهده می شود دامنه یک عبارت تصادفی و عجیب است و ایمیل نیز به افراد زیادی ارسال شده است.

از کلمات عبور پیچیده استفاده کنید

حساب هایی با کلمات عبور ساده هدف شیرین و بی دردسر هکرها هستند مخصوصا اگر یک کلمه عبور خاص یا مشابه آن را در چندین جای مختلف استفاده کنید. از کلمات عبوری استفاده کنید که بیشتر از ۱۰ کاراکتر باشند. از ترکیب حروف بزرگ و کوچک استفاده کنید. از اعداد و حروف و کاراکترهای خاص مثل $، *، ٪ و… استفاده کنید. کلمه عبور شما نباید ارتباطی با اطلاعات شخصی شما، مخصوصا اطلاعات شخصی عمومی شما مثل نام، سن، تاریخ تولد، نام همسر، نام فرزند و… داشته باشد. استفاده از ورود دو مرحله ای می تواند مناسب باشد. برای مثال برای کرک کردن یک کلمه عبور تنها شامل عدد و حروف غیرخاص و دارای ۶ کاراکتر کمتر از یک ثانیه وقت لازم است در حالیکه این زمان برای یک کلمه عبور ۱۰ کاراکتری شامل تنها عدد و حروف غیرخاص ۲۱ روز و ۱۴ ساعت می باشد! آموزش های مربوط به کلمات عبور را در این دسته بندی مشاهده کنید.

بر گزارش های اعتباری، حساب ها و کارت های اعتباری خود را نظارت کنید

سعی کنید در هر فصل گزارش های اعتباری دریافت کنید. اگر کارت اعتباری، وام، تراکنش به نام شما صادر شده که شما از آن بی خبر هستید سریعا موضوع را با صادر کننده در میان بگذارید و علت را جویا شوید. اگر کارت اعتباری یا کیف پول شما به سرقت رفت سریعا کارت را بلاک کرده و موضوع را با پلیس در میان بگذارید.

فقط از وب سایت های معتمد و دارای اعتبار برای خرید و تراکنش استفاده کنید

اگر اعتبار وب سایت یا شرکت ارائه دهنده محصولی برای شما محرز نیست، تراکنش انجام ندهید و ترجیحا از محصولات آن شرکت خرید نکنید. برای خرید یا حتی بازدید از یک وب سایت سعی کنید با آدرس مستقیم یا با استفاده از موتورهای جستجو اقدام کنید. گواهینامه SSL وب سایت را بررسی کرده و از اعتبار، مالک و مرکز صادر کننده گواهینامه اطمینان حاصل کنید. ترجیحا ورژن پروتکل مورد استفاده را چک کنید. به عنوان مثال به علامت قفل در کنار وب سایت آکادمی ترجنس توجه کنید:

SSL/TLS

این قفل نشان دهنده استفاده وب سایت از رمزنگاری و پروتکل TLS/SSL است. اما باید دقت کنید جاسازی این قفل در کنار وب سایت ها بصورت جعلی نیز امکان پذیر است. بنابراین بررسی های بیشتری انجام دهید. اگر روی قفل کلیک کنید اطلاعات زیر را مشاهده می کنید:

اعتبار گواهینامه دیجیتال

این اطلاعات به شما می گوید که ارتباط شما از یک بستر امن رمزنگاری شده استفاده می کند (Connection is secure) و همچنین گواهینامه وب سایت معتبر است (Certificate (Valid)). برای بررسی بیشتر روی Certificate کلیک کنید. اطلاعات زیر را مشاهده می کنید:

جزئیات گواهینامه دیجیتال

این تصویر شامل اطلاعات مفیدی از جمله وب سایت مالک گواهینامه، صادر کننده گواهینامه، زمان صدور و انقضا گواهینامه و اثر انگشت آن بصورت هش می باشد. حتی برای اطلاعات بیشتر می تواند به سربرگ Details نمایش داده شده در تصویر بالا مراجعه کنید.

یک مثال از سرقت هویت

به تصویر زیر توجه کنید:

سرقت هویت از طریق شبکه بی سیم

این تصویر یک شبکه بی سیم یا وایرلس را نمایش می دهد. این شبکه وایرلس یک شبکه وایرلس ناامن و باز است. که احتمالا توسط حمله کننده مستقر شده است و کاربر فرصت طلب از آن استفاده می کنند. این شبکه دارای ضعیف ترین پروتکل های امنیتی است و برای اتصال راحت کاربران باز و بدون کلمه عبور در محیط قرار داده شده است. کاربری به نام باب اقدام به ورود به یکی از حساب های شبکه اجتماعی خود می کند. برای این کار نام کاربری و کلمه عبور خود را وارد می کند. با توجه به اینکه ارتباط رمزنگاری شده نیست یا پروتکل استفاده شده بسیار ضعیف است، حمله کننده می تواند با یک حمله غیرفعال اقدام به شنود یا Sniff کانال کند. با این کار نام کاربری و کلمه عبور باب که بصورت فاش روی کانال عبور می کند در اختیار مهاجم قرار می گیرد و از آن پس مهاجم می تواند با این اطلاعات از حساب کاربری باب سوءاستفاده کند. حمله مرد میانی که یک حمله فعال با استفاده از شنود است را مشاهده کنید.

مثال دیگر

به تصویر زیر توجه کنید:

سرقت هویت در سیستم مالیاتی

در این تصویر کلاهبردار با استفاده از هویت سرقت شده یک شخص حقوقی مجاز اقدام به استرداد می کند. مرکز وقتی اطلاعات شخص مجاز را بررسی می کند به اعتبار آن پی برده و درخواست وی را پاسخ می دهد. مدتی بعد شخص مجاز واقعی با ارائه هویت خود اقدام به استرداد می کند. مرکز به دلیل تکراری بودن عملیات از پاسخ به درخواست وی ممانعت می کند و در عوض یک خطا برای وی ارسال می کند. در این نقطه شخص مجاز واقعی از یک سرقت هویت باخبر می شود.

سخن پایانی

به گفته ی FTC سالانه ۹ میلیون شهروند آمریکایی قربانی سرقت هویت می شوند و از سال ۲۰۰۵ حداقل ۵۳۴ میلیون رکورد شامل هویت اشخاص در حملات سایبری لو رفته اند. با این آمار و ارقام محافظت از خود در فضای مجازی و شبکه اینترنت امری ضروری است. البته سازمان ها و دولت ها باید در سطح اول اقدام به هاردنینگ مراکز و آموزش افراد کنند. درواقع می توان گفت فرهنگ سازی و آموزش افراد وظیفه دولت هاست اما کاربران نیز باید بطور پیوسته دانش خود را در این زمینه افزایش دهند. شرکت ها نیز باید همواره امنیت خود را با سرویس هایی از جمله تست نفوذ مورد ارزیابی قرار دهند.
ما در این مقاله سعی کردیم با ارائه تعاریف، مثال ها و روش های محافظت از هویت خود در مقابل سرقت هویت سهمی در افزایش دانش کاربران در این زمینه داشته باشیم. پیشنهاد می شود مقالات و آموزش های مربوط به مهندسی اجتماعی، تبلیغات مخرب، ترس افزارها و جاسوس افزارها را مشاهده کنید.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
دوره‌های آکادمی ترجنس | courses.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence

ارسال یک پاسخ