ترس‌افزار یا اسکير‌ور چیست؟

ترس‌افزار یا اسکير‌ور چیست؟

توسط مفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)

ترس‌افزار نوعی کلاه‌برداری اینترنتی است که با نمایش هشدارهای جعلی ویروس یا اخطارهای امنیتی، شما را متقاعد می‌کند که کامپیوترتان آلوده یا آسیب‌دیده است. هدف آن ترساندن شما برای تماس با شماره پشتیبانی تقلبی است، جایی که کلاه‌برداران ممکن است تلاش کنند اطلاعات شخصی‌تان را سرقت کنند، به دستگاهتان دسترسی از راه دور پیدا کنند یا برای تعمیرات غیرواقعی از شما هزینه دریافت کنند. مسدودکننده ترس‌افزار، مانند ویژگی‌ای که در برخی مرورگرها مانند مایکروسافت اج وجود دارد، این سایت‌های کلاه‌برداری را شناسایی کرده و قبل از بروز هرگونه مشکل به شما هشدار می‌دهد.

ترس‌افزار چیست؟

ترس‌افزار یک نوع حمله سایبری است که با ایجاد ترس در کاربران کار می‌کند. این حمله معمولاً به شکل پنجره‌های پاپ‌آپ هشداردهنده، پیام‌های فوری یا اسکن‌های جعلی سیستم ظاهر می‌شود که ادعا می‌کند دستگاه شما آسیب دیده یا تحت حمله است. این روش‌ها معمولاً شامل موارد زیر هستند:

  • هشدار درباره ویروس‌ها یا خطاهای بحرانی ساختگی

  • ترغیب به تماس فوری با شماره «پشتیبانی فنی»

  • هدایت به سایت‌هایی که نرم‌افزارهای ضدویروس جعلی می‌فروشند

بعد از جلب توجه شما، کلاه‌برداران ممکن است درخواست کنند:

  • دسترسی از راه دور به کامپیوترتان (که امکان سرقت اطلاعات یا نصب بدافزار را فراهم می‌کند)

  • پرداخت هزینه برای تعمیرات غیرواقعی

  • اطلاعات شخصی برای سرقت هویت

مسدودکننده ترس‌افزار چگونه کار می‌کند؟

ویژگی مسدودکننده ترس‌افزار در برخی مرورگرها مانند Microsoft Edge به صورت خودکار این نوع کلاه‌برداری‌ها را شناسایی و متوقف می‌کند. روند کار به این صورت است:

  1. شناسایی: مرورگر سایت‌های شناخته شده کلاه‌برداری و رفتارهای مشکوک پاپ‌آپ را بررسی می‌کند.

  2. هشدار: در صورت ورود به سایت مشکوک، هشدار واضحی نمایش داده می‌شود.

  3. خروج امن: به شما امکان می‌دهد فوراً از صفحه خارج شده و به محیط امن بازگردید.

چرا باید این ویژگی را فعال کنید؟

حتی کاربران باتجربه نیز ممکن است فریب پیام‌های واقعی ترس‌افزار را بخورند. فعال کردن مسدودکننده می‌تواند:

  • از دسترسی کلاه‌برداران به دستگاهتان جلوگیری کند.

  • اطلاعات مالی و شخصی شما را محافظت کند.

  • شما را از پرداخت هزینه‌های جعلی فنی نجات دهد.

نکات ایمنی بیشتر

مسدودکننده ترس‌افزار یک ابزار قدرتمند است، اما بهترین نتیجه با رعایت نکات ایمنی زیر حاصل می‌شود:

  1. به تماس‌های پشتیبانی فنی ناخواسته اعتماد نکنید — شرکت‌های معتبر مثل مایکروسافت یا اپل هیچ‌گاه بدون اطلاع قبلی تماس نمی‌گیرند.

  2. پنجره‌های پاپ‌آپ مشکوک را با استفاده از Task Manager یا قابلیت “Force Quit” ببندید.

  3. مرورگر و سیستم عامل خود را به‌روزرسانی کنید.

  4. از نرم‌افزار آنتی‌ویروس معتبر استفاده کنید.

سوالات متداول (FAQ)

س: ترس‌افزار چیست و چرا خطرناک است؟
ج: ترس‌افزار یک کلاه‌برداری است که با هشدارهای جعلی باعث می‌شود فکر کنید کامپیوتر شما آلوده است. خطر آن شامل سرقت هویت، ورود بدافزار و خسارت مالی می‌شود.

س: مرورگر چگونه از ترس‌افزار محافظت می‌کند؟
ج: مرورگر با استفاده از مسدودکننده ترس‌افزار، سایت‌های کلاه‌برداری شناخته‌شده را شناسایی کرده و قبل از تعامل شما با آنها هشدار می‌دهد.

س: آیا ترس‌افزار می‌تواند ویروس روی کامپیوتر نصب کند؟
ج: بله، بعضی سایت‌های ترس‌افزار تلاش می‌کنند بدافزارهایی که به عنوان نرم‌افزار امنیتی ظاهر می‌شوند را نصب کنند.

س: اگر پنجره ترس‌افزار را دیدم، چه کاری انجام دهم؟
ج: تب مرورگر را ببندید یا از Task Manager برای خروج استفاده کنید و هرگز روی دکمه‌های داخل پنجره کلیک نکنید.

نتیجه‌گیری

ترس‌افزار یکی از فریبنده‌ترین انواع جرائم سایبری است که با ترساندن کاربران آنها را فریب می‌دهد. با فعال کردن مسدودکننده ترس‌افزار در مرورگر و رعایت نکات امنیتی، می‌توانید با اطمینان بیشتری در اینترنت گشت‌وگذار کنید و از گرفتار شدن در این ترفندهای کلاه‌برداری جلوگیری کنید.

حمله به نهنگ

حمله به نهنگ

توسط با بدون دیدگاه مفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)

اگر ۲۱ گام آموزش ارز دیجیتال را در وبسایت کریپتومنتور مطالعه کرده باشید، می‌دانید که در دنیای کریپتو، نهنگ به چه معناست. در کسب‌وکار و امور مالی و مخصوصاً بازار ارزهای دیجیتال، نهنگ یک بازیگر بزرگ، یک فرد یا موسسه با ارزش خالص بالا است که می‌تواند بازارها را در یک لحظه به حرکت درآورد. با این حال، در امنیت سایبری، نهنگ و حمله نهنگ معنای دیگری دارند. حمله به نهنگ، هدف قرار دادن یکی از آن بازیگران بزرگ است، خواه یک شرکت تراشه‌آبی (شرکت بزرگ)، میلیاردر، افراد مشهور یا مؤسسه‌های مشهور باشد. هدف مجرمان سایبری از حمله به نهنگ این است که از توانایی قربانی برای پرداخت مقادیر زیادی باج استفاده کنند، زیرا می‌دانند که ممکن است این کار را برای محافظت از شهرت خود یا برندهایی که نمایندگی می‌کنند انجام دهند.

در حالی که امروزه حمله به نهنگ به مشاغل بزرگ و کوچک آسیب وارد می‌کند، اما دلیل برای این همه خسارت وجود ندارد! یادگیری تشخیص شاخص های اصلی فیشینگ و آموزش کارمندان توسط صاحبان و مدیران شرکت‌ها برای پیشگیری از چنین روزهای دشواری است . مدیران عاقل می‌توانند شیوه های پیشگیری از فیشینگ را در شرکت‌های خود اجرا کنند تا از حملات و کابوس روابط عمومی و دردسرهای گسترده جلوگیری کنند – و به طور بالقوه باعث صرفه‌جویی عظیمی در سازمان‌ها شوند. با آموزش و پیشگیری، حمله به نهنگ می‌تواند به یک کار بیهوده تبدیل شود، در حد یک هک ساده.

همه انواع حملات جرم است و ضمناً فرقی نمی‌کند این حملات متوجه مدیران ارشد، صاحبان مشاغل کوچک یا فقط پرسنل رده‌پایین شرکت شما باشد، افرادی هستند که حمله به نهنگ را موضوعی بحث‌برانگیز می‌دانند. به این دلیل که در بسیاری از موارد، حملات نهنگ کمتر گزارش می‌شود. در نگاه اول، ممکن است عجیب به نظر برسد که کسب‌وکارها حمله به نهنگ را فوراً گزارش نمی‌کنند، اما منطقی در آن وجود دارد: برخی از این افراد و شرکت‌های قربانی ممکن است معتقد باشند که بهتر است به جای اعتراف به اینکه در معرض خطر قرار گرفته اند، سکوت کنند و تسلیم خواسته‌های هکرها شوند.

چرا معمولا حمله به نهنگ گزارش نمی‌شود؟

اگر شهرت یا وجه عمومی مدیران یا شرکت‌های بزرگ، لکه دار شود، چیزهای زیادی برای از دست دادن دارند. تیم روابط عمومی آنها و هیئت مدیره شرکت آنها ممکن است احساس کنند که پرداخت باج به باندهای تبهکار می‌تواند هزینه کمتری نسبت به آسیب رساندن به برند شرکت یا ایجاد افت ارزش سهام پس از اعلامِ قربانی‌شدن توسط یک حمله سایبری جدی داشته باشد. در حالی که هر کسی ممکن است قربانی یک حمله سایبری شود، 500 شرکتِ فورچون و سایر کسب‌وکارهای بزرگ ممکن است معتقد باشند که بالاتر از چنین کلاهبرداری‌هایی هستند. آنها ممکن است احساس کنند برای تسلیم شدن در برابر چنین رویدادهایی بیش از حد باهوش، بسیار زرنگ و یا بسیار ایمن هستند.

بنابراین در حالی که برخی از شرکت‌ها و افراد سعی می‌کنند قربانی شدن را پنهان کنند، حقیقت اغلب آشکار می‌شود. شرکت‌ها ممکن است نیاز به پذیرش عمومی داشته باشند، شاید به دلیل ترس از نشت اطلاعات در رسانه‌ها ممکن است آنها را مجبور کند که در نهایت به هر حال شفاف شوند. در موارد دیگر، ممکن است شرکت ها موظف به گزارش تخلفات امنیتی یا سایر موارد باشند. در واقع، اکثر شرکت‌های فورچون 500 و شرکت های سهامی عام طبق قانون ملزم به گزارش حوادث امنیت سایبری هستند. دولت بایدن با صدور فرمان اجرایی در سال 2021 این رویه را تمدید کرد. این فرمان بیان می کند که هر شرکتی که با دولت فدرال در رابطه‌ای تجاری است باید فوراً نقض امنیتی را گزارش کند. این علاوه بر مقررات SEC مربوط به سال 2012 است که شرکت‌های دولتی را مجبور می‌کند حملات سایبری را به تنظیم‌کننده‌ها گزارش دهند و تغییراتی را که برای محافظت از خود و مشتریانشان در آینده انجام خواهند داد، تعیین کنند. کسب‌وکارهایی که در کشورهای امضاکننده GDPR اروپا هستند نیز طبق قانون ملزم به گزارش برخی موارد نقض داده‌ها هستند. امتناع از گزارش چنین تخلفاتی می‌تواند جریمه‌ای 10 میلیون یورویی (تقریباً 10.5 میلیون دلار) یا 2 درصد از گردش مالی سالانه شرکت را به همراه داشته باشد.

اما این سوال باقی می‌ماند: اگر قوانینی وجود دارد که گزارش حملات سایبری و تخلفات را الزامی می‌کند، چرا شرکت ها سعی می‌کنند آن را پنهان کنند؟ پاسخ ساده نیست. از یک طرف، ممکن است شرکت یا فرد از وظیفه گزارش‌دهی آگاه نباشد، اگرچه این امر به طور آشکاری بعید به نظر می‌رسد. از سوی دیگر، این احتمال وجود دارد که امتناع از گزارش حملات سایبری یک تصمیم اعتباری یا مالی باشد. قیمت سهام معمولاً زمانی کاهش می‌یابد که اخباری مبنی بر نقض اطلاعات در یک شرکت بزرگ وجود داشته باشد. به عنوان مثال، نقض داده‌های Capital One در سال 2019 دلیل کاهش 6 درصدی سهام شرکت خدمات مالی بود که این نقض به طور عمومی گزارش شد و این رقم در هفته‌های پس از آن بیش از دو برابر شد و به تقریباً 14 درصد رسید. همچنین مطالعات نشان داده است که آسیب مالی به اعتبار شرکت می‌تواند طولانی مدت باشد.

با این حال، زمانی که شرکت ها گزارش نمی‌دهند، در حقیقت با آتش بازی می‌کنند. در سال 2017، مشخص شد که اوبر یک نقض گسترده داده‌ها را که میلیون‌ها مشتری را در سراسر جهان تحت تأثیر قرار داده بود، پنهان کرده است. همچنین مشخص شد که شرکت ride-share مبلغ 100000 دلار به هکرها پرداخت کرده است تا اطلاعات را حذف کنند و در مورد حمله سکوت کنند. این پذیرش باعث شد تا جو سالیوان، مدیر ارشد امنیت اوبر، کارش را از دست بدهد و دارا خسروشاهی، مدیر عامل شرکت اوبر را مجبور کرد تا از مشتریان و سرمایه گذاران عذرخواهی کند. بنابراین، سوال نباید این باشد که چرا شرکت‌ها حمله سایبریِ حمله‌به‌نهنگ را گزارش نمی‌کنند. سوال باید این باشد: چگونه شرکت‌ها و افراد می‌توانند از وقوع حملات نهنگ در وهله اول جلوگیری کنند.

هک و نقض داده‌ها می‌تواند برای مدیران شرم آور باشد

کلاهبرداری می‌تواند برای مدیران و سازمان‌ها شرم‌آور باشد، به‌ویژه زمانی که سهل‌انگاری مدیر عامل یا سایر اعضای c-suite (مدیران ارشد) منجر به این حادثه شده است. به عنوان مثال، صندوق پوشش ریسک (Hedge Fund) استرالیایی در سال 2020 را در نظر بگیرید، که 8.7 میلیون دلار در یک حمله فیشینگ از دست داد. هکرها توانستند با ارسال یک لینک دعوت جعلی از طریق Zoom – یک تاکتیک فیشینگ معمولی در طول همه‌گیری کرونا، صندوق را به خطر بیندازند. این لینک توسط یک کارمند رده‌پایینِ بی‌دقت باز نشد، بلکه توسط یکی از بنیانگذاران صندوق باز شد. دعوت جعلی به هکرها اجازه می داد تا نرم افزار مخرب را نصب کنند، که به نوبه خود آنها را قادر می‌ساخت یک سری فاکتورهای جعلی را در سیستم ایمیل صندوق ایجاد کنند. علاوه بر این، هیچ زنگ خطری وجود نداشت: مدیران اجرایی در صندوقِ پوششی تنها پس از بررسی حساب بانکیِ صندوق و آگاه شدن از گم شدن میلیون‌ها دلار، متوجه شدند که سیستم‌های آنها مورد حمله قرار گرفته است.

این یک هشدار جدی است که تمام آن چیزی که هکرها برای شروع یک حمله پیچیده به آن نیار دارند این است که دَربی کمی باز بماند! و حتی چیزی به ظاهر ناچیز مانند لینک Zoom می تواند به عنوان یک درِ ورود عمل کند.

اغلب اوقات، هنگامی که یک رویداد جدی حمله‌به‌نهنگ رخ می‌دهد، کاسه‌ها و کوزه‌ها، سرِ بالاترین اشخاص مسئول، مانند مدیر عامل یا سایر مدیران اجرایی مانند CTO یا CXO، می‌شکند. این مورد در اتریش در سال 2016 اتفاق افتاد، زمانی که هکرها از نوعی کلاهبرداری، معروف به حادثه رئیس جمهور جعلی استفاده کردند و در یک سری ایمیل، خود را به عنوان مدیر عامل شرکت هوافضا (FACC) جا زدند. کلاهبرداران توانستند با استفاده از تکنیک های پیچیده فیشینگ، حدود 47 میلیون دلار از FACC کلاهبرداری کنند. پس از علنی شدن این حادثه، هیئت مدیره به اخراج والتر استفان، مدیر عامل شرکت رای داد.

هدف قرار دادن ماهی‌های کوچکتر

تنها شرکت های بزرگ در معرض خطر حملات نهنگ قرار ندارند. بلکه داستان یک فرد ناشناس هم در سال 2019 در رادیو NPR منتشر شد. مارک (نام واقعی شخصِ مورد نظر، این نیست) با درخواست برای پنهان کردن هویت خود، از شرمساری ناشی از فریب خوردن توسط هکرها در کلاهبرداری‌های فیشینگ صحبت کرد و اینکه چگونه معتقد بود افشای حقیقت به او و کسب‌وکارش در حوزه املاک و مستغلات در سیاتل آسیب می‌رساند. این داستان نشان می‌دهد که هکرها چگونه با صبر و حوصله مکاتبات و مکالمات بین مارک و همکار او را تماشا می‌کردند و گوش می‌دادند و در فرصت مناسب 50000 دلار را به حساب خود هدایت کردند. این نمونه‌ای از روند رو به رشد BEC (در معرض خطر قرار گرفتنِ ایمیلِ کاری business email compromise) است که از تاکتیک‌های حمله‌به‌نهنگ برای هدف قرار دادن مشاغل و افراد سرشناس به حساب می‌آید.

بازپس‌گرفتن پول – نادر پس از حمله به نهنگ

مسئله برخورد مستقیم با هکرها یا مطلع کردنِ مقامات بارها و بارها مطرح می‌شود. جالب توجه اینکه مطالعات نشان داده است که کسانی که پس از حملهٔ باج‌افزار، مبالغی به مجرمان پرداخت می کنند، احتمالاً توسط حمله مجدد دیگری مورد حمله قرار می گیرند! موارد نادری وجود دارد که بخت با قربانی یار باشد و پول خود را پس بگیرد. این موضوع در مورد شرکت اسباب بازی ماتل اتفاق افتاده بود. 3 میلیون دلار در یک حادثه رئیس جمهور جعلی به سرقت رفت، این بار از طریق یک عملیات پیچیده از چین. اما با کمی شانس، متل توانست با FBI و مقامات چینی برای مسدود کردن حساب‌های هکرها و پس گرفتن پول همکاری کند.

چرخیدن در بزرگان

اما مورد ماتل، متأسفانه، یک امر استثنا است. حتی برندها و افرادِ با دانش فنی می‌توانند مقادیر هنگفتی پول را از طریق حملات حمله‌به‌نهنگ در معرض خطر قرار دهند. این سرنوشت شرکت فناوری شبکه Ubiquiti Networks Inc بود که به دلیل فیشینگِ ارتباطات مدیران، 46.7 میلیون دلار از دست داد. همانطور که قبلا ذکر شد، بسیاری از شرکت ها مجبور به گزارش هک‌ها هستند و Ubiquiti یکی از آنها بود. در این مورد، شرکت مجبور شد در پرونده های فصلی خود در تابستان 2015، حمله به نهنگ را به SEC گزارش دهد.

امنیت ایمیل همیشه باید یکی از اولویت‌های سازمان‌هایی باشد که مانند شرکت های Fortune 500 مبالغ هنگفتی انتقال می‌دهند. همانطور که تا کنون نشان داده‌ایم، کمپین‌های فیشینگ نهنگ معمولاً پیچیده، به‌خوبی‌تعریف‌شده و با حوصله اجرا می‌شوند. این در سال 2015 در مورد معامله‌گر کالا Scoular آشکار بود که پس از فریب یک مدیر اجرایی توسط یک سری ایمیل‌های پیچیده که ادعا می‌کرد در حال اجرای یک معامله M&A (ادغام و تصاحب) هستند، 17 میلیون دلار از دست داد. این پول سپس ناپدید شد، زیرا این باند متفکر تبهکار از یک سری آدرس ایمیل جعلی در سراسر اروپا و خاورمیانه، سرورهای روسیه و یک آدرس بانک جعلی در شانگهای استفاده کرد.

حملات نهنگ می‌تواند داده‌ها را بر پول نقد اولویت دهد

به دلایل مختلف، هکرها ممکن است همیشه پول نقد را هدف اصلی خود قرار ندهند، حداقل نه مستقیم. زمانی که اسنپ‌چت در سال 2016 با نقض اطلاعات مواجه شد، هکرهای حمله‌به‌نهنگ زمانی که به دنبال دسترسی به داده‌های حقوق و دستمزد بسیاری از کارمندان آن بودند، اطلاعات را هدف قرار دادند نه پول نقد. این بار نیز هکرها خود را جای مدیر عامل جا زدند. هکرها در تبادل ایمیل با بخش منابع انسانی وانمود می کردند که اوان اشپیگل (مدیرعامل) هستند. این اتفاق، که برای یک شرکت ظاهراً متبحر در فناوری مانند Snapchat شرم آور بود، آن را مجبور کرد برای همه کارکنان آسیب‌دیده دو سال بیمه سرقت هویت رایگان ارائه دهد.

به طور مشابه، در همان سال، داده‌های کارگران در سیگیت، یک شرکت بزرگ فناوری S&P500، پس از اینکه یکی از کارمندان در معرض کلاهبرداری ایمیلی قرار گرفت، توسط مجرمان سایبری به سرقت رفت. آن کارمند، ناخواسته سوابق همکاران (گذشته و حال) را ارسال کرد که برای اهداف مالیاتی استفاده می‌شود. در آن زمان، کارشناسان ادعا کردند که افراد آسیب‌دیده ممکن است در سال‌های آینده بخاطر تقلب در بازپرداخت مالیات آسیب ببینند.

اهداف بزرگ برای سودهای بزرگ – چرا حمله به نهنگ جواب می‌دهد

هکرها هر چیزی هستند جز احمق. در واقع، درک آنها از روانشناسی، اغلب می‌تواند به موفقیت حملات آنها کمک کند. برای مثال، آن‌ها می‌دانند که کلاهبرداری‌های جسورانه مانند تظاهر به مدیرعاملیِ یک شرکتِ فورچون‌500 می‌تواند به خوبی عمل کند. زیرا اگر کارمندان درخواست‌های عجیب و غریب از طریق ایمیل یا سایر ارتباطات را از مقامی بالاتر از خود دریافت کنند، کمتر احتمال دارد که «رئیس» را زیر سوال ببرند یا به چالش بکشند. علاوه بر این، هکرها می‌دانند که این شرکت‌ها اغلب پول نقد هستند! و عادت دارند با فشار دادن یک دکمه مقادیر زیادی پول برای مشتریان و شرکا ارسال کنند. این یکی از دلایل رایج بودن حملات نهنگ است و به همین دلیل است که برخی از جسورانه ترین کلاهبرداری ها با موفقیت انجام می‌شوند.

شما برای شرکت، سازمان یا حتی کسب‌وکار کوچک خود چه نکات امنیتی‌ای را رعایت می‌کنید؟

هویت دیجیتال

هویت دیجیتال

توسط با بدون دیدگاه مفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)مفاهیم و مبانی متاورس و وب3

هویت دیجیتال اطلاعاتی است که توسط سیستم‌های کامپیوتری برای نشان دادن یک موجودیت خارجی (یک شخص، سازمان، برنامه کاربردی یا دستگاه) استفاده می‌شود. هویت دیجیتال امکان دسترسی به خدمات ارائه شده با رایانه را به صورت خودکار فراهم می‌کند و این امکان را برای رایانه‌ها فراهم می‌کند تا روابط را میانجی‌گری کنند.

استفاده از هویت‌های دیجیتال به قدری گسترده است که بسیاری از مباحث مربوط به کل مجموعه اطلاعات تولید شده توسط فعالیت آنلاینِ یک فرد را نیز تحت عنوان «هویت دیجیتال» طبقه‌بندی می‌کنند. این موضوع شامل آواتارهای سه بعدی، نام‌های کاربری، گذرواژه‌ها، تاریخچه جستجو، تاریخ تولد، شماره بیمه، کد ملی، و سابقه خرید می‌شود، به‌ویژه در مواردی که این اطلاعات به صورت عمومی در دسترس است و ناشناس نیست و می‌تواند توسط دیگران برای کشف هویت مدنی (هویت واقعی) آن شخص استفاده شود.

به نظرم آدرس کیف پول ارز دیجیتال شما هم جزئی از هویت دیجیتال شماست. چه به شکل عبارتی پیچیده نظیر:

0x1jrzptuugii388wdtq4kgzuc055heeawd704f9a

باشد یا یا به شکل یک دامنه بلاکچینی:

mahdibml.crypto

در یک مفهوم وسیع‌تر، هویت دیجیتال جنبه‌ای از هویت اجتماعی یک فرد است و به آن هویت آنلاین نیز می‌گویند.

در خصوص هویت و هویت دیجیتال نیاز به یک بازاندیشیِ همه‌جانبه داریم. درغیر‌اینصورت تنها حاضرینی ناشناس در متاورس‌های تولید شده توسط هوش مصنوعیِ مولد یا دنیای واقعیِ بهینه‌شده توسط هوش مصنوعی خواهیم بود.مهدی بیک محمدلو

هویت دیجیتال یک فرد اغلب با هویت مدنی یا ملی آن‌ها مرتبط است و بسیاری از کشورها سیستم‌های هویت دیجیتال ملی را ایجاد کرده‌اند که هویت دیجیتال را در اختیار شهروندان آن‌ها قرار می‌دهند.

اثرات حقوقی و اجتماعی هویت دیجیتال پیچیده و چالش برانگیز است.

اطلاعات شناسایی شخصی (PII)

اطلاعات قابل شناسایی شخصی (Personal Identifiable Information) به این صورت تعریف می‌شود: هر گونه نمایش اطلاعاتی که اجازه می‌دهد هویت فردی که این اطلاعات در مورد او اعمال می‌شود، به طور منطقی با ابزارهای مستقیم یا غیرمستقیم استنتاج شود.

بحران هویت دیجیتال

برای زنده ماندن در دنیای متحول شده دیجیتال خود، همه ما عادت کرده‌ایم که بدون فکر کردن، جزئیات شخصی را تایپ کنیم و اجازه دهیم هر کجا که باد اینترنت می‌خواهد آنها را ببرد! نام‌ها، آدرس‌ها، ایمیل‌ها و سایر شناسه‌های منحصربه‌فرد ما دسترسی به همه چیز از بانکداری آنلاین گرفته تا تحویل غذا را با یک ضربه ممکن می‌سازد. اما همین دسترسی، آسیب‌پذیری‌های بیشماری را برای سرقت هویت و حتی حملات کلاهبرداری در مقیاس بزرگ ایجاد می‌کند.

این تناقض (اینکه هویت‌های دیجیتال ما هم کلید بقا هستند و هم دائماً مورد حمله قرار می‌گیرند) شکنندگی‌ای ایجاد کرده است که به عنوان بحران هویت دیجیتال شناخته می‌شود. این یک مشکل برای همه کسانی است که در عصر دیجیتال زندگی می‌کنند، اما حل آن بر عهده کسب‌وکارهاست و مخاطرات آن هرگز بالاتر از آنچه امروز هست نبوده.

تأثیر مداوم بحران هویت دیجیتال

بحران هویت دیجیتال باعث هرج و مرج در نحوه حرکت پول و هویت در سراسر وب شده است. به همین دلیل است که بسیاری از هتل‌های بزرگ، شرکت‌های کرایه اتومبیل و دیگر تجار بزرگ از پذیرش کارت‌های اعتباری دیجیتال خودداری کرده‌اند. به این ترتیب 4.5 میلیون حساب مشتری تقلبی در PayPal ایجاد گردید که باعث رکود 25 درصدی سهام شد.

به همین دلیل است که Robinhood فهرستی از بانک‌های دیجیتال را ایجاد کرده است که نقل و انتقالات از آنها را ممنوع می‌کند: به معنای واقعی کلمه پول را از خود دور می‌کند. و به همین دلیل است که بسیاری از مشتریان واقعی و فاقد بانک در طی فرآیندهای ورود دیجیتال صرفاً به این دلیل که دارای یک پرونده اعتباری نه چندان قوی یا یک ردپای هویت دیجیتال کوچک هستند، رد می‌شوند. شرکت‌ها در تلاش برای جلوگیری از کلاهبرداری از شهروندان، حملات ربات‌ها و حلقه‌های کلاهبرداری پیچیده‌ای که اطلاعات هویتی ارزشمند کاربران را هدف قرار می‌دهند، از این نوع مشتریان صرف نظر کرده‌اند.

این واقعیت که کسب‌وکارها چنین اقدامات شدیدی را انجام می‌دهند، نشان می‌دهد که چقدر بحران هویت دیجیتال را جدی می‌گیرند. برای مثال چایْم Chime یک بانک دیجیتال است که هم از نظر کاربران و هم در ارزش گذاری، رشد پررونقی دارد. اما صنایع بزرگ به دلیل نگرانی از تقلب، از همکاری با آن امتناع می‌ورزند و در واقع خود را از یک جریان درآمد قوی دور می‌کنند. و این فقط تأثیر پولیِ کلاهبرداری نیست که باعث کابوس می‌شود: شهرت برندها، اعتماد مصرف‌کننده و مجازات‌های قانون‌گذار نیز در خطر است. حال سؤال اینجاست که کسب‌وکارها چگونه می‌توانند از شهرت و درآمد خود محافظت کنند، بدون اینکه در را به روی مشتریان واقعی ببندند؟

تأیید هویت دیجیتال فراتر از داده‌های سنتی

اینجاست که روش‌های جدید و بسیار دقیق تحلیل داده‌های پیش از ثبت (pre-submit data)، تغییرات واقعی را در صنعت پیشگیری از تقلب ایجاد می‌کنند. داده‌های پیش از ثبت، اطلاعاتی هستند که حتی قبل از ثبتِ PII به دست می‌آیند و صرفاً از تعاملات دیجیتال یک کاربرِ آنلاین هنگام پر کردن یک فرم استخراج می‌شود. هنگامی که یک مشتری بالقوه روی اطلاعاتی کلیک می‌کند، ضربه می‌زند، تایپ می‌کند یا آن را در یک فرم یا برنامه آنلاین وارد می‌کند، این رفتارها داده‌های پیش از ثبت یا داده‌های رفتاری را ایجاد می‌کند که بعداً حتی می‌تواند جزئی از هویت دیجیتال کاربر شود!

داده‌های رفتاری، شاخص‌هایی از نیات و تجربه‌ای را ارائه می‌دهند که کاربر با هر تعاملی پشت سر می‌گذارد. این می‌تواند بینش عمیقی در مورد موارد زیر ارائه دهد:

  • اهداف واقعی کاربران (مشروع یا شرورانه).
  • آیا آنها همان چیزی هستند که می‌گویند.
  • و حتی تجربه‌ای که کاربران در طول کارهای آنلاینِ خود دارند (مانند سردرگمی، ناامیدی، اطمینان و غیره).

این داده‌ها همیشه توسط کاربران دیجیتال تولید شده است. برای بیشتر سازمان‌ها، این داده‌ها ذاتاً جمع‌آوری می‌شوند اما به خوبی استفاده نمی‌شوند.

فناوری تجزیه و تحلیل رفتاری پیش از ثبت، اغلب بخش مهم گمشده در سیستم تشخیص و پیشگیری از تقلب در یک کسب‌وکار است. بسیاری آن را به عنوان راه حل واقعی برای حل بحران هویت دیجیتال و غلبه بر خطرات اطلاعات هویتیِ غیرقابل اعتماد می‌دانند. این رویکرد، پتانسیل صرفه جویی سالانه میلیاردها دلار ناشی از تقلب، موارد مثبت کاذب (False positive)، و اصطکاک مشتری را به همراه دارد. برخی از فناوری‌های تجزیه و تحلیل رفتاری حتی می‌توانند به رفتار در سطح جمعیت نگاه کنند و حملات ربات‌ها را قبل از آسیب‌رسانی پیدا کنند.

بحران هویت دیجیتال یک تهدید واقعی است، اما غیرقابل عبور نیست. مجرمان سایبری زمانی پرکار می‌شوند که کسب‌وکارها در حالت تقلا باقی می‌مانند و صرفاً به پایگاه‌های داده ثابت و احتمالاً در معرض خطرِ داده‌های PII تکیه می‌کنند. داده‌های پیش از ثبت و تجزیه و تحلیل رفتاری، بررسی‌های بلادرنگی هستند که به کسب‌وکارها کمک می‌کنند به جای نگاه کردن به گذشته و به سوابق کاربران، چشمان خود را به افق فرصت‌های جدید باز کنند. کسانی که از این فناوری پیشرفته بهره می‌برند، از بحران هویت دیجیتال و همه دردهای ناشی از آن نیز جلوتر خواهند بود.

احراز هویت بدون رمز عبور

احراز هویت بدون رمز عبور

توسط با بدون دیدگاه بررسیمفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)

احراز هویت بدون گذرواژه چیست؟

احراز هویت بدون رمز عبور یک روش احراز هویت است که به کاربر اجازه می‌دهد بدون وارد کردن رمز عبور یا پاسخ به سؤالات امنیتی به یک برنامه کاربردی یا سیستم فناوری اطلاعات دسترسی پیدا کند. در عوض، کاربر انواع دیگری از شواهد و مدارک مانند اثر انگشت، نشان مجاورت (Proximity Badge) یا کد توکن سخت‌افزاری (Hardware Token Code) را ارائه می‌کند. احراز هویت بدون گذرواژه اغلب همراه با احراز هویت چند مرحله‌ای (MFA) و راه‌حل‌های تک وروده (Single Sign-On) برای بهبود تجربه کاربر، تقویت امنیت و کاهش هزینه‌ها و پیچیدگی عملیات فناوری اطلاعات استفاده می‌شود.

مشکل رمز عبور

کاربران و کارمندان دیجیتال امروزی برای انجام کارهای خود به برنامه‌های کاربردی متنوعی متکی هستند. کاربران مجبور به حفظ و ردیابی مجموعه‌ای گیج‌کننده از رمزهای عبوری هستند که باید چند وقت یکبار تغییر یابند. بسیاری از کاربران به دلیل تعدد گذرواژه‌ها، از میانبرهای خطرناکی مانند استفاده از رمز عبور یکسان برای همه برنامه‌ها، استفاده از رمزهای عبور ضعیف، تکرار رمزهای عبور یا یادداشت رمزهای عبور روی برگه‌های یادداشت چسبان استفاده می‌کنند. بازیگران بد یا همان هکرها می‌توانند از شیوه‌های ضعیف مدیریت رمز عبور برای انجام حملات سایبری و سرقت داده‌های محرمانه استفاده کنند.

روش‌های ساده احراز هویت که فقط به ترکیب نام کاربری و رمز عبور نیاز دارند، ذاتا آسیب پذیر هستند. مهاجمان می‌توانند اطلاعات محرمانه را حدس بزنند یا سرقت کنند و با استفاده از تکنیک‌های مختلف به اطلاعات حساس اشخاص یا شرکت‌ها و سیستم‌های فناوری اطلاعات در یک سازمان دسترسی پیدا کنند، از جمله این تکنیک‌ها می‌تان به موارد زیر اشاره کرد:

  • روش‌های Brute Force – استفاده از برنامه‌هایی برای تولید ترکیبات تصادفیِ نام کاربری و رمز عبور یا سوء استفاده از رمزهای عبور ضعیف رایج مانند 123456
  • پر کردن اطلاعات محرمانه – استفاده از اطلاعات کاربری سرقت شده یا لو رفته از یک حساب برای دسترسی به حساب‌های دیگر (افراد اغلب از یک ترکیب یکسانِ نام کاربری و گذرواژه برای بسیاری از حساب‌ها استفاده می‌کنند).
  • فیشینگ – استفاده از ایمیل‌های جعلی یا پیام‌های متنی برای فریب قربانی برای دریافت اطلاعات محرمانه آنها.
  • Keylogging – در این روش، هکر با نصب بدافزار (Malware) روی کامپیوتر یا موبایلِ شخص قربانی، ضرباتی که کاربر روی صفحه کلید یا کیبورد سخت‌افزاری یا نرم‌افزاری وارد می‌کند را ثبت و حروف، اعداد یا سایر علائم تایپ شده توسط کاربر را برای خود ارسال می‌نماید.
  • حملات Man-in-the-Middle – رهگیری جریان‌های ارتباطی (برای مثال از طریق WiFi عمومی) و انتشار اطلاعات محرمانه.

احراز هویت بدون رمز عبور ریسک را کاهش می‌دهد و رضایت کاربر را بهبود می‌بخشد

احراز هویت بدون گذرواژه با حذف شیوه‌های مخاطره آمیز مدیریت رمز عبور و کاهش بردارهای حمله، امنیت را تقویت می‌نماید (در امنیت سایبری، بردار حمله مسیری است که یک هکر برای سوء استفاده از آسیب‌پذیری‌های امنیتی طی می‌کند). همچنین با حذف رمز عبور، تجربیات کاربر بهبود می‌یابد. با احراز هویت بدون رمز عبور، نیاز نیست هیچ رمز عبور یا پاسخ سؤالات امنیتی را برای به خاطر سپرد. کاربران می‌توانند با استفاده از روش‌های دیگر هویت خود را احراز نمایند:

  • نشان‌های مجاورت، نشانه‌های فیزیکی یا دستگاه‌های USB (کلیدهای سازگار با FIDO2).
  • توکن‌ها یا گواهی‌های نرم‌افزاری.
  • اثر انگشت، صدا یا تشخیص چهره، یا اسکن شبکیه چشم.
  • یک اپلیکیشن تلفن همراه.

احراز هویت بدون گذرواژه معمولاً همراه با راه‌حل‌های تک وروده یا Single Sign-On اجرا می‌شود، بنابراین کاربر می‌تواند از همان نشان مجاورت، کد امنیتی یا برنامه تلفن همراه برای دسترسی به همه برنامه‌ها و خدمات خود استفاده کند. احراز هویت بدون رمز عبور نیز اغلب به عنوان بخشی از راه حل احراز هویت چند عاملی مورد استفاده قرار می‌گیرد، جایی که کاربران مجبور می‌شوند چندین شکل و نوع مختلف از شواهد یا مدارک را برای دسترسی به برنامه‌ها یا حتی سیستم‌های سازمانی ارائه دهند. به عنوان مثال، برای دسترسی به یک برنامه تلفن همراه، ممکن است لازم باشد که کاربر روی حسگر اثر انگشت ضربه بزند و یک کد پیامکیِ موقت یا یکبار مصرف را که به تلفنش ارسال شده است وارد کند.

آخرین و به روز ترین راه حل‌های احراز هویت چند مرحله‌ای یا MFA، از روش‌های احراز هویت تطبیقی پشتیبانی می‌کنند. در این روش‌ها با استفاده از اطلاعات زمینه‌ای (موقعیت مکانی، زمان، آدرس IP، نوع دستگاه و غیره) و قوانینِ از پیش تدوین شده برای تعیین اینکه کدام فاکتورهای احراز هویت برای یک کاربر خاص در یک موقعیت خاص اعمال شود، استفاده می‌گردد. احراز هویت چند مرحله‌ایِ تطبیقی، تعادل بین ​​راحتی ایتفاده و امنیت را برقرار می‌کند. برای مثال، ممکن است کارمندی که از یک رایانه خانگی قابل اعتماد به یک برنامه سازمانی دسترسی پیدا می‌کند، تنها یک شکل از احراز هویت را ارائه دهد. اما برای دسترسی به برنامه از یک کشور خارجی از طریق اتصال وای فای غیرقابل اعتماد، ممکن است کاربر مجبور باشد یک کد پیامکی نیز وارد کند.

مزایای احراز هویت بدون رمز عبور

احراز هویت بدون گذرواژه، مزایای کاربردی و تجاری مختلفی را ارائه می‌کند. این به سازمان‌ها کمک می‌کند:

  • بهبود تجربیات کاربر – با حذف رمز عبور و اطلاعات محرمانه و ارائه دسترسی یکپارچه به همه برنامه‌ها و خدمات.
  • تقویت امنیت – با حذف تکنیک‌های مخاطره آمیز مدیریت رمز عبور و کاهش سرقت اطلاعات محرمانه و جعل هویت (فیشینگ).
  • آسان سازی و تسهیل عملیات IT – با حذف نیاز به ایجاد، به خاطر سپاری، تغییر، بازنشانی و مدیریت رمزهای عبور.

OwnID چیست؟

رولی الیزروف (Rooly Eliezerov) یک کارآفرین در فضای هویت دیجیتال است که در حال حاضر یکی از بنیانگذاران OwnID، پلتفرم هویت بدون رمز عبور است. قبل از OwnID، ایشان یکی از بنیانگذاران Gigya بود که توسط SAP خریداری شد. Gigya با مدیریت بیش از یک میلیارد هویت دیجیتال برای بزرگترین سازمان‌های جهان، بازار مدیریت هویت و دسترسی مشتری (CIAM) را رهبری می‌کند. کتاب «بحران هویت دیجیتال» نوشته رولی الیزروف توسط ویلی و پسران در مارس 2018 منتشر شد.

در یک مصاحبه، رولی الیزروف از پشت پرده استارت‌آپ جدید و نوآورانه خود یعنی فناوری احراز هویت بدون رمز عبور بیومتریک مبتنی بر تلفن هوشمند گفته است. هدف OwnID تغییر نحوه ورود افراد به حساب‌های خود و ایجاد پیشرفت در عرصه مالکیت هویت دیجیتال است.

راه‌حل‌های غیرمتمرکز مانند OwnID، راه را به سوی یک هویت مستقل و تجارب کاربری بسیار شخصی سازی شده هموار می‌کنند. در ادامه و بر اساس همان مصاحبه خواهیم دید که چشم انداز مدیریت هویت چگونه در حال تکامل است.

درباره داستان OwnID

رولی و Dor، بنیانگذاران OwnID، بخشی از تیم موسس Gigya، پلتفرم مدیریت هویت و دسترسی مشتری (CIAM) هستند که توسط SAP در سال 2017 به مبلغ 350 میلیون دلار خریداری شد. پس از تصاحب توسط SAP، آنها احساس کردند که مدیریت هویت یک کار ناتمام است و باید رویکرد تحول آفرین تری به موضوع هویت وجود داشته باشد. ایشان با چند متخصص باهوش دیگر از Gigya و با سرمایه‌گذار اصلی Gigya یعنی Mayfield شروع به رشد کردند.

چرا بیومتریک به جای روش‌های دیگر ورود به سیستم؟

ایده اصلی OwnID این است که «تلفن همراه، کلید است». همانطور که یک گوشی هوشمند می‌تواند قفل ماشین و خانه من را باز کند، پس می‌تواند هر چیز دیجیتالی دیگری را باز کند. خوشبختانه، تلفن‌ها به مکانیزم بیومتریک مجهز شده‌اند، و بنابراین احراز هویت دو عاملیِ بدون دردسر (چیزی که دارید + چیزی که هستید) میسر می‌گردد. OwnID معتقد است که این بسیار بهتر از مکانیزم‌های احراز هویت قدیمی مانند لینک‌های جادویی، کد پیامکی و حتی رمز عبور است. بهتر یعنی: استفاده راحت تر و ایمن تر.

فناوری پشت محصول OwnID

این استارتاپ از WebAuthn و FIDO2 استفاده می‌کند. بنابراین، محصولش کاملا مبتنی بر وب است. وب‌سایت‌ها را قادر می‌سازد تا به مکانیزم قفل گوشی کاربر (هم آیفون و هم اندروید) دسترسی داشته باشند. اما این محصول چیزی فراتر از تنها یک فناوری اصلی است و حل بسیاری از مشکلات دیگر را نیز هدف قرار داده است (به عنوان مثال تلفن همراه به طور موقت در دسترس نیست، گوشی تلفن گم شده است، تلفن از بیومتریک پشتیبانی نمی‌کند، کاربر قبلا یک حساب کاربری با رمز عبور دارد و غیره).

چگونه سازمان‌ها احراز عدم نیاز به رمز عبور را به فرآیندهای احراز هویت خود اضافه می‌کنند؟

مزیت بزرگ OwnID سهولت اجرا است. OwnID یک افزونه برای سیستم موجود یک سایت است. سایت‌هایی که می‌خواهند OwnID را اضافه کنند، می‌توانند فرم‌های ثبت نام و ورود خود را حفظ کنند و فقط دکمه OwnID را در کنار فیلد رمز عبور خود اضافه کنند، که به کاربران امکان می‌دهد با استفاده از بیومتریک موجود روی گوشی موبایل خود احراز هویت کنند. اگر کاربر در حال کار با کامپیوتر دسکتاپ یا هر دستگاه دیگری است، با کلیک بر روی این دکمه، یک کد QR نمایش داده می‌شود. کاربر آن را با گوشی خود اسکن می‌کند تا FaceID یا اثر انگشت گوشی او را فرا بخواند و در کامپیوتر دسکتاپ وارد سیستم شود.

فناوری OwnID چه تأثیر فناورانه‌ای دارد؟

زمانی که بتوان با بیومتریک گوشی این کار را انجام داد، کاربران بیشتری در یک سامانه یا وبسایت ثبت نام می‌کنند و وارد سیستم می‌شوند. زیرا برایشان راحت تر است. این فرآیند نووآورانه اکنون در Nestle و Delonghi انجام می‌شود. این دو شرکت که از بزرگترین مشتریان OwnID می‌باشند، افزایش ثبت نام و ورود به سایت‌های خود را گزارش می‌دهند و پیوسته در حال پیاده‌سازی OwnID در سامانه‌های دیگر خود در سراسر جهان هستند.

اصول کلیدی برای محافظت از داده‌های کاربران

اصل کلیدی این است: داده‌ها را در یک مکان نگهداری نکنید، بلکه آن را توزیع کنید. بنابراین، OwnID هیچ اطلاعات کاربری را در پایگاه داده خود ذخیره نمی‌کند و حتی پایگاه داده کاربران ندارد. فناوری مذکور کلیدهای احراز هویت کاربر را روی تلفن کاربر نگه می‌دارد. یک کلید عمومی برای هر کاربر در پایگاه داده وب‌سایتِ OwnID قرار می‌گیرد و امضایی را که توسط تلفن کاربر ایجاد می‌شود با کلید عمومی مطابقت داده می‌شود. برای هر وب‌سایت، کاربر کلیدهای مختلفی دارد. OwnID تصمیم دارد راه حل خود را به عنوان یک افزونه و نه یک راه حل جایگزین ارائه دهد.

مدیریت رمز عبور یا گذرواژه

مدیریت رمز عبور یا گذرواژه

توسط با بدون دیدگاه مفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)

هکرها به منظور کسب پاداش مالی، آسیب رساندن به شهرت، سرقت مالکیت معنوی یا سایر اقدامات غیرقانونی، رمزهای عبور شرکتی و شخصی را جمع آوری می‌کنند و می‌فروشند. به گفته محققان امنیت سایبری، 80 درصد از هک‌ها شامل سرقت یا استفاده مجدد از گذرواژه‌های کارکنان است. هکرها از ضعف در مدیریت رمز عبور توسط کاربران سوء استفاده می‌کنند.

این امر به دلیل عدم آموزش کارکنان و سهل انگاری شرکت است. در سازمان خود، از یک رویکرد هماهنگ و گسترده سازمانی در مورد امنیت رمز عبور (گذرواژه یا پسورد Password) و محافظت از رمز عبور استفاده کنید. در اینجا می‌توانید چند نمونه از بهترین روش‌های مدیریت رمز عبور را با همکاران، مشتریان و اطرافیان خود به اشتراک بگذارید.

بهترین شیوه‌های تعیین گذرواژه برای هر شخص

این لیست با اصول اولیه رمز عبور که اکثر مردم با آن آشنا هستند شروع می‌شود و به تدریج به بهترین روش‌های امنیتی پیچیده تر تبدیل می‌شود.

  1. کلمه عبور باید 8 تا 12 کاراکتر باشد. منظور از کاراکتر همان اجزایی است که شما در رمزعبور خود تایپ می‌کنید. هر کاراکتر می‌تواند یک حرف یا یک عدد یا یک علامت مجاز باشد (به طور مثال: $ یا # یا . یا @ یا هر علامتی که آن وب‌سایت یا نرم‌افزار یا اپلیکیشن قبول کند).
  2. از ترکیبی از حروف، اعداد و نمادها استفاده کنید. از حروف بزرگ و کوچک (در زبان‌های قابل اجرا مانند زبان انگلیسی) نیز استفاده نمائید.
  3. از استفاده مجدد از رمز عبور یکسان در چندین حساب کاربری خودداری کنید.
  4. پس از 90 روز، رمزهای عبور را تغییر دهید.
  5. اگر حرفه‌ای تر هستید: استفاده از یک نرم‌افزار مدیر گذرواژه (Password Manager) را در نظر بگیرید. مدیر گذرواژه نرم‌افزاری است که به عنوان کتابچه دیجیتال رمزهای عبور عمل می‌کند و توسط یک کلید اصلی (رمز عبور مادر) قفل می‌شود. اگر استفاده از یک مدیر گذرواژه مبتنی بر فضای ابری برای شما آسان یا مقدور نیست، استفاده از برنامه ذخیره‌سازی رمز عبور محلی در رایانه‌تان (مانند Roboform یا PasswordSafe) را در اولویت قرار دهید.
  6. هر چه رمز عبور طولانی تر باشد، رمز عبور قوی تر است.
  7. از استفاده از کلمات واقعی در رمزهای عبور خودداری کنید، زیرا هکرها می‌توانند حملات فرهنگ لغت را اجرا کنند، که به طور سیستماتیک هر کلمه در فرهنگ لغت را به صفحه ورود حساب کاربری ارسال می‌کند.
  8. پاسخ‌های خود را به سوالات امنیتیِ رمز عبور پیچیده کنید. از استفاده از نام همسر، فرزندان، بستگان یا حیوانات خانگی خود اجتناب کنید، زیرا این پاسخ‌ها اغلب در پروفایل رسانه‌ها و شبکه‌های اجتماعی شما یا هر جای دیگر ممکن است به سادگی پیدا شود.
  9. بررسی کنید که آیا رمزهای عبور شما قبلا به سرقت رفته است یا خیر. می‌توانید از مانیتور مرورگر فایرفاکس و ابزار بررسی رمز عبور گوگل برای تعیین اینکه کدام یک از آدرس‌های ایمیل و گذرواژه‌های شما در نقض داده‌ها به خطر افتاده است، استفاده کنید. Have I Been Pwned یکی دیگر از گزینه‌های خوب برای بررسی رمز عبور است.
  10. گوشی خود را با رمز عبور قوی، اثر انگشت یا نرم‌افزار تشخیص چهره ایمن کنید.

بهترین روش‌های ایمن کردن رمز عبور برای تیم‌های فناوری اطلاعات

متخصصان امنیت شبکه یا مدیران بخش فناوری اطلاعات در هر سازمان می‌بایست با تدوین و پیاده‌سازی صحیح دستورالعمل‌های مرتبط با مدیریت رمز عبور، کارمندان و در نتیجه، سازمان را در حاشیه امن سایبری قرار دهند.

  1. استفاده از روشهای احراز هویت یا ورود بدون گذرواژه در صورت امکان.
  2. تلاش‌های نادرست برای ورود به سیستم را به 5 یا کمتر محدود کنید.
  3. به گذرواژه‌ها اجازه دهید 64 کاراکتر یا طولانی‌تر باشند، نه اینکه طول آن را به 10 کاراکتر محدود کنید.
  4. رمزگذاری رمز عبور را اعمال کنید. رمزگذاری رمز عبور محافظت بیشتری را ارائه می‌دهد.
  5. احراز هویت چند عاملی را پیاده‌سازی کنید. احراز هویت چند مرحله‌ای یا دو مرحله‌ای (2FA) از دسترسی هکرها به پورتال یا شبکه شما پس از شکستن رمزهای عبور ساده جلوگیری می‌کند.
  6. نرم‌افزار مدیریت دسترسی ممتاز را برای کارمندانی که به داده‌های حساس دسترسی دارند، مستقر کنید.
  7. اطمینان حاصل کنید که سازمان شما از راه حل‌های به روزِ ضد بدافزار و مدیریت آسیب پذیری استفاده می‌کند.
  8. پس از اتمام دوره همکاری یک کارمند با شرکت، تغییر رمزهای عبور حساب شرکتی را انجام دهید.
  9. از دسترسی به حساب‌ها تحت عناوینی مانند «root» یا «administrator» خودداری کنید. برای اجرای دستورات مدیریت، از لاگینِ خود و تغییر کاربری (SUDO) یا «run as» استفاده کنید. غیرفعال کردن ورود به شکل root را نیز مد نظر قرار دهید.
  10. ممیزی رمز عبور را ایجاد کنید. انطباق کارمندان با خط مشی امنیتی رمز عبور سازمان را پیوسته بررسی کنید. ممیزی، اصلاحات رمز عبور را به منظور اطمینان از انطباق، نظارت خواهد کرد. همچنین نقاط دسترسی ضعیف را برجسته و اصلاح می‌کند.
  11. ارسال یادآوری‌های دوره‌ای در قالب خبرنامه یا پیام سازمانی در خصوص بهترین شیوه‌های مدیریت گذرواژه به کارکنان. کارمندان معمولاً نیت خوبی دارند، اما ممکن است فراموش کنند پَسوُردها را به‌روزرسانی کنند یا از سیاست‌ها یا رویه‌های سازمان در خصوص رمز عبور پیروی کنند. اعلان‌های ایمیلی را برای کارمندان ارسال کنید تا خط‌مشی‌ها، بهترین شیوه‌ها و نیاز به تغییر رمزهای عبور را قبل از انقضا به آنها یادآوری کند.

به طور خلاصه، خطرات زیاد است و خطرات امنیتی واقعیت دارند. اگر مدیریت رمز عبور را در نظر نداشته باشید، با یک رمز عبورِ در معرضِ خطر، یک هکر می‌تواند فوراً بهره وری کسب‌وکار شما را متوقف کند، سود را کاهش دهد، قیمت سهام شما را کاهش دهد و آسیب‌های واقعی را به همراه داشته باشد.

استفاده از بهترین روش‌های امنیتی رمز عبور یا روش‌های احراز هویت بدون پسورد به اندازه قفل کردن درها در شب، یک انتخاب است. افراد، فرآیندها، فناوری‌ها، شرکا، مشتریان و IP خود را با اطمینان از اینکه همه بهترین شیوه‌های امنیت رمز عبور را به کار می‌گیرند، ایمن نگه دارید.

عملیاتی کردن تغییرات رفتاری می‌تواند برای کارکنان و تیم‌های فناوری اطلاعات به یک اندازه دشوار باشد. اما فواید آن ارزشش را دارند و آینده‌ای روشن را به تصویر می‌کشند.

فیشینگ چیست؟

فیشینگ یا Phishing چیست؟

توسط با بدون دیدگاه مفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)

فیشینگ یا به عبارت خیلی ساده: جعل هویت به قصد کلاهبرداری، موضوعی نادر نیست. برخی از تحلیلگران ادعا می‌کنند که روزانه حدود 15 میلیارد ایمیل هرزنامه یا تقلبی ارسال می‌شود. به این معنی که تقریباً 1٪ از تمام ایمیل‌ها به عنوان حملات فیشینگ طبقه‌بندی می‌شوند. در حالی که این عدد بسیار بزرگ است اما ایمیل تنها راهی نیست که مهاجمان سایبری از آن طریق، کلاهبرداری‌های فیشینگ را راه‌اندازی می‌کنند. مهاجمان از فیشینگ پیامکی (SMS phishing یا Smishing)، فیشینگ صوتی تماس تلفنی (Voice phishing یا Vishing) و سایر استراتژی‌های حمله مانند کلون فیشینگ (Clone phishing) و ربودن صفحه (Page Hijacking) نیز استفاده می‌کنند.

معنی فیشینگ به زبان ساده، جعل هویت اشخاص یا شرکت‌ها از طریق ایمیل‌‌های جعلی یا هرزنامه، تماس تلفنی جعلی یا روش‌های دیگر به قصد کلاهبرداری از اطرافیان یا مشتریان اشخاص یا شرکت‌ها است. صرف نظر از نحوه انجام یک حمله فیشینگ، واضح است که با حجم عظیمی از کلاهبرداری روبرو هستیم. فرض غالب این است که تلاش‌های فیشینگ، ناشیانه هستند، و ما اغلب آن را دیده‌ایم: ایمیل‌های کلاهبرداری عجیب و غریب در پوشه‌های هرزنامه ما، یا تماس‌های تلفنی نامرتب از طرف شخصی که به خوبی جعل هویت یک بانک یا کسب‌وکار را نشان می‌دهد. اما این تصور که شناسایی تلاش‌های فیشینگ آسان است، می‌تواند منجر به احساس امنیت کاذب در مورد خطر فیشینگ شود ، زیرا اغلب تکنیک‌های فیشینگ پیچیده‌تر و تشخیص آن‌ها سخت‌تر است .

برای محافظت از خود، فیشینگ را بشناسید

هر شخص یا کسب‌وکار، بزرگ یا کوچک، باید آگاهی از شاخص‌های رایج فیشینگ را به بخش مرکزی استراتژی پیشگیری از فیشینگ خود تبدیل کند. این استراتژی، همراه با نرم‌افزار قویِ ضد فیشینگ برای کسب‌وکار، ستون‌های مهمی از برنامه امنیت سایبری سازمان شما را فراهم می‌کند. اما آن شاخص‌های رایج کدامند؟ برخی واضح هستند، برخی دیگر بسیار ظریف تر.

در ادامه، رایج‌ترین نشانه‌های حمله فیشینگ را مورد بحث قرار می‌دهیم.

به یک لحن یا نحو ناآشنا، اشتباهات در املا و دستور زبان توجه کنید

مسلماً رایج‌ترین نشانه‌های ارتباطات فیشینگ در نحوه ارائه آنها ظاهر می‌شود. واضح تر از همه، اشتباهات املایی و استفاده عجیب از دستور زبان است. همه ما ممکن است در نگارش یک ایمیل، اشتباه تایپی داشته باشیم. اما یک ایمیل پر از غلط املایی باید ما را برای احتیاط و تحقیقات بیشتر آماده کند. نحوه انتقال پیام نیز بسیار مهم است. اغلب، کلاهبرداران سعی می‌کنند با حروف بزرگ، اضافه کردن علامت تعجب و استفاده از زبان دستوری، احساس فوریت را در ایمیل‌های فیشینگ جعلی ایجاد کنند. اکثریت قریب به اتفاق ارتباطات تجاری سالم و اصیل، حتی آن‌هایی که درخواست پرداخت می‌کنند، از زبان مثبت و تجاری استفاده می‌کنند، بنابراین زمانی که لحن، تهدیدآمیز، اجباری یا بیش از حد فوری می‌شود، زنگ خطر باید به صدا درآید.

ظاهر پیام را بررسی کنید

علاوه بر نشانه‌های کتبی، نشانه‌های ایمیل فیشینگ نیز ممکن است در نحوه ارائه ارتباط مشهود باشد. همانطور که گفته شد، کلاهبرداران اغلب به عنوان شخصی واقعی ظاهر می‌شوند، و تمام تلاش خود را برای جعل هویت یک بانک یا کارمند شرکت، ایجاد وب‌سایت‌های جعلی و تقلید از لوگوها و طراحی کلی وبسایت، انجام می‌دهند. در حالی که این مجرمان سایبری در تقلید از پیامهای سازمان‌ها مهارت بیشتری پیدا می‌کنند، هنوز هم ممکن است چیزی غیر عادی در ظاهر ایمیل از نظر سبک، رنگ، لوگو و غیره وجود داشته باشد. این تفاوت ممکن است ظریف باشد، اما اگر بین آنچه دریافت می‌کنید و آنچه در گذشته دریافت کرده‌اید از نظر فونت، طرح رنگ یا لوگو اختلاف وجود داشته باشد، این ناهماهنگی می‌تواند نشان‌دهنده یک حمله سایبری فیشینگ احتمالی باشد.

شرکت‌ها و سازمان‌ها و وب‌سایت‌ها موظف هستند قبل از ایجاد هرگونه تغییر در آدرس وبسایت یا شبکه‌های اجتماعی، ایمیل خبرنامه، شماره تلفن، لوگو و هرآنچه مرتبط با نحوه ارتباط امن و مؤثر کاربران و مشتریانشان با آنها است، موارد را از کانالهای رسمی و فعال جاری، اطلاع رسانی نمایند. مهدی بیک محمد لو

مراقب لینک‌های جعلی، نام‌های دامنه، آدرس‌ها و پیوست‌ها باشید

«قبل از کلیک کردن، نشانگر ماوس را روی لینک بیاورید (هاور کنید)» و «قبل از کلیک کردن فکر کنید» دو مورد از اصول اساسی استراتژی‌های پیشگیری از فیشینگ هستند. به عبارت ساده‌تر، قبل از کلیک بر روی لینک‌های جعلی احتمالی در یک ایمیل یا پیام، یک لحظه فکر کنید. تکنیک هاوِر (Hover) به این معنی است که از مکان نمای ماوس خود برای مکث کردن روی پیوند برای مشاهده آدرس یا URL کامل قبل از کلیک کردن استفاده کنید. انجام این کار هرگونه تفاوت بین آدرس واقعیِ پیوند و فرستندۀ ادعاییِ ایمیل را آشکار می‌کند. در آدرس وب‌سایت‌ها، باید به دنبال HTTPS باشید که بیانگر وجود یک گواهی امنیتی SSL است. شرکت‌های قانونی به احتمال زیاد نام‌های دامنه و آدرس‌های ایمیل «تمیز» خواهند داشت، مانند:

no_reply@email.apple.com

بنابراین زمانی که احساس می‌کنید آدرس، کاملاً متناسب با فرستنده نیست، احتیاط کنید.

با این حال، باید توجه داشته باشید که تکنیک‌های پیچیده فیشینگ می‌توانند افراد را با لینک‌ها و آدرس‌هایی که به نظر مشروع به نظر می‌رسند فریب دهند. به عنوان مثال، در نظر بگیرید که حرف کوچکِ اِل (L) که اینگونه نوشته می‌شود: «l» و حرفِ بزرگِ آی: «I» می‌توانند در صفحه کامپیوتر بسیار شبیه به هم به نظر برسند.

آیا می‌توانید تفاوت بین AppIe و Apple را تشخیص دهید؟

اولی با استفاده از حروف بزرگِ آی «i» اشتباه نوشته شده است. در صورت شک کردن، به وب‌سایت واقعی بروید (روی پیوند ارائه شده کلیک نکنید) و نگرانی‌های خود را بررسی کنید. و در مورد دانلود پیوست‌ها یا ضمیمه‌ها چطور؟ پاسخ ساده است: هرگز نباید پیوستی را دانلود کنید که مشکوک به نظر می‌رسد یا از فرستنده ناشناس رسیده است.

در مورد ارتباطات ناخواسته و احتمالاً شرکت‌های جعلی کوشا باشید

در سال 2019، مردی به دلیل کلاهبرداری بیش از 100 میلیون دلار از گوگل و فیس بوک با استفاده از یکی از پیچیده ترین طرح‌های فیشینگ که تاکنون ثبت شده است، محکوم شد. در اصل، کلاهبردار یک شرکت جعلی با آدرس‌های ایمیل و فاکتورهای جعلی راه‌اندازی کرد. در واقع، ما می‌توانیم به نمونه‌های دیگری از کلاهبرداری فیشینگ اشاره کنیم که در آن کلاهبرداران با جعل هویت مدیران شرکت مورد نظر، خود را به عنوان کارمندان عالی رتبه معرفی می‌کنند.

برای درخواست‌های غیرمعمول، درخواست‌های پرداخت یا اطلاعات شخصی، کمی مکث کنید

فراتر از اینکه یک درخواست چگونه ارائه می‌شود، حاوی چه چیزی است و چه کسی آن را ارسال می‌کند، گیرندگان باید همیشه این سوال را از خود بپرسند که از آنها خواسته می‌شود چه کاری انجام دهند. نکته کلیدی این است که شک داشته باشید، به ویژه زمانی که شما – به عنوان گیرنده درخواست یا پیام – ارتباط را آغاز نکرده‌اید و به خصوص وقتی در مورد شرکتی که از آن با شما تماس گرفته یا به شما پیام داده شده است، تا به حال چیزی نشنیده‌اید. بعید است که هیچ مدیر اجرایی، مدیر یا مدیر عاملی ناراحت شود اگر یک کارمند سخت کوش بررسی کند که چه کسی ارسال‌کننده واقعی ایمیل است، به ویژه اگر آن ایمیل یا پیام یا تماس خواستار پرداخت یا داده‌های مربوط به شرکت یا اطلاعات شخصی باشد. چه در شرح وضایف جایگاه شغلی شما باشد چه نباشد، ترویج فرهنگ پیشگیری از فیشینگ در کسب‌وکار شما اقدامی هوشمندانه است.

تقاضا برای اطلاعات حساس، از جمله پین ​​کدها و رمزهای عبور، همیشه باید یک پرچم قرمز و یک هشدار در ذهن شما ایجاد کند. به طور مشابه، اگر فرستنده، اطلاعات شخصی مانند تاریخ تولد، آدرس و حتی چیزهای ساده‌ای مانند نام را بخواهد، تحقیقات بیشتر را ایجاب می‌کند. به یاد داشته باشید، فیشینگ نوعی مهندسی اجتماعی است و کلاهبرداران می‌توانند با صبر و حوصله پروفایلی به ظاهر مشروع از کارمندان ایجاد کنند و از اطلاعات به‌دست‌آمده برای فریب دادن افراد، استفاده کنند. در واقع، گفته می‌شود که حدود 96 درصد از حملات فیشینگ برای جمع آوری اطلاعات ایجاد شده‌اند!

برای محافظت از خود، علائم رایج فیشینگ را بدانید

نتیجه این است که در حالی که تلاش‌های فیشینگ گاهی اوقات ممکن است ناشیانه به نظر برسند (ایمیل‌های عجیب و غریب مملو از اشتباهات یا ارتباطات کسب‌وکارهایی که هرگز درباره آن‌ها نشنیده‌اید)، اما مجرمان سایبری امروزی دقیق‌تر هستند و تلاش‌هایشان اغلب هوشمندانه‌تر از آنچه ما انتظار داریم. کلاهبرداران می‌توانند به ویژه در القای حس فوریت (حتی وحشت) از طریق استفاده از زبان و تظاهر به بزرگانِ شرکت که خواستار اقدام سریع و فوری هستند، مهارت داشته باشند. علیرغم پیچیدگی جدید آنها، اقداماتی وجود دارد که همه می‌توانند برای محافظت از خود در برابر تلاش‌های فیشینگ انجام دهند.

بررسی دقیق خطاهای ناشیانه و نشانه‌های آشکار ایمیل‌های غیر معتبر باید اولین قدم واضح باشد. صرف دقایقی برای تأیید صحت فرستنده (بررسی آدرس لینک یا URL)، درخواست اطلاعات بیشتر، تماس با شرکت در صورت لزوم، یک لایه حفاظتی اضافی در برابر کلاهبرداری‌های فیشینگ ایجاد می‌کند. تعهد عمیق تر برای شناسایی و توقف فیشینگ، در گِرویِ آموزش خود و تیمتان است. البته، برای بهترین محافظت در برابر طیف وسیعی از کلاهبرداری‌ها، برای جلوگیری از حملات سایبری و همچنین طعمه فیشینگ، آموزش مداوم باید در کنار استفاده از نرم‌افزار یا سخت‌افزار امنیتی برای سازمان شما پیاده‌سازی شود. اما در هر حال، از تحویل داده‌های حیاتی و درخواست‌های پرداخت خودداری کنید، به‌ویژه اگر از ارتباطات ناخواسته ناشی می‌شوند.

افزونه‌های ناشناس و جعلی در مرورگر ها

افزونه‌های ناشناس و جعلی در مرورگرها

توسط با بدون دیدگاه مفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)

در مبحث امنیت سایبری، توجه به این نکته مهم است که اگر برنامه‌های افزودنی مرورگر (Add-Ons, Extensions, Plugins) به درستی بررسی نشوند، می‌توانند خطرات امنیتی قابل توجهی را به همراه داشته باشند. این به این دلیل است که برنامه‌های افزودنی به داده‌های حساس مانند سابقه یا تاریخچه مرور وب (وبسایت‌هایی که بازدید کرده‌اید)، اطلاعات محرمانه ورود به سایت‌ها و اطلاعات شخصی دسترسی دارند. از افزونه‌های مخرب می‌توان برای سرقت این داده‌ها یا تزریق کد مخرب به وب‌سایت‌ها استفاده کرد.

بسیاری از افزونه‌های استخراج ارز دیجیتال سعی می‌کنند کاربران را مجبور به دانلود یا بارگیری ماینر یا نرم‌افزارهای استخراج ارز دیجیتال کنند. این ماینرها در پس زمینه موبایل یا کامپیوترِ قربانی کار می‌کنند و استفاده از CPU آنها را بالا می‌برند. یک حمله موفق می‌تواند منجر به افت شدید عملکرد دستگاه قربانی شود.

علاوه بر این، بسیاری از پلاگین‌ها (اَدآن، یا افزونه ها)، کدگذاری ضعیفی دارند و دارای آسیب پذیری‌هایی هستند که می‌توانند توسط مهاجمان مورد سوء استفاده قرار گیرند. این می‌تواند منجر به انواع مسائل امنیتی، از جمله اجرای کد از راه دور، کی لاگینگ، استخراج داده‌ها و دسترسی غیرمجاز به حساب‌های کاربری شود. برای به حداقل رساندن خطر نقض امنیتی، توصیه می‌شود که کاربران فقط افزونه‌ها را از منابع معتبر دانلود کنند و مجوزهای درخواستی هر افزونه را به دقت بررسی کنند.

همچنین کاربران باید به طور مرتب لیست افزونه‌های نصب شده خود را بررسی کنند و هر کدام را که دیگر مورد نیاز نیستند یا مدت طولانی به روز نشده‌اند را حذف کنند. علاوه بر این، کسب‌وکارها باید خط‌مشی‌ها و رویه‌های روشنی برای استفاده از برنامه‌های افزودنی مرورگر داشته باشند، از جمله دستورالعمل‌هایی که نشان دهند کدام افزونه‌ها مجاز هستند و چگونه باید بررسی شوند. این کار می‌تواند تضمین کند که تمام برنامه‌های افزودنی مورد استفاده توسط کارکنان، ایمن هستند و حداقل خطر را برای سازمان به همراه دارند. در غیر اینصورت ممکن است بر اساس خبری که در ارزاخبار منتشر شده، مشکلاتی که برای برخی از حساب‌های تجاری فیسبوک پیش آمد، برای آنها نیز اتفاق بیفتد.

افزونه جعلی مرورگر ChatGPT حساب‌های تجاری فیسبوک را ربود

تهدید رایانه‌های کوانتومی برای بلاکچین

تهدید رایانه‌های کوانتومی برای بلاکچین

توسط با بدون دیدگاه مفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)

بسیاری از بدبینان نگرانی‌هایی را در مورد محاسبات کوانتومی که امنیت شبکه بیت‌کوین را متزلزل می‌کند، مطرح می‌کنند، زیرا محاسبات کوانتومی می‌تواند الگوریتم‌های رمزگذاری شبکه را شکسته و کلیدهای خصوصی کاربران را آشکار کند.

نگرانی دیگر این است که محاسبات کوانتومی می‌تواند به «اَبَر ماینرها» اجازه دهد که بیت‌کوین را با سرعت بسیار بالایی استخراج کنند، بنابراین استخراج را متمرکز کرده و به آنها اجازه می‌دهد تا کنترل زنجیره بلوکی را در دست بگیرند و در بدترین سناریو، یک حمله 51درصدی به منظور دو بار خرج کردن را رقم بزنند.

در حالی که این موقعیت‌ها ممکن است دلهره آور به نظر برسند، اما محاسبات کوانتومی در آینده‌ای بسیار دور میسر هستند. ضمناً گفته می‌شود که کامپیوترهای کوانتومی برای محاسبات اورگانیک کاربرد دارد و برای محاسبات ریاضی (مشابه محاسبات بیتکوین) بهینه‌سازی نشده‌اند.

مقایسه رایانش کوانتومی و رایانش سنتی
مقایسه رایانش کوانتومی و رایانش سنتی

در هر صورت، شبکه بیت‌کوین زمان زیادی برای «ارتقا و به روز رسانی» دارد تا برای چنین شرایط وخیمی آماده شود تا بتواند در برابر هر نوع حمله‌ای که در راه است از خود محافظت کند. احتمالاً برای انجام این کار، بیت‌کوین به پروتکلی که ویژگی‌های امن کوانتومی را در خود جای می‌دهد، «هارد فورک» کند.

محافظت از بیت‌کوین و رمزارزهای خود

 

مشکل دو بار خرج کردن یا Double Spending

مشکل دو بار خرج کردن یا Double Spending

توسط با بدون دیدگاه مفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)مفاهیم و مبانی بلاکچین و رمزارزها

اگر یک بلاکچین، قوی نباشد، مستعد حمله 51 درصدی است، جایی که اگر ماینرها بتوانند بیش از 50 درصد از قدرت پردازش در شبکه را در اختیار بگیرند، می‌توانند به طور مؤثری رمزارز خود را طوری در اختیار بگیرند که بتوانند آن را «دو بار خرج کنند» (Double Spending). مشابه اسکناس‌های تقلبی، هکرها می‌توانند از «کپی‌های جعلیِ» یک ارز دیجیتال استفاده کنند، بنابراین عرضه را افزایش داده و ارزش پول را کاهش می‌دهند.

به عبارت دیگر، هکرها نمی‌توانند بیت‌کوین را از دیگران «بدزدند» بلکه فقط می‌توانند بیت‌کوینِ خود را «دو بار خرج کنند»، درست همانطور که جعل‌کنندگان به‌جای سرقت از بانک، اسکناس‌های دلار جعلی می‌سازند.

اینجا نیز، انجام این کار احمقانه خواهد بود زیرا ارزش بیت‌کوین به سرعت کاهش می‌یابد چون شبکه تشخیص می‌دهد که بیت‌کوین دو برابر شده است و مردم اعتماد خود را به بیت‌کوین از دست می‌دهند.

محافظت از بیت‌کوین و رمزارزهای خود

 

حمله 51 درصدی به بلاکچین بیتکوین

حمله 51 درصدی به بلاکچین بیتکوین

توسط با بدون دیدگاه مفاهیم و مبانی امنیت سایبری (امنیت دیجیتال)مفاهیم و مبانی بلاکچین و رمزارزها

دلیل اینکه شبکه بیت‌کوین به شدت غیرمتمرکز است، تعداد شرکت‌کنندگان در آن است. با هر ماینر و گرۀ اضافی که آنلاین می‌شود، امنیت کلی شبکه تقویت می‌شود و تلاش برای تصاحب شبکه برای برخی نهادها یا گروه‌های مخرب به طور فزاینده‌ای دشوارتر می‌شود.

اما اگر یک شبکه بلاکچین، قوی نباشد، مستعد حمله 51 درصدی است، جایی که اگر ماینرها بتوانند بیش از 50 درصد از قدرت پردازش در شبکه را در اختیار بگیرند، می‌توانند به طور مؤثری رمزارز خود را در اختیار گرفته و «دو بار خرج کنند» (Double Spending). مشابه اسکناس‌های تقلبی، هکرها می‌توانند از «کپی‌های جعلیِ» یک ارز دیجیتال استفاده کنند، بنابراین عرضه را افزایش داده و ارزش پول را کاهش می‌دهند.

حمله 51 درصدی به پروتکل‌های اثبات کار مانند بیت‌کوین می‌تواند با موفقیت انجام شود زیرا شبکه همیشه طولانی‌ترین زنجیره با بالاترین قدرت استخراج را به عنوان زنجیره اصلی به‌طور پیش‌فرض انتخاب می‌کند.

حمله 51 درصدی به بلاکچین بیتکوین
حمله 51 درصدی به بلاکچین بیتکوین

اما در نهایت، این اتفاق در شبکه بیت‌کوین نمی‌افتد، زیرا الگوریتم اثبات کار بیت‌کوین به قدرت زیادی نیاز دارد تا یک حمله 51 درصدی رخ دهد (به اندازه انرژی مصرفی یک کشور کوچک همراه با بیش از 23 میلیارد دلار سخت‌افزار). برای یک هکر منطقی نیست که این مقدار پول را در تلاش برای به دست آوردن یک ارز پر ریسک خرج کند. برخی نگران هستند که در آینده با تجاری شدن کامپیوتر‌های کوانتومی ممکن است از قدرت پردازش آنها برای حمله 51 درصدی استفاده گردد. در هر صورت، شبکه بیت‌کوین زمان زیادی برای «ارتقا و به روز رسانی» دارد تا برای چنین شرایط وخیمی آماده شود تا بتواند در برابر هر نوع حمله‌ای که در راه است از خود محافظت کند. احتمالاً برای انجام این کار، بیت‌کوین به پروتکلی که ویژگی‌های امن کوانتومی را در خود جای می‌دهد، «هارد فورک» کند.

علاوه بر این، هکرها نمی‌توانند بیت‌کوین را از دیگران «بدزدند» بلکه فقط می‌توانند بیت‌کوینِ خود را «دو بار خرج کنند»، درست همانطور که جعل‌کنندگان به‌جای سرقت از بانک، اسکناس‌های دلار جعلی می‌سازند. اینجا نیز، انجام این کار احمقانه خواهد بود زیرا ارزش بیت‌کوین به سرعت کاهش می‌یابد چون شبکه تشخیص می‌دهد که بیت‌کوین دو برابر شده است و مردم اعتماد خود را به بیت‌کوین از دست می‌دهند.

محافظت از بیت‌کوین و رمزارزهای خود

 

تهدید رایانه‌های کوانتومی برای بلاکچین