رفتارهای ناامنی که برای مراقبت از امنیت مجازی‌مان، نباید بکنیم.

رفتارهای ناامنی که برای مراقبت از امنیت مجازی‌مان، نباید بکنیم.

۵۱۵

چه کارها یا رفتارهایی از سوی کاربران اینترنت، امنیت آن‌ها را به خطر می‌اندازد؟ چه رفتارهای ناامن کاربران در فضای اینترنت یا مرتبط به آن، زمینه‌ی ناامنی را برایشان فراهم می‌کند؟ چه کارهایی را نباید در فضای اینترنت انجام دهیم و لازم است که نسبت به آن‌ها هوشیار باشیم؟

این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با برخی شکارچیان آسیب پذیری، هکرهای کلاه سفید و متخصصین امنیتی ست که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی پرسش‌های مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخ‌هایی منحصربه‌فرد و متفاوت به این سوال‌ها داده‌اند. حالا قرار است که سوال‌های مشترک را از دل گپ‌وگفت‌های گذشته بیرون بکشیم وپاسخ‌های متفاوت افراد به آن‌ها را در کنار هم قرار دهیم. این‌طور فکر می‌کنیم که این جمع‌بندی می‎‌تواند ارزش‌مند، شایسته‌ی توجه، کمک‌کننده، دارای پیامی جدید و نمودی از تنوع دیدگاه‌ها در خرد جمعی باشد.

آن‌چه در این بلاگ‌پست خواهید خواند:

در این بلاگ‌پست گفته‌هایی از مهدی مرادلو، ارغوان کامیار، علیرضا رضایی و محمدحسین آشفته‌یزدی را خواهید خواند که راجع به رفتارهای ناامن کاربران فضای اینترنت، خطرهای موجود در پشت هر رفتار ناامن کاربر اینترنت و نکاتی که لازم است درراستای امنیت رعایت شوند، گفته‌اند.

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست.

_ چه رفتارهای ناامن کاربرهای اینترنت متعجبت می‌کند و حرص می‌خوری؟ چه توصیه‌هایی برای امنیتشان داری؟

مهدی مرادلو:

یکی از تهدیداتی که کاربر را تهدید می‌کند این است که وقتی که کاربر عضو سایتی هست، وقتی که آن سایت هک می‌شود و اطلاعاتش نشت پیدا می‌کند، اطلاعات و پسورد کاربر هم لو می‌رود. اگر آن کاربر از یک پسورد واحد برای چندین جا استفاده کرده باشد، مثلا پسوردش در این سایت با پسورد حساب کاربریش در سایت‌های دیگر، اینستاگرام، ایمیل و ...ش یکی باشد، فرد نفوذکننده با سوءاستفاده از اطلاعات نشت‌پیداکرده به راحتی می‌تواند به تک‌تک اکانت‌های آن کاربر دسترسی پیدا کند. کسب‌وکار این مسئولیت را دارد که از این پسورد و اطلاعات کاربر مراقبت کند و امانت‌دارش باشد. وقتی دیتای آن کسب‌وکار هک می‌شود، فقط سایت خودش هک نشده... حساب‌ها و اطلاعات کلیه‌ی آن کاربرهایی که عضوش بوده‌اند، هم هک شده و کسب‌وکار نسبت به تمام آن‌ها مسئول است. یکی از اقدام‌های امنیتی‌ای که کسب‌وکار برام محکم‌کاری قبل از هک‌شدن می‌تواند بکند، این است که پسورد کاربران را رمزنگاری، Hash و بعدش سیو کند. ولی خب بعضی سامانه‌ها پسورد را رمزنگاری نمی‌کنند و مستقیم در دیتابیس سیو می‌کنند. این‌طوری برای فرد نفوذکننده لقمه‌ی آماده‌تری را مهیا می‌کنند. اکثریت کاربران هم نمی‌دانند که بعد از هک‌شدن وبسایتی که عضوش بوده‌اند، اگر رمز حساب‌های کاربری دیگرشان هم همان رمز است، باید رمزهایشان را سریع عوض کنند.

پیشنهاد خواندنی: گپ‌وگفتی با پردرآمدترین شکارچی راورو در سال ۱۴۰۰؛ مهدی مرادلو (moradlooo)

ارغوان کامیار:

من همیشه به همه می­‌گویم:" روی هر لینکی که دیدید، کلیک نکنید و برای دیگران نفرستید. حواستان به پنیرهای رایگانی که در تله موش‌هاست باشد! " . چیزی که شاید به هرکسی بگویم همین است که هر پیام، ایمیل و مسیجی که برایشان می­‌آید، واقعا همان چیزی نیست که داخلش نوشته شده است! و اطلاعاتشان را منتشر نکنند. به نظرم چیزی که شایع است این است که آدم­‌ها راحت اطلاعاتشان را در اختیار بقیه قرار می­‌دهند و اطلاعات‌گرفتن از آن‌ها کار خیلی­‌ سختی نیست. فکر می­‌کنم نیازی نیست آدم هکر یا حتما در حوزه‌ی امنیت سایبری باشد تا بداند که نباید خیلی ساده و راحت اطلاعات را منتشر کرد.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی راورو؛ ارغوان کامیار (spark)

علیرضا رضایی:

این‌که مردم عادی می­‌گویند "ما در گوشیمان چیزی نداریم، که لیک بشود." هم خیلی اعصابم را خرد می‌کند. روی لینک‌های مختلف کلیک می‌کنند؛ لینک "۱۰ هزار دلار برنده شوید" و ... .

مثال خیلی ساده­‌اش این است که شما در گوشیتان مخاطب که دارید. هکر می‌تواند برود و به مخاطبانتان SMS ب­زند، لینک بفرستد، ازشان کلاه‌برداری کند... . نکنید بابا! از این کارها نکنید! حداقل اگر برای خودتان مهم نیست، برای امنیت مخاطب‌هایتان این مورد مهم است. از طریق شما می­‌توانند به مخاطب‌های گوشی‌تان برسند!

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی؛ علیرضا رضایی

محمدحسین آشفته یزدی:

یکی از رفتارهایی که خیلی اذیتم می‌کند، این است که خیلی از کاربران اینترنت، مخصوصا افراد عادی، حواسشان به دسترسی‌ها یا Permissionهایی که به اپلیکیشن‌ها می‌دهند، نیست! مثلا وقتی اپلیکیشنی را از اینترنت نصب می‌کنند، به آن اپلیکیشن دسترسی‌هایی می‌دهند، مثل؛ مخاطبین، لوکیشن یا ... . که این‌ها بیش‌تر برای جاسوسی استفاده می‌شوند و مربوط به مبحث تروجان‌ها هستند. واقعا تعجب می‌کنم از این‌که مثلا چرا یک نرم‌افزار VPN باید دسترسی به رکورد صدا داشته باشد؟ چرا باید دسترسی‌های خاصی داشته باشد؟ مردم خیلی وقت‌ها به این موضوع توجه نمی‌کنند! و این برای من خیلی اذیت‌کننده است. قسمت خوبش این است که نسبت به گذشته، حالا فرهنگ‌سازی بیش‌تری شده و مردم نسبت به این قضایا کمی آگاه‌تر و حساس‌تر شده‌اند. ولی هم‌چنان این قضیه هست. ای کاش که ما در دوران دبیرستان یا دانشگاه، درسی با موضوع "رفتارهای ایمن در اینترنت" را داشتیم.

یکی از رفتارهای مخاطره‌آمیز مردم در فضای اینترنت، که بیش‌ترین معضل را در این زمینه داریم، این است که افراد معمولا نرم‌افزاهایی را نصب می‌کنند، که ممکن است بدافزار باشند! یا روی لینک‌هایی کلیک می‌کنند که آن لینک‌ها نرم‌افزارهایی دانلود می‌کنند که ممکن است آلوده باشند. به نظر من بزرگ‌ترین مشکل در حال حاضر، همین مسائل است. اگر مردم، نرم‌افزارها را از منابع مورداطمینان مثل Play Store ، App Store یا مارکت‌های معتبر دانلود و نصب کنند، و از سایت‌های مختلف به‌صورت مستقیم نصب نکنند، روی هر لینکی کلیک نکنند و به‌طور کلی به این مسائل ریز کوچک توجه کنند، خیلی خوب می‌شود و خیلی از مشکلات حل می‌شود. پلیس فتا هم گاهی همین تذکر را در اس‌ام‌اس‌ها ارسال می‌کند. چون بیش‌تر حملاتی که اتفاق می‌افتند، به‌خاطر همین مسائل اند. البته که تحریم‌ها هم در این مورد بی‌تاثیر نیستند. به‌‌هرحال خیلی از اپلیکیشن‌ها برروی مارکت‌های بین‌المللی و رسمی قابل‌دسترسی نیستند.

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی؛ محمدحسین آشفته‌یزدی (sec_zone64)

سخن آخر:

اگر بخواهیم آن‌چه که به تفصیل گفته شد را به‌طور خلاصه و چک‌لیست وار بیان کنیم، از این قرار خواهد بود:

۱. برای حساب‌های کاربری خود در سایت‌ها، پلتفرم‌ها و شبکه‌های اجتماعی مختلف، از پسورد یکسان استفاده نکنید.

۲. درصورتی‌که برای چندین حساب کاربری خود در سایت‌های مختلف از پسورد یکسان استفاده کردید، حواستان به این موضوع باشد که اگر یکی از سایت‌ها، هک شد و نشت دیتا صورت گرفت، سریع پسور حساب‌های کاربری خود در سایر سایت‌ها را عوض کنید تا از دسترسی نفوذکنندگان به حساب‌هایتان جلوگیری کنید.

۳. روی لینک‌های ارسال‌شده برایتان، ناآگاهانه کلیک نکنید. تحت تاثیر پیام‌های فریبنده، وعده و وعیدهای همراه لینک‌ها قرار نگیرید.

۴. حتما آدرس لینک‌ها را هربار به دقت بررسی کنید تا موردحمله‌ی فیشینگ قرار نگیرید.

۵. اطلاعات خود را به‌راحتی در فرم‌های گوناگون سایت‌ها وارد نکنید و نسبت به آن‌ها حساس باشید.

۶. وقتی نرم‌افزاری را از اینترنت دانلود می‌کنید، نسبت به دسترسی (Permission) هایی که به نرم‌افزار می‌دهید، حساس باشید. از دسترسی‌دادن به موارد غیرمرتبط به نرم‌افزار خودداری کنید.

۷. نرم‌افزارهای موردنیاز خود را از منابع غیرمعتبر و ناشناخته دانلود نکنید تا از خطر آلوده‌شدن دستگاه خود به بدافزار خودداری کنید. منابع و سایت‌های معتبر، مکان‌های امن‌تری برای دانلود هستند.

توصیه‌ی شما برای رفتارهای امن کاربران اینترنت چیست؟

بلاگ‌پست‌های مرتبط:

۷ نکته برای انتخاب پسورد امن‌تر

چک‌لیست مراقبت از گذرواژه؛ گاهی زود، دیر می‌شود...

چک‌لیست اصول امنیتی دورکاری

حریم خصوصی داده‌ها؛ سرمایه‌ای حساس