كيف حصل شخص ما على كلمة المرور الخاصة بي؟

هل تلقيت يومًا بريدًا إلكترونيًا "ابتزازًا جنسيًا" يخبرك أن جهاز الكمبيوتر الخاص بك قد تم اختراقه ويحذرك من أنه إذا لم تدفع ، فسيصدرون مقاطع فيديو ذات طبيعة حميمة إلى قائمة جهات الاتصال بأكملها؟ هل تضمن البريد الإلكتروني كلمة مرور قديمة لك "كدليل" على صحة ادعاءاتهم؟ هل تساءلت كيف حصلوا على كلمة المرور الخاصة بك؟

ما هو التصيد؟

إحصائيًا ، ربما كان هذا من بريد إلكتروني للتصيد الاحتيالي. في عام 2018 ، بدأت 93٪ من جميع الخروقات على مستوى العالم بهجوم تصيد أو ذريعة.

رسائل البريد الإلكتروني التصيدية شائعة للغاية وفعالة للغاية. إنهم يستخدمون عواطف مثل الخوف والعار (في رسائل البريد الإلكتروني الخاصة بالابتزاز الجنسي أو "إعلانات تعزيز الذكور") ، أو الإلحاح (يحتاج رئيسي إلى هذا الآن!) ، أو الجشع (فزت بسيارة جديدة ؟؟).

يمكن أيضًا إرسالها عبر الرسائل النصية (SMiShing) والصوت (التصيد) والبريد الإلكتروني (التصيد الاحتيالي) والتصيد الاحتيالي على وسائل التواصل الاجتماعي.

كلما تكيف الناس أكثر ، كلما تغير المتسللون في الاستجابة - تتطور تكتيكاتهم باستمرار.  

عادةً ما تحتوي رسائل البريد الإلكتروني المخادعة على ارتباط أو مرفق. بمجرد النقر فوق الرابط أو فتح المرفق ، قد يقومون بتثبيت برامج ضارة على جهازك أو خداعك لإدخال بيانات الاعتماد الخاصة بك في موقع مزيف (يبدو تمامًا مثل الموقع الحقيقي). سيتحقق البرنامج الضار لمعرفة ما إذا كان بإمكانه استغلال الثغرات الأمنية غير المصححة لتثبيت المزيد من البرامج الضارة على نظامك (والذي يمكنه بعد ذلك سرقة كلمات المرور وتثبيت برامج تسجيل المفاتيح لتسجيل كل ضغطات المفاتيح - وبالتالي كلمات المرور الخاصة بك! - وما إلى ذلك).

بمجرد أن يسرق المتسلل بيانات الاعتماد الخاصة بك ، يمكنه القيام بأشياء مثل سرقة بياناتك المالية الشخصية أو معلومات حسابك ، أو تلك الخاصة بعملائك إذا حدث ذلك على جهاز مؤسستك.

يستحق التصيد الاحتيالي مقالته الخاصة تمامًا ، لذا إذا كنت مهتمًا بمعرفة كيفية التصيد الاحتيالي ، فاطلع على هذه المقالة.

كيف يمكنك منع التصيد الاحتيالي من التأثير عليك؟

من الصعب أيضًا الدفاع ضد التصيد. كفرد ، فإن أفضل ما يمكنك فعله هو توخي الحذر عند فتح رسائل البريد الإلكتروني - كن حذرًا من رسائل البريد الإلكتروني التي تؤثر على عواطفك ، أو تطلب منك اتخاذ قرارات سريعة ، أو تبدو جيدة جدًا لدرجة يصعب تصديقها.

ابحث عن مرسلين غير عاديين (هل تتعرف على الشخص الذي يرسل إليك بريدًا إلكترونيًا؟ هل هذا هو نفس عنوان البريد الإلكتروني الذي استخدموه من قبل؟) ، أو روابط أو مرفقات غير متوقعة. إذا لم تكن متأكدًا من شرعية البريد الإلكتروني ، فتأكد من أنه مع المرسل عبر طريقة اتصال مختلفة.

يجب عليك أيضًا استخدام برنامج الحماية من الفيروسات ونقاط النهاية. النسخة المدفوعة أفضل من النسخة المجانية ، حيث يتم تحديثها عند التعرف على برامج ضارة جديدة. لكن النسخة المجانية عادة ما تكون أفضل من لا شيء. أنا أحب Malwarebytes لأجهزة الكمبيوتر المحمولة.

ستستخدم فرق الأمن عددًا لا يحصى من الأدوات:

  • آليات تصفية البريد الإلكتروني التي تحاول تقليل رسائل التصيد الاحتيالي والبريد الإلكتروني العشوائي التي تصل إلى علب الوارد الخاصة بالمستخدم ،
  • تدابير مثل SPF و DKIM و DMARC والتي يمكن أن تساعد في توفير المصادقة على أن البريد الإلكتروني يخبر الحقيقة حول مصدره ،
  • تدريب توعية المستخدم ،
  • وآليات حماية نقطة النهاية.

يمكن أن تتراوح آليات حماية نقطة النهاية من مكافحة الفيروسات البسيطة إلى العوامل المثبتة على كل جهاز. سيحاول هؤلاء منع البرامج الضارة المعروفة من التشغيل ، وتحديد السلوك غير المعتاد ، ومنع العمليات الضارة من العمل عن طريق تنبيه فريق العمليات الأمنية أو إجبار البرنامج على الإقلاع.

بهذه الطريقة ، حتى إذا وصل البريد الإلكتروني من خلال عوامل التصفية ولم يلاحظ المستخدم أي خطأ ، فإن حماية نقطة النهاية ستمنع البرامج الضارة من إلحاق الضرر بالجهاز.

وإلا كيف يمكن لشخص ما الحصول على كلمة المرور الخاصة بي؟

في كثير من الأحيان عندما يخرق أحد المتطفلين شركة ما ، فسيبيعون أسماء المستخدمين وكلمات المرور التي حصلوا عليها على الويب المظلم.

Surface Web: ما يمكنك العثور عليه على Google أو محركات البحث الشائعة الأخرى. ربما يكون هذا هو معظم ما تعتقد أنه الإنترنت. بالمقارنة مع شبكة الويب العميقة ، يعد هذا جزءًا صغيرًا جدًا من المعلومات "عبر الإنترنت". Deep Web: المعلومات الموجودة على الإنترنت ، ولكن لم تتم فهرستها (قابلة للبحث) بواسطة Google والمتصفحات الشائعة الأخرى. هذه معلومات مثل تلك الموجودة في قواعد البيانات الحكومية أو الجامعية. غالبًا ما تكون هذه المعلومات مخفية خلف نظام حظر الاشتراك غير المدفوع أو آلية تقييد أخرى. الويب المظلم:يتطلب الويب المظلم متصفحات معينة ، مثل "متصفح TOR" للوصول إليه. بعض ، وليس كل ، من هذا المحتوى غير قانوني. غالبًا ما يكون هذا مكانًا يتجمع فيه المجرمون للتحدث في المنتديات ، وبيع الخدمات والسلع غير القانونية ، وفي بعض الأحيان يتجمع النشطاء الذين يعيشون في ظل الأنظمة القمعية للتواصل.

إذا كنت تعيد استخدام كلمات المرور وأسماء المستخدمين بين مواقع الويب المختلفة (خاصة وأن بريدك الإلكتروني ربما يكون مستخدمًا لك في العديد من مواقع الويب) ، فقد يكون لدى أحد المتطفلين اسم المستخدم وكلمة المرور بالفعل.

سيقوم المخترق بعد ذلك بتنفيذ شيء يسمى "حشو بيانات الاعتماد". يتم حشو بيانات الاعتماد عندما يأخذ المهاجم أسماء المستخدمين وكلمات المرور هذه ويقوم بتوصيلها في "مدقق حساب" آلي يحاول أساسًا تركيبة اسم المستخدم / كلمة المرور عبر العديد والعديد من المواقع المختلفة عبر الإنترنت ، من عمليات تسجيل الدخول إلى وسائل التواصل الاجتماعي إلى الحسابات المصرفية. إذا كانت كلمة المرور تعمل ، فإن المخترق لديه الآن حق الوصول إلى الحساب ويمكنه استنزاف الحساب وبيع البيانات وما إلى ذلك.

للحصول على وصف أفضل ، تحقق من الرسوم الهزلية XKCD أدناه.

كيف تدافع ضد حشو أوراق الاعتماد؟

لا تعيد استخدام كلمات مرورك. استخدم مدير كلمات المرور مثل 1Password أو LastPass. KeePass (في رأيي) أقل سهولة في الاستخدام ، لكنه مجاني!

يمكن لمديري كلمات المرور تخزين كلمات المرور الخاصة بك بشكل آمن وغالبًا ما يكون لديهم ملحقات وتطبيقات للمتصفح حتى يتمكنوا من الملء التلقائي لكلمات المرور الخاصة بك عبر العديد من الحسابات. بالإضافة إلى ذلك ، ما عليك سوى تذكر كلمة مرور رئيسية واحدة بهذه الطريقة. لكن كلمة مرورك الرئيسية تمنحك الآن إمكانية الوصول إلى جميع كلمات مرورك الأخرى ، لذا تأكد من أنها قوية جدًا!

يمكنهم أيضًا مساعدتك في إنشاء كلمات مرور قوية جدًا تلقائيًا ، وبعضها يحتوي على أقبية حتى تتمكن من تخزين معلومات حساسة أخرى (تفاصيل الحساب المصرفي ، معلومات التأمين ، إلخ).

أنا شخصياً أستخدم 1Password لأنني أحب خيار حساب العائلة - إذا تم قفل أي شخص في عائلتك ، فيمكن لشخص آخر إعادة تعيين كلمة مرور حسابه (ولكن لن يتمكن من الوصول إلى خزنك الفردي).

يمكنك أيضًا إعداد تنبيهات مجانية باستخدام Have I Been Pwned. يجمع هذا الموقع المعلومات من انتهاكات البيانات ويوفر للمستهلكين القدرة على استخدام هذه المعلومات لحماية أنفسهم. يمكنك الانتقال إلى علامة التبويب "إعلامي" في الجزء العلوي وإدخال عنوان بريدك الإلكتروني.

بعد تأكيد عنوان البريد الإلكتروني الذي أدخلته (حيث سيوفر تعرضك الحالي) ، سيرسل لك الموقع رسالة بريد إلكتروني في أي وقت يكون بريدك الإلكتروني متورطًا في خرق البيانات. أي ، يتم تنبيه أي خرق للموقع - تغطيته جيدة جدًا ، ولكن لن يحتوي أي مصدر واحد على كل خرق للبيانات تم تسريبه. بهذه الطريقة ، يمكنك فقط تغيير كلمة المرور المتأثرة ، ولن تقلق بشأن تأثيرها على أي من حساباتك الأخرى.

إذا كنت تعمل على تأمين مؤسسة كبيرة ، فإن برنامج إدارة كلمات مرور المؤسسة (تقدم نفس الشركات المذكورة أعلاه هذه الخدمات) فكرة رائعة ، بالإضافة إلى سياسات كلمات مرور قوية (تفرض على موظفيك استخدام كلمات مرور قوية بدرجة كافية). لدى Have I Been Pwned خدمة تسمح لمالك المجال بمراقبة الانتهاكات التي تنطوي على أي بريد إلكتروني على المجال (وهي مجانية!).

وإلا كيف يحصل المتسللون على كلمات المرور؟

هناك بعض الاحتمالات الأخرى - مثل تصفح الكتفين ، أو مراقبتك بشكل أساسي لكتابة كلمة المرور - على الرغم من أن هذا غير مرجح نظرًا لأن الشخص يجب أن يراقبك جسديًا.

ثم هناك سرقة كلمات المرور التي تم تدوينها ، أو مجرد صور لكلمات المرور المكتوبة والتي تظهر في الصور. مرة أخرى ، هذا أقل احتمالًا بكثير من أي من الخيارات المذكورة أعلاه لأنه يأتي عادةً من هجوم مستهدف (وهو بطبيعته أقل شيوعًا من جرائم الفرصة).

يعد تجنب هذين الأمرين أمرًا بسيطًا جدًا - لا تسمح لأي شخص بمشاهدتك وأنت تدخل كلمة مرورك ، ولا تدون كلمة مرورك. استخدم مدير كلمات المرور بدلاً من ذلك! إذا كان عليك ببساطة تدوينها ، فقم بتخزينها في مكان لا يحتمل أن يبحث فيه شخص ما أو يعثر عليه بالصدفة. أود أن أقترح قاع صندوق من السدادات القطنية. أكثر أمانًا بكثير من الملاحظات اللاصقة على شاشتك.

يبدو من السهل حقًا أن تتعرض للاختراق. هل يجب علي القلق؟

أهم شيء يجب تذكره بشأن القرصنة هو أنه لا أحد يرغب في القيام بعمل أكثر مما يتعين عليه القيام به. على سبيل المثال ، يعد اقتحام منزلك لسرقة دفتر كلمات المرور أصعب بكثير من إرسال رسائل بريد إلكتروني تصيدية من الجانب الآخر من العالم. إذا كانت هناك طريقة أسهل للحصول على كلمة المرور الخاصة بك ، فمن المحتمل أن يكون هذا هو ما سيحاوله الممثل الشائن أولاً.

وهذا يعني أن تمكين أفضل ممارسات الأمن السيبراني الأساسية ربما يكون أسهل طريقة لمنع التعرض للاختراق. في الواقع ، أفادت Microsoft مؤخرًا أن مجرد تمكين المصادقة الثنائية سيؤدي في النهاية إلى حظر 99.9٪ من الهجمات الآلية.  

لذلك ، قم بتمكين المصادقة الثنائية ، واستخدم مدير كلمات المرور لإنشاء كلمات مرور طويلة ومعقدة وفريدة من نوعها تلقائيًا لكل حساب ، وفكر قبل النقر! تجنب النقر على الروابط والمرفقات غير المتوقعة أو غير المتوقعة ، وكن يقظًا.