متاسفانه عموم کاربران اینترنت، نسبت به تهدید‌های سایبری بسیار آسیب پذیرند. بخشی از این آسیب‌پذیری به دلیل عدم آگاهی افراد نسبت به خطرات موجود در این فضاست. دراین بلاگ پست به 10 توصیه‌‌ی ساده‌ در جهت امنیت و آگاهی بیشتر کاربران در فضای  سایبری پرداخته‌ایم. در ادامه ی هر توصیه، دلایل و خطرهای مربوط با هر مورد را توضیح داده‌ایم تا لزوم این اعمال را واضح‌تر سازیم. خواندن این توصیه‌ها، زمان چندانی را از شما نمی‌گیرد، و عمل به آن‌ها نیاز به زمان زیادی ندارد. اما همین چند اقدام ساده، می‌تواند امنیت شما در دنیای پرتهدید سایبری، ارتقای قابل‌توجهی بخشد. 

آن‌چه می‌خوانید گفته‌هایی از محمدامین کریمان، هم‌بنیان‌گذار و راهبر اجرایی راورو، درراستای ارتقای امنیت کاربران اینترنت است.

داخل پرانتز: این بلاگ‌پست برآمده از گفت‌وگوی کوتاه ما با محمدامین است. ما این سوال را از محمدامین کریمان پرسیدیم: " چه توصیه‌های ساده‌ای برای آگاهی و امنیت کاربران اینترنت داری؟" و از او خواستیم که اولین مواردی که به ذهنش می رسند، را با ما درمیان بگذارد و علت هر نکته را نیز به‌وضوح مشخص سازد. او از تجربیاتش و نکاتی که به نظرش حائز اهمیت بودند برایمان گفت. ما نیز آن‌ها را یک‌جا آوردیم، تا دسترسی راحت‌تر و کاربردی‌تری را برایتان فراهم آوریم. آن‌چه لازم می‌دانیم که برآن تاکید کنیم، این است که محتوای این بلاگ‌پست، تنها از جنس بیان تجربیاتی است که فکر می‌کنیم شاید به کار کاربران اینترنت بیایند. و هیچ‌گونه ادعای جامع و کامل‌‎بودنی پشت آن وجود ندارد.

آن‌چه در این بلاگ‌پست خواهید خواند: 

1. دانلود، فقط از منابع معتبر! 

2. بر روی هر لینکی کلیک نکنید. 

3. به‌روزرسانی را جدی بگیرید. 

4. نسبت به اینترنت‌های رایگان هشیار باشید. 

5. در انتخاب رمز عبور، سخت‌گیرانه عمل کنید. 

6. رمز عبور دو مرحله‌ای خود را فعال سازید. 

7. مراقب آدرس ایمیل یا شماره‌تلفنی که برای ساخت حساب کاربری از آن استفاده کرده‌اید، باشید. 

8. قبل از بارگذاری اسناد هویتی در وبسایت‌ها، روی آن‌ها برچسب بزنید. 

9. به افرادی که ادعای تامین امنیت شبکه‌های اجتماعی را می‌کنند، مراجعه نکنید. 

10. برای بازگرداندن حساب کاربری خود، به افرادی که ادعای انجام این کار را دارند مراجعه نکنید و مبالغ غیرموجه نپردازید. 

دانلود، فقط از منابع معتبر! 

برنامه‌های موبایلی مورداستفاده خود را از فروشگاه‌های مجاز و معتبر و وبسایت شرکت‌های سازنده‌شان دانلود کنید. به هیچ وجه به به فایل‌های ارسال‌شده در تلگرام و واتس‌اپ، لینک‌های دیگر و سایت‌های غیرآشنا اعتماد نکنید. موارد موردنظر خود را از منابعی مانند؛ گوگل ‌پلی، اپ استور و ... ، یا وبسایت شرکت‌های سازنده دانلود کنید.  

قبل از اجرای فایل‌های دانلودشده، حتما به پسوند آن‌ها دقت کنید. به هیچ وجه نرم‌افزار یا محتوای موردنظر خود را به‌صورت فایل‌های APK دانلود نکنید. 

در هنگام نصب نرم‌افزار نیز به این نکته دقت داشته باشید که دسترسی‌هایی که نرم افزار از شما می‌خواهد با عملکرد نرم‌افزار ارتباط داشته باشد. برای مثال؛ اگر یک نرم‌افزار تقویم، درخواست دسترسی به دوربین یا میکروفون را داشت، احتمال این که بدافزار باشد، زیاد است.  

در صورت لزوم نصب برنامه‌ی موردنیازتان از منابع غیرمعتبر نام برده شده، حتما قبل از نصب از متخصصین امنیتی کمک بگیرید تا بررسی کنند که آیا این برنامه‌ها علاوه‌بر دسترسی‌ای که نیاز دارند، به چیزهای اضافه‌ای از اطلاعات شما دسترسی پیدا می‌کنند یا خیر؟ آیا حاوی فایل‌های مخربی هستند، یا خیر؟ 

علاوه بر نرم‌افزارها، لازم است نسبت به دانلود محتوا از سایت‌های مختلف نیز هوشیار باشید. 

چرا دانلود، فقط از منابع معتبر؟ خطرش چیست؟ 

متاسفانه دانلود نرم‌افزارها از منابع غیرمعتبر این خطر را به همراه دارد که حاوی وهمراه بدافزار و ویروس باشد. همچنین ممکن است به برخی بخش‌های دستگاه شما دسترسی پیدا کنند. یکی از مواردی که این روزها بستر خوبی برای سوءاستفاده‌گران فراهم کرده است، نیاز رایج مردم به VPN است. در برخی از سایت‌هایی که محتوای روزمره ای مثل؛ دانلود موسیقی و ...  دارند، نیز بدافزارهای بسیاری انتظار کاربر را می کشند. فرد به قصد دانلود آهنگی از فلان خواننده به آن سایت می‌رود، اما دکمه‌ی دانلودی که برروی آن کلیک می‌کند، درواقع یک دکمه‌ی دانلود تقلبی ست و به جای آهنگ (و یا همراه با آن) یک فایل apk دانلود می‌شود. این فایل وقتی در دستگاه کاربر باز و اجرا شود، برنامه‌ای مخرب برروی دستگاه نصب می‌شود. به همین دلیل نیاز است که دقت بسیاری صرف این مورد شود که به هیچ وجه از منابع غیرمعتبر، برنامه‌ای دانلود نشود.  

بر روی هر لینکی کلیک نکنید.

روی هر لینکی که برایتان پیامک و یا ایمیل می‌شود، کلیک نکنید. چشم‌ها را روی آدرس‌های URL زوم کنید. مخصوصا اگر از خدمات بانکی آنلاین استفاده می‌کنید، بسیار مراقب صفحه‌های فیشینگ و جعلی باشید. قبل از وارد‌کردن اطلاعات خود، بادقت آدرس URL را چک کنید و با سایت اصلی تطبیق دهید. هوشیار باشید که در دام صفحه‌های جعلی مشابه سایت اصلی، که قصدشان دریافت اطلاعات شماست، نیفتید. 

چرا باید بر روی هر لینکی کلیک نکنید؟ خطرش چیست؟ 

در بسیاری از موارد، هکر با ارسال پیام‌های مشابه‌سازی‌شده یا تحریک‌آمیز تلاش می‌کند تا شما را ترغیب به ورود به حساب کاربری و اطلاعات مهم خود کند. مثلا؛ لینکی برای شما ارسال می کند که آدرس آن بسیار هم شبیه به درگاه پرداخت رایج مورداستفاده یا شبیه به شبکه‌های اجتماعی است. ظاهر صفحه‌ای که وارد آن می‌شوید نیز، با همان لوگو، همان فونت و همان متن و جزئیات ایجاد شده است. اما ماجرا در پشت پرده این است که این سراب تدارک دیده شده است تا یک نسخه از اطلاعات شما را به سرقت ببرد. در برخی موارد نیز، ممکن است پس از کلیک، فرد نفوذگر به برخی قسمت های دستگاه شما دسترسی یابد و از طرف شما برای مخاطبانتان پیام‌هایی ارسال کند. 

به‌روزرسانی را جدی بگیرید. 

یک نکته‌ی ساده‌ی مهم برای امن بودن، به‌روزرسانی است. حتما برنامه‌های مورداستفاده در دستگاه‌هایتان، سیستم عامل موبایل، لپ‌تاپ یا کامپیوترتان را به‌طور روزانه، هفتگی و ماهانه به‌روزرسانی کنید.  

چرا لازم است به رور رسانی را جدی بگیرید؟ خطرش چیست؟ 

در نسخه‌های جدیدی که ارائه می‌شوند، وصله‌های امنیتی‌ای توسط شرکت‌های سازنده ارائه می‌گردند که هر یک جلوی یک آسیب پذیری و باگ را می‌گیرد. با نصب این موارد، خودتان و سیستمتان در امنیت بیش‌تری به سر می‌برید. در غیر این صورت یک نفوذگر ممکن است با سوءاستفاده از همان آسیب پذیری، به سیستم شما راهی پیدا کند. 

نسبت به اینترنت‌های رایگان هشیار باشید. 

در تله‌ی اینترنت‌های رایگان نیفتید؛ در فرودگاه‌ها، کافی‌شاپ‌ها و مکان‌های عمومی که اینترنت رایگان ارائه‌ می‌کنند بسیار هشیار باشید و به راحتی اعتماد نکنید.

چرا لازم است نسبت به اینترنت‌های رایگان هشیار باشید؟ خطرش چیست؟ 

در بسیاری از موارد فرد نفوذگر با ایجاد شبکه‌ی وای‌فای رایگان، دسترسی اینترنت رایگان را برای شما فراهم می‌کند. غافل از اینکه در پس این اینترنت رایگان، دارد داده‌های حساسی مثل رمز عبور و نام کاربری شما را شنود می کند. 

در انتخاب رمز عبور، سخت گیرانه عمل کنید. 

یک رمز عبور امن و استاندارد انتخاب کنید؛ رمز عبوری که حداقل ۱۲ کاراکتر باشد و در آن علاوه بر اعداد و حروف بزرگ و کوچک از کاراکترهای خاص مثل !@#$%_-& هم استفاده شده باشد. 

از یک پسورد یکسان برای حساب‌های کاربری مختلفتان نیز استفاده نکنید. 

پسوردهای خود را به‌طور دوره‌ای تغییر دهید . 

اگر تعداد پسوردهایتان زیاد است از برنامه‌های مدیریت پسورد کمک بگیرید. 

در مورد انتخاب گذرواژه، گفتنی ها را قبلا در بلاگ پست ۷ نکته برای انتخاب پسورد امن‌تر به طور مفصل‌تری گفته‌ایم.  

چرا لازم است در انتخاب رمز عبور، سخت گیرانه عمل کنید؟ خطرش چیست؟ 

بدیهی ست که هر چه در انتخاب گذرواژه ی خود سخت‌گیرانه‌تر عمل کرده باشید، راه را برای حدس آن توسط نفوذگر و واردشدن به حساب کاربری‌تان، سخت‌تر و امن‌تر کرده اید! اگر شما یک هکر بودید، برای ورود به حساب کاربری یک فرد دیگر، اولین حدس هایتان برای رمز عبور چه بود؟ پس سعی کنید به عنوان یک کاربر، همان موارد ساده ی قابل خدس را به عنوان رمزعبور خود انتخاب نکنید، ااطلاعاتی مانند؛ تاریخ تولد، شماره تلفن، کد ملی، نام و ... . با انتخاب یک رمز عبور امن‌تر، امنیت بیشتری را برای حساب کاربری خود فراهم آورید.  

رمز عبور دو مرحله‌ای خود را فعال سازید. 

با فعال‌سازی کد two-factor authentication  یا همان 2FA امنیت بیشتری را برای حساب‌های کاربری خود تامین کنید. 2FA شامل یک پسورد یکتا است که بعد از ورود و لاگین باید آن را وارد کنید تا اجازه‌ی ورود به شما داده‌ شود. 

چرا لازم است رمز عبور دو مرحله‌ای خود را فعال سازید؟ خطرش چیست؟ 

رمز عبور دومرحله ای، حکم محکم کاری را برای حساب کاربری شما دارد. حتی اگر فرد نفوذگر، موفق به دستیابی به اطلاعات اولیه‌ی حساب کاربری شما شده باشد، با رمز عبور دو مرحله ای، شما یک دیوار امن‌تر دور اطلاعات خود کشیده‌اید. 

مراقب آدرس ایمیل یا شماره تلفنی که برای ساخت حساب کاربری از آن استفاده کرده‌اید، باشید. 

مراقبت از آدرس ایمیل، رمز عبور ایمیل و همچنین شماره تلفنی که برای ایجاد حساب کاربری در شبکه‌های اجتماعی استفاده کرده‌اید، بسیار بسیار مهم است.  

چرا لازم است مراقب آدرس ایمیل یا شماره تلفنی که برای ساخت حساب کاربری از آن استفاده کرده اید، باشید؟ خطرش چیست؟ 

یکی از راه هایی که یک نفوذگر می‌تواند از آن استفاده کند این است که با بهره گیری از راهکارهای فراموشی رمز عبور، برای پلتفرم درخواست تغییر رمز عبور دهد و سپس حساب کاربری شما را تحت کنترل گیرد.  

پیشنهاد خواندنی: چک‌لیست مراقبت از گذرواژه؛ گاهی زود، دیر می‌شود... 

داده‌های نشت‌یافته خود را پیگیری کنید. 

می‌توانید از طریق اخبار یا با پیگیری دوره‌ای از سامانه‌های ردیابی نشت اطلاعات، متوجه شوید که آیا اطلاعاتی از شما تاکنون نشت پیدا کرده است یا خیر. 

در صورتی که اطلاعاتی از شما نشت پیدا کرده، به سرعت رمزعبور حساب کاربری مربوط به نشت را تغییر دهید. اگر از رمز عبور خود در حساب‌های دیگری هم استفاده کرده‌اید، آن‌ها را نیز تغییر دهید.  

چرا لازم است داده‌های نشت یافته خود را پیگیری کنید؟ مزیتش چیست؟ 

درصورت نشت دیتای شما، متاسفانه ممکن است تمامی هکرها و نفوذگرها به این اطلاعات دسترسی داشته باشند. همچنین احتمال دارد با استفاده از اطلاعات واقعی‌ای که از شما دارند، تلاش کنند سناریو‌های پیچیده‌ای ( با برقراری تماس جعلی یا ارسال ایمیل‌های جعلی) را برای اخاذی یا سوءاستفاده از شما طرح‌ریزی کنند. 

در گام بعدی از شرکتی که منبع نشت اطلاعات شما شده است، مطالبه داشته باشید؛ درخواست کنید تا درخصوص چرایی نشت اطلاعات پاسخگو باشد، به شما توضیح دهد که برای این که جلوی تکرار این اتفاقات در آینده را بگیرد چه اقداماتی انجام داده است و چه تضمینی برای حفاظت از داده‌های شما می‌دهد. در صورتی که هیچ پاسخی دریافت نکردید این ریسک را بپذیرید که تا زمانی که از خدمات این شرکت استفاده می‌کنید شما در معرض هک شدن قرار خواهید داشت. و آگاه باشید که آسیب‌های نشت اطلاعات روزی گریبان‌گیر شما خواهد شد. 

داخل پرانتز: 

در صورت پیگیری از سامانه ها، پیشنهاد ما ایجاد مقدار hash-sha-1 توسط خود شما از داده و ارسال آن به سامانه هاست است. توجه داشته باشید که با داشتن مقدار هش ایجاد شده از داده‌های شما، هیچکس نمی‌تواند به اصل داده دست پیدا کند. صرفا، دو طرف با ایجاد مقدار هش و مطابقت آن‌ها می‌توانند متوجه شوند که آیا داده‌ی یکسانی دارند یا خیر. 

مثال: آدرس ایمیل شما که فقط خود شما از آن اطلاع دارید.  (یا داده‌ی خام) برابر Info@ravro.ir است. که مقدار hash sha-1 ایجاد شده برای این آدرس مقدار c3273238120f1415e9374f14cc6a560bd85eac80  می‌شود. 

شما با ارسال این مقدار hash به سامانه موردنظر می‌توانید اطمینان حاصل کنید که هیچ کس به اصل اطلاعات که شامل ادرس شما (داده‌ی خام) است دسترسی پیدا نخواهد کرد. و همچنین بررسی کنید که ایا نشتی برای این (داده‌ی خام) شما صورت پذیرفته است یا خیر. 

قبل از بارگذاری اسناد هویتی در وبسایت‌ها، روی آن‌ها برچسب بزنید. 

اگر برای تکمیل اطلاعات خود نیاز است که عکسی از اسناد مربوط به اطلاعات هویتی (مانند کارت ملی) را در سایتی بارگذاری کنید، حتما قبل از بارگذاری آن مدرک نسبت به واترمارک‌کردن یا برچسب‌زدن برروی آن اقدام نمایید. مثلا؛ اگر قرار است تصویر کارت ملی خود را در وبسایت X قرار دهید، می توانید روی عکس چنین یادداشتی بگذارید "این تصویر برای احراز هویت در وبسایت X بارگذاری شده است. "

چرا بهتر است قبل از بارگذاری اسناد هویتی در وبسایت‌ها، روی آن‌ها برچسب بزنید؟ 

کارکرد این لیبل چنین است که اگر در ِآینده متوجه شدید که برخی اسناد هویتی شما نشت پیدا کرده‌اند، بتوانید از روی این لیبل متوجه شوید که دیتای شما از چه سایتی نشت یافته است و از چه جایی باید پیگیر این اتفاق و مسئولیتی که درقبال داده‌ی شما داشته است، باشید. 

به افرادی که ادعای تامین امنیت شبکه‌های اجتماعی را می کنند، مراجعه نکنید. 

با هدف امنیت صفحات مجازی خود، به دروغ‌گویانی که ادعای تامین امنیت پیج‌های شبکه‌های اجتماعی را دارند، مراجعه نکنید. به جای آن نیاز است که نسبت به برخی رفتارهای ناامن خود هوشیار باشید. (سایر مواردی که در این بلاگ پست به آن‌ها پرداخته‌ایم، بخشی از این رفتارهای امن هستند.) 

چرا نباید به افرادی که ادعای تامین امنیت شبکه‌های اجتماعی را می‌کنند، مراجعه کنید؟

بگذارید با صراحت بگوییم: هک اینستاگرام، تلگرام، واتس‌اپ دروغی بیش نیست. نام اتفاقی که در اغلب این موارد می‌افتد، را نمی‌توان هک گذاشت. شبکه‌های اجتماعی، به‌ آن راحتی که عموم مردم تصور می‌کنند، قابل هک شدن نیستند. بسیاری از موارد آن‌چه که به عنوان هک حساب کاربری از آن یاد می‌شود، به آن پیچیدگی که کاربران تصور می کنند، اتفاق نیفتاده است. بلکه حاصل اتفاق‌های ساده و رفتارهای ناامن خود کاربر هستند. متاسفانه شیادان و کلاه‌برداران با سوءاستفاده از این عدم آگاهی تحت عنوان‌ متخصص امنیت اینستاگرام، اقدام به کلاه‌برداری و اخذ مبالغ بالا مي‌کنند. 

برای بازگرداندن حساب کاربری خود، به افرادی که ادعای انجام این کار را دارند مراجعه نکنید و مبالغ غیرموجه نپردزید. 

این فرآیند، فرآیند چندان پیچیده‌ای نیست. چه بسا سودجویانی که با اهداف مشخص از قبل اقدام به این کار کرده باشند. معمولا در چنین مواردی، به راحتی با ارسال ایمیل به صاحب پلتفرم و اصلاح محتوا طبق قوانین می‌توانید حساب کاربریتان را برگردانید. 

چرا برای بازگرداندن حساب کاربری خود، به افرادی که ادعای انجام این کار را دارند مراجعه نکنید؟ 

بازگرداندن حساب کاربری غیرفعال‌شده، هم داستان مشابه مورد قبلی دارد. سودجویان در اغلب موارد با تکنیک رپیورت اقدام به غیرفعال کردن حساب کاربری می‌کنند. سپس در قالب پیامی به قربانی اعلام می‌کنند که اکانت شما هک شده است و درازای دریافت مبلغی می‌توانند اکانت را برگردانند. تکنیک ریپورت‌کردن، کار خاص و پیچیده‌ای نیست. ماجرا از این قرار است که در اغلب شبکه‌های اجتماعی قوانینی برای انتشار محتوا در نظر گرفته شده است که عدم رعایت آن قوانین باعث غیرفعال‌شدن حساب کاربری می‌شود. در این تکنیک ممکن است شما قوانین انتشار محتوای مربوط به پلتفرم را رعایت نکرده باشید. نفوذگر از این مورد سوءاستفاده می‌کند و حساب کاربری شما را با تکنیک ریپورت گسترده توسط ربات‌ها غیرفعال می‌کند. 

سخن آخر: 

اگر تا به این‌جای متن، همراه ما بوده‌اید، خوشحالیم و امید داریم که با به‌کارگیری این موارد ساده، امنیت بیش‌تری را در دنیای سایبری تجربه کنید. این آگاهی بیشتر کاربران است که امنیت بیشتری را فراهم می‌آورد. شما نیز می‌توانید با درمیان گذاشتن این نکات امنیتی با دیگران، قدمی در راستای آگاهی و ارتقای امنیت همه‌ی کاربران اینترنت، بردارید.

بلاگ پست های مرتبط: 

وضعیت امنیت سایبری در ایران 

چک‌لیست اصول امنیتی دورکاری