مواظب مک خود باشید

حرف وحديث درباره امنيت سيستم‌عامل مكينتاش تمامي ندارد. آيا پلتفرم مك ذاتاً از ويندوز امن‌تر است؟ واقعاً كاربران مك چه احتياط‌هاي امنيتي را بايد مدنظر داشته باشند؟ اما يك نكته جاي بحث ندارد: پاشنه آشيل امنيتي اصلي مكينتاش خود كامپيوتر نيست؛ بلكه اغلب مشکل اصلی کاربر است. اشتباه‌ها و تساهل‌هاي انساني مانند ساده‌انگاري، طمع و كم‌توجهي‌هاي مقطعي بيش از اشكالات كدهاي كامپيوتري، مك شما و داده‌هايتان را در معرض‌خطر قرارمي‌دهد. با اين حال، خبر خوب و قسمت خوشحال‌كننده قضيه اين است كه تمام ابزارهايي كه براي محافظت از مك (يا آي‌فون) خود نياز داريد، در دستان شما است.

در اين مقاله دوقسمتی سيزده تهديد امنيتي را كه گمان مي‌كنيم صاحبان مك و آي‌فون واقعاً بايد درباره آن‌ها نگران باشند، فهرست كرده‌ايم (همچنين چهار تهديدي كه فعلاً لازم نيست چندان به خاطر آن نگراني به خود راه دهيد؛ اما اگر احياناً در آينده نيز وجود داشتند، بايد از آن‌ها آگاه باشيد). درباره هركدام از اين تهديدها توصيه‌هايي خواهيم داشت تا روزي قرباني آن نشويد. به‌طورکلي مي‌توان گفت، هروقت بحث محافظت از مكينتاش يا آي‌فون به ميان مي‌آيد، بايد گفت گسستني‌ترين پيوند شما هستيد و در عين حال بهترين سرباز مدافع نيز خود شماييد.

نامه‌های ناخواسته جعلی

تهديد
از همان هنگامي كه سرويس‌هاي ایمیل جايگزين سرويس‌هاي پستي شدند، تهديدهاي ايميلي نيز به وجود آمدند. ايميل‌ها با قالب جديد و مفيد خود، امكانات بيشتري را از لحاظ حفظ ناشناسي و نيز مزاياي اقتصادي در اختيار كاربران قرار دادند. امروزه، يك مهاجم به‌سادگي مي‌تواند ميليون‌ها ایمیل به سراسر جهان ارسال كند؛ بدون اين‌كه عملاً متحمل هيچ هزينه‌اي شود و اگر فقط يك نفر از بين اين چند ميليون در دام بيفتد، فرستنده ایمیل‌های مخرب بلافاصله به منافع موردنظر خويش مي‌رسد. به دليل ماهيت «ناشناس مدار» فناوري، نبود قوانين منع‌كننده كافي و دسترسي عمومي جهاني به اينترنت، تمام مهاجمان مي‌توانند بدون هراس از مجازات به كار خود ادامه دهند.

 فيشينگ متداول‌ترين حالت ايميل‌هاي اسپم است. منظور از فيشينگ يا سرقت آنلاين اين است كه ايميلي از طرف يك فرد سوءاستفاده‌کننده براي شما فرستاده مي‌شود كه هدف از آن گول‌زدن شما براي بازديد از يك سايت جعلي يا برملاکردن اطلاعات شخصي شما است.

بعضي از حمله‌هاي فيشينگ ناشي از توانايي و خلاقيت يك نفر در به‌كارگيري واژگان ناشي مي‌شود. در ساير موارد درواقع نوعي سوءاستفاده از نقاط‌ضعف و كاستي‌هاي فناوري ايميل و وب در ميان است. به‌عنوان مثال، فيشر يا همان سارق آنلاين مي‌تواند تا سه فيلد مختلف را ايجاد كند: نام فرستنده، نشاني ايميل فرستنده و نشاني‌اي كه پاسخ‌ها به آن ارسال خواهند شد. به‌عنوان مثال، مهاجم مي‌تواند عنوان فيلد نام فرستنده را ( كه اغلب گيرندگان فقط به آن توجه نشان می‌دهند) بگذارد: [email protected] و آدرس واقعي پاسخ‌دهی نامه‌هاي مهاجم چيزي مانند[email protected] باشد!
اگر تا به حال ايميلي دريافت كرده‌ايد كه از شما خواسته باشد با پاسخ‌دادن به همان نامه نام كاربري، كلمه عبور و ساير اطلاعات محرمانه خود را در اختيارشان بگذاريد، احتمالاً فريبكاران از همين روش استفاده كرده‌اند.

ترفند ديگري كه ممكن است اين افراد استفاده کنند، اين است كه يك URL در نامه قرار دهند كه واقعي و درست به نظر مي‌رسد، اما درحقيقت اين طور نيست. به‌عنوان مثال، ممكن است نشاني درج‌شده داراي نامي شبه‌واقعي يا نادرست شبيه www.Macwarld.com  باشد و به اين روش فرد فريبكار از آدرس واقعي به‌عنوان لینکي كه در حقیقت به سايتي خطرناك منتهي شود استفاده كند يا اصلاً آدرسي ايجاد كند كه در نگاه اول كاملاً واقعي به نظر برسد، اما درواقع آدرسي غيرمرتبط و گول‌زننده باشد (مثلاً يك نشاني مانند: www.macworld.com.ad#$FadfgY.iamevilandwillstealyourstuff.com).به‌طورخلاصه اين نشاني‌ها با هنرمندي خاصي طراحي مي‌شوند و كاربر را به سايت‌هايي راهنمايي مي‌كنند كه به نظر واقعي مي‌رسند؛ درحالي كه درحقيقت اين‌گونه نيست.

اين موارد فقط چند نمونه از روش‌هاي فيشينگ بود كه هر روز هم پيشرفته‌تر مي‌شوند. به‌عنوان مثال، اين روزها نوع جديدي از تهاجم‌ها رواج يافته‌اند كه مهاجمان براي شما ايميلي مي‌فرستند و مي‌خواهند با شماره مركز خدمات مشترياني كه البته غيرواقعي است، تماس بگيريد. درصورت انجام اين كار، شما به مركز خدماتي جعلي با ظاهر فريبكارانه متصل مي‌شويد كه حاصلش فقط پشت‌خط‌ماندن‌هاي طولاني و از اين شاخه به آن شاخه پريدن و زدن كلي دكمه پشت سرهم خواهد بود. بعد از اين‌كه حسابي شما را خسته كردند، درپايان به يك نماينده خدمات مشتريان مي‌رسيد كه از شما شماره حساب و كد دسترسي به آن را
درخواست مي‌كند. برخي ديگر از فريب‌نامه‌ها (يا همان اسكم‌ها) با استفاده از مقداري اطلاعات مربوط به شما، شخصي‌تر مي‌شوند و ظاهري واقعي‌نماتر به خود مي‌گيرند. همين تازگي‌ها، خود من كم مانده بود در دام يكي از همين دام‌هاي هنرمندانه فيشينگ بيفتم كه تظاهر مي‌كرد مدير سرور شخصي‌اي است كه من در آن هستم.

دامي براي سرقت: هيچ‌وقت روي ايميل‌هايي كه از افراد ناشناس برايتان رسيده است، كليك نكنيد؛ زيرا اصلاً معلوم نيست اين لينك‌ها شما را به كجا ممكن است ببرند.

چه بايد كرد؟
نخستين اقدام تدافعي در برابر فيشينگ و ساير انواع فريب‌نامه‌ها، استفاده از يك فيلتراسپم خوب است. زيرا اين روزها بيشتر هرزنامه‌ها درواقع نوعي اسپم هستند. اغلب سرويس‌هاي ايميل عمده به‌طورعملي قبل از اين كه نامه‌ها وارد صندوق پستي‌شان شوند، پالايش‌هاي اوليه را انجام مي‌دهند. علاوه براين، بيشتر كلاينت‌هاي ايميل (از جمله Apple  Mail) ابزار مخصوص فيلتركردن نيز دارند. اگر بازهم همه اين‌ها كافي نبود، ابزارهاي افزودني بسياري مانند برنامه عالي SpamSieve هستند كه مي‌توانيد آن‌ها را خريداري و استفاده كنيد.  اقدام تدافعي مناسب ديگر، احتياط است. هيچ‌گاه در نامه‌هاي الكترونيكي خود بر روی لینکی كليك نكنيد؛ مگر آن‌كه از قبل انتظارش را داشته باشيد. به‌خصوص اگر آن نامه به‌ظاهر از طرف بانك يا يك فروشنده برخط يا مثلاً PayPal باشد. اگر چنين ايميلي را دريافت كرديد، به طور مستقيم و از طريق مرورگر به سايت مربوط به آن برويد.  اگر پيام درست باشد، بايد بتوانيد نسخه‌اي از آن را پس از ورود به حساب كاربري‌تان در سايت مشاهده كنيد و هرگز نبايد در پاسخ به آن نامه، اطلاعات حسابتان را (به ويژه شماره حساب‌، شماره كارت‌اعتباري، نام كاربري و كلمه‌عبور) ارسال كنيد. اين را بدانيد كه هيچ سايت درست و حسابي هرگز از شما چنين اطلاعاتي را به اين روش درخواست نمي‌كند.

فيلتركردن Junk mail: نخستين اقدام تدافعي در برابر سرقت آنلاين و ساير اسكم‌هاي مبتني بر ايميل استفاده از يك اسپم فيلتر است. ابزاري كه در سرويس ميل اپل موجود است، مي‌تواند در اين باره كارآمد باشد.

ترفندهاي بانكي و سرقت هويت

تهديد
بيشتر تبهكاران سايبر هدفشان كسب درآمد است. از جمله كارهايي كه آن‌ها مي‌توانند انجام دهند، دراختيارگرفتن كنترل سيستم شما و اجاره‌دادن قدرت پردازش يا اتصال شبكه (botnet) آن به ديگران، سرقت از حساب بانكي آنلاین شما يا به‌فروش‌رساندن اطلاعات كارت‌اعتباري و شماره تأمين‌اجتماعي شما است. كاربران مك هدف عمده‌اي براي سرقت‌هاي بانكي و هويتي هستند. سرقت از كارت‌اعتباري از جمله متداول‌ترين آن‌ها است. اگرچه براي تبهكاران نفوذ به مك و سرقت شماره‌هاي كارت‌اعتباري شما نيز امکان‌پذير است، معمولاً آن‌ها ترجيح مي‌دهند با نفوذ به اطلاعات يك فروشنده آنلاين كه شما در آن از كارتتان استفاده كرده‌ايد، اين اطلاعات را جمع‌آوري كنند. سرقت اطلاعات حساب بانكي مي‌تواند خيلي بدتر مي‌تواند باشد. شخص مهاجم مي‌تواند به حساب بانكي آنلاين شما نفوذ كند و مبالغي را از آن انتقال دهد. اين وجوه به اندازه حساب‌هاي كارت‌اعتباري محافظت‌شده نيستند. اگرچه خيلي از بانك‌ها اين ضررها را جبران مي‌كنند؛ اما قانوناً آن‌ها موظف به اين كار نيستند. راه‌هاي متعددي وجود دارد تا مهاجمان به حساب‌هاي شما دسترسي پيدا كنند. آن‌ها مي‌توانند از رخنه‌هاي امنيتي موجود در سايت بانك يا مرورگر شما براي اهداف خود بهره‌برداري كنند. همچنين مي‌توانند از سامانه ACH (سرنام Automated Clearing House) استفاده كنند كه قدرت بيشتري براي نقل و انتقال مستقيم حساب‌هاي پس‌انداز يا ساير انواع حساب‌ها به آن‌ها مي‌دهد: اگر سارقان شماره‌حساب و رمزهاي عبور شما را بدانند و خودشان هم يك حساب بانكي تجاري داشته باشند، قادر خواهند بود پول موجود در حساب شما را به حساب خودشان منتقل كنند؛ بي‌آن‌كه به اجازه شما نيازي داشته باشند و بالاخره مسئله سرقت هويت كه به زماني مربوط مي‌شود كه بزهكاران سعي مي‌كنند خود را به جاي شما جا بزنند و به نام شما حساب كاربري جديدي ايجاد كنند. محدوده اين نوع اكانت‌ها از دستگاه‌هاي تلفن‌همراه و برنامه‌هاي كاربردي تا وام‌هاي كلان خريد خانه را شامل مي‌شود. ممكن است شما مسئول هزينه‌هاي پرداخت‌نشده هريك از اين حساب‌هاي كاربري جعلي محسوب ‌شويد. در بعضي كشورها سرقت هويت بدتر نيز وجود دارد؛ زيرا معمولاً در حساب كاربري افراد شماره تأمين‌اجتماعي آنان نيز قيد مي‌شود و اگر اين شماره به دست فرد نااهلي بيفتد، هويت شخصي وي نيز در معرض‌خطر و سوءاستفاده خواهد بود.

چه بايد كرد؟
قبل از اين‌كه اطلاعات كارت‌اعتباري خود را به يك فروشنده آنلاين جديد بدهيد، كمي درباره آن تحقيق كنيد تا از قانوني‌بودنش مطمئن شويد. به‌طور منظم و دقيق كارت‌اعتباري خود را چك كنيد و هرگونه هزينه‌كرد مشكوك را به‌سرعت گزارش دهيد (برخي از مهاجمان ابتدا مبالغي كم برداشت مي‌كنند، سپس به سراغ عددهاي درشت‌تر مي‌روند). بازهم تأكيد مي‌كنم، براي جلوگيري از فعاليت كلاهبرداران بانكي، چهارچشمي بر وضعيت حساب خود نظارت داشته باشيد. اگر بانكتان خدماتي براي كنترل سرقت و كلاهبرداري داشت، از آن‌ها استفاده كنيد. براي محافظت از خود در مقابل سارقان هويت مي‌توانيد از دفاتر معتبري مانند Equifax ،Experian يا ‌TransUnion درخواست كنيد كه ساليانه يك گزارش اعتباري رايگان به شما بدهند يا در سرويس‌هايي مانند debix يا Identity عضو شويد. اين سايت‌هاي خدماتي مي‌توانند بر حساب‌هاي كاربري شما نظارت کرده و درصورت مشاهده هر نوع تغييري، اخطاري برايتان ارسال كنند.

سرقت از طريق خرده فروشي‌ها و حراجي‌‌ها

تهديد
اوايل امسال، همسر من تصميم گرفت از كارت هديه آمازوني كه دريافت كرده بود استفاده كند و با آن يك كيف زنانه تازه براي خودش بخرد. او توانست از روش يك خرده فروشي آمازون، كيفي با قيمت كمتر از قيمت معمول خرده‌فروشي آن پيدا كند. بنابراين سفارش آن را داد همان طور كه انتظار داشت (به شكلي)، كيف هم خيلي زود به دستش رسيد. اما به واقع آن كيف نخستين كيف دستي‌اي بود كه او مي‌ديد چرمش جعلي است، دوختش بسيار بد بود، از پلاستيك رنگي درست شده بود و به جاي برنج در آن از حلقه‌هاي مستعمل استفاده كرده بودند. ما به‌سرعت موضوع را به آمازون گزارش كرديم و پولمان را پس گرفتيم، اما از آن به بعد ديگر آمازون اين فروشگاه را بست.

سايت‌هايي مانند eBay، Craiglist و مانند آن‌ها كه به مردم اجازه مي‌دهند به‌طورمستقيم اجناس خود را با هم تعويض كنند، همگي هدف خوبي براي كلاهبرداران به شمار مي‌آيند. بسياري از خريداران پول را مي‌پردازند، اما كمي بعد بر‌مي‌گردند و ادعا مي‌كنند اصلاً كالاي موردنظر خود را دريافت نكرده‌اند و از شركت كارت‌اعتباري خود يا PayPal بازگشت پولشان را طلب مي‌كنند. فروشنده‌ها هم بدون اين‌كه كالايي تحويل داده باشند پا به فرار مي‌گذارند يا اين‌كه از طريق سيستم آنلايني كه مشابه كارت‌هاي‌اعتباري يا PayPal چندان محافظت‌شده نيست، درخواست پرداخت و تسويه‌حساب را مي‌كنند.

چه بايد كرد؟
سابقه فروشنده و امتياز خوش‌نامي او را بررسي كنيد. درباره مورد آخر، فقط به ميانگين آرا نگاه نكنيد؛ بلكه به تعداد رأي‌هاي داده‌شده نيز توجه كنيد (مي‌دانيد كه فقط با چند رأي، خيلي راحت مي‌توان يك امتياز خوب، اما غيرواقعي براي خود دست و پا كرد). از كارت‌هاي اعتباري استفاده كنيد؛ زيرا آن‌ها امكان درخواست بازگشت مبلغ را به مشتري مي‌دهند و نيز هميشه براي هر محموله يك كد رهگيري درخواست مي‌كنند. هنگام فروش هم همواره از مشتري بخواهيد هنگام تحويل كالا امضا بدهد و حرف آخر اين‌كه (بعد از من تكرار كنيد!): هروقت پيشنهادي خيلي به نظر واقعي آمد، فقط احتمال دارد كه چنين باشد.

 كلمه‌عبورهاي ضعيف

تهديد
چند ماه پيش، يكي از دوستان نزديكم با من تماس گرفت. او درگيرودار يك حمله «سرقت هويت» بود. يك تبهكار به جاي او داشت چك‌هاي بي‌محل مي‌كشيد، پول از حساب‌هاي بانكي‌اش بيرون مي‌كشيد و رمزهاي عبورش را عوض مي‌كرد. وقتي من مشكل را بررسي كردم‌، به‌سرعت علت را دريافتم: او براي همه اكانت‌هاي خود از يك كلمه عبور ثابت استفاده كرده‌بود. خيلي از همكاران ديگر من هم كه خودشان در حوزه امنيت مشغول فعاليت هستند، دچار اين عادت بد هستند و همه جا از يك يا دو رمزعبور خاص استفاده مي‌كنند. البته، اين موضوع قابل‌درك است: به‌خاطرسپردن صرفاً يك كلمه‌عبور به جاي چند كلمه‌عبور مختلف به ازاي هر حساب كاربري، مسلماً آسان‌تر است. اما اين را هم بايد مدنظر داشت كه اگر فقط يكي از اين اكانت‌ها به مخاطره افتاد، بقيه آن‌ها نيز با خطر مواجه خواهند شد. يك تبهكار به روش‌هاي مختلفي مي‌تواند رمزهاي عبور شما را كشف كند. درست است كه بيشتر بانك‌ها و ساير شركت‌ها خودشان كنترل‌هايي براي محافظت از نام‌هاي عبور دارند، اما همه سرويس‌ها آن‌قدر به اين امر اهتمام ندارند. ممكن است يك مهاجم در فوروم آنلايني كه هك كرده است، نام و كلمه‌عبور شما را پيدا كند و سپس سعي كند اين تركيب را روي سرويس‌هاي برخط ديگران امتحان كند تا ببيند شما از همان نام و در آنجا هم استفاده كرده‌ايد يا خير يا اگر اين قبيل افراد بتوانند به اكانت‌هاي ايميل شما دسترسي يابند، اين امكان را خواهند داشت از سايتي كه در آن حساب كاربري داريد، درخواست ريست‌شدن كلمه‌عبور را بدهند. به اين ترتيب، فرد هكر قادر خواهد بود به جاي شما وارد سايت شود.

چه بايد كرد؟
از يك ابزار مديريت رمزعبور مانند password 1 (از محصولات شركت Agile) استفاده كنيد. چنين ابزارهايي به شكل مطمئني تمام كلمات عبورتان را رمز و ذخيره مي‌كنند، سپس با استفاده از افزونه‌هاي مرورگر آن‌ها به طور خودكار وارد سايت‌ها شويد. علاوه براين، اين ابزارها مي‌توانند رمزعبورهاي قوي توليدكنند كه عملاً شكستن آن‌ها غيرممكن خواهد بود. من، خودم هنوز ناچارم بعضي از رمزعبورهايم (عملاً اكانتم در iTunes ) را به خاطر بسپارم، اما اكثريت رمزعبورهايم در حال حاضر داراي قالبي طولاني، تصادفي و منحصربه‌فرد براي هر سايت هستند كه همگي توسط ابزار 1Password مديريت مي‌شوند.

پي‌نوشت:
ريچ ماگل ، نويسنده اين مقاله، در حوزه امنيت هفده سال سابقه فعاليت دارد. او علاوه بر نويسندگي براي TidBits  ، به عنوان تحليل‌گر مسائل امنيتي در Securosis. Com فعاليت مي‌كند.