هک به سبک «مهندسی اجتماعی»
۲۵ دی ۱۳۹۸
سارا رشادی‌زاده

من از آن دسته آدم‌هایی هستم که عکس‌های تعطیلاتم را در اینستاگرام به اشتراک می‌گذارم. علاوه بر این درباره خرید کالا‌های گران قیمت مانند مبلمان توییت می‌کنم، مثلا به تازگی توییتی در این زمینه و اینکه چقدر سبک زندگی عوض می‌شود، نوشتم.

چیزی که می‌خواهم بگویم این است که من فکر می‌کردم بیشتر پست‌های شبکه‌های اجتماعی با موضوعاتی مانند خیانت و برای جلب توجه است، اما در واقع این اطلاعات برای هکرها مانند معدن طلا هستند.

با استفاده از دو پست آنلاین من که یکی عکسی در اینستاگرام از هتلی در سواحل غربی امریکا بود و دیگری توییتی درباره قیمت مبلمان، یک هکر توانست به راحتی آدرس خانه و شماره تلفنم را به دست بیاورد.
چگونه؟ هتل و شرکت فروش مبلمان، هر دو اطلاعات شخصی من را داشتند و از طریق تلفن آن را به هکر دادند!
ورود ما به شبکه‌های اجتماعی و حساب‌های ایمیل می‌تواند دردسرساز باشد.

برای ورود به دنیای مجازی اغلب از ما یک رمز عبور، رمز عبور دوم (که به تلفن همراه ارسال می‌شود) یا پاسخ سوالات شخصی مانند نام دختر اولمان خواسته می‌شود.

اما هنوز نقطه‌ ضعف‌های اساسی و مهمی در زندگی روزمره ما وجود دارد که پنهان مانده است. درست است که نقص داده‌ها و هک‌ها توجه ما را به خود جلب می‌کند، اما یک هکر با کمک یک تلفن خوب و چند ابزار کاربردی دیگر می‌تواند به‌صورت تلفنی بخش پشتیبانی مشتریان شرکت‌های بزرگ را فریب دهد و اطلاعات خصوصی و مهمی را دریافت کند.

من به تازگی اجازه دادم یکی از این هکرها، اکانتم را هک کند.

باید به شما بگویم، هک کردن برای آنان به طرز نگران‌کننده‌ای آسان است. حتی اگر حساب کاربری شخصی مثل من باشد که در حوزه فناوری فعالیت دارم.

این برای همه ما یک درس است: مراقب باشید! درباره آنچه که در رسانه‌های اجتماعی به اشتراک می‌گذارید، فکر کنید و بدانید هکرها چگونه می‌توانند از این اطلاعات علیه شما استفاده کنند. دفعه بعد که با استفاده از تلفن با شرکت هواپیمایی، هتل یا بانک خود ارتباط برقرار کردید و آن‌ها برای اجازه دسترسی به حساب کاربری‌تان از شما سوالاتی را پرسیدند، در مورد این سؤالات فکر کنید. اگر برای تایید آدرس ایمیل شما، فقط تاریخ تولدتان را می‌پرسند و بلافاصله به اینکه خودتان هستید، اعتماد می‌کنند بهتر است از آنان بخواهید امنیت بیشتری را برای حساب‌های کاربری در نظر بگیرند. شاید آن‌ها بتوانند یک یادداشت روی حساب شما قرار دهند تا برای تایید رمز عبور خاصی درخواست شود یا حتی کد تایید برای شما ارسال کنند. متأسفانه بسیاری از شرکت‌ها چنین گزینه‌ای ندارند، اما به هر حال ارزش پرسیدن را دارد.

آنچه برای من اتفاق افتاد:

من در ماه اوت و درهمایش DEF CON لاس وگاس،( یکی از بزرگترین کنفرانس‌های هک جهان)، با راشل توباک ملاقات کردم.
توباک در میان حاضران DEF CON مشهور است. او به مدت سه سال پیاپی جزو برندگان مسابقه‌ای بود که در آن هکرها با کمک تلفن و در مقابل چشمان صدها تماشاگر لاس‌ وگاسی به یک شرکت حمله می‌کنند.

توباک و رقبای او در این مسابقه از شرکت‌های بزرگ دعوت می‌کنند تا امنیت اطلاعات خود را بسنجند. توباک رمزگذار نیست، اما از ۱۰ سالگی در این زمینه فعالیت می‌کند و با استفاده از مهارت‌های خود و کلک‌هایی مانند تغییر صدا، شخص پشت خط را متقاعد می‌کند تا اطلاعات خصوصی مشتریان را به او بدهد.

این نوع هک را مهندسی اجتماعی می‌نامند.

توباک یکی از هکرهای خوب است. (نوعی که معمولاً با عنوان «کلاه سفید» شناخته می‌شود. بدها «کلاه سیاه» نام دارند.)

او با شرکت‌ها همکاری می‌کند تا آنچه «آزمایش‌های نفوذ» نامیده می‌شود را اجرا کنند و به آن‌ها نشان دهد که در چه صورت و چگونه ممکن است در مقابل هک مهندسی اجتماعی آسیب‌پذیر باشند. از توباک خواستم که مرا هک کند.

بدون داشتن رمز من و بدون هک کردن حساب ایمیلم، او توانست آدرس منزل و شماره تلفن من را بدست آورد و امتیاز هتلم را بدزدد. در این میان شاید بی‌رحمانه‌ترین حرکتش این بود که شماره صندلیم در پرواز پنج ساعته از وگاس را تغییر داد و من را از صندلی کنار راهرو اصلی به یک صندلی وسط در پشت اتاق استراحت منتقل کرد.

او تمام این کارها را با استفاده از اطلاعاتی که درباره من در اینترنت پیدا کرده بود، انجام داد. مثلا اینکه من با کدام شرکت هواپیمایی پرواز می‌کنم و در کدام هتل‌‌ اقامت دارم. (چون من درباره این چیزها توییت می‌کنم.)

سپس با استفاده از این اطلاعات، به سراغ شرکت‌های مورد علاقه من رفت و از نرم افزاری استفاده کرد تا به نظر برسد که از تلفن من تماس برقرار شده است. همچنین از نرم‌افزار دیگری برای تغییر صدا استفاده کرد تا در صوت لزوم بتواند با صدایی مانند صدای یک مرد صحبت کند.

برای دریافت آدرس خانه من، او با شرکت مبلمانی که من درباره‌اش توییت کرده بودم، تماس گرفت. توباک ادعا کرد که همسر من است و می‌خواهد قبل از سفارش‌های دیگر، بررسی کند که آیا آدرس صحیح منزل در پرونده شرکت ثبت شده یا نه. برای این کار او عمداً آدرس اشتباه داد و شخص پشت خط با خواندن آدرس کامل منزلم، حرف‌های او را تصحیح کرد.

به همین سادگی!

او همچنین به راحتی توانست هتلی که در آن اقامت داشتم را از طریق اینستاگرام پیدا کند و آن‌ها را متقاعد کند تا شماره‌ تلفنم را به او بدهند.

توباک به دنبال شرمنده‌ کردن شرکت‌ها نیست. او می‌خواهد آن‌ها را با استفاده از تأیید چند مرحله‌ای تماس تلفنی آشنا کند. او می‌گوید برخی از بزرگترین شرکت‌های هواپیمایی و هتل‌ها با عدم انجام این کار، باعث گسترش آسیب پذیری و ایجاد مشکل برای مشتریانشان می‌شوند.

توباک پیشنهاد می‌کند به جای اینکه یک مسئول پشتیبانی تلفنی برای تایید هویت من، تاریخ تولدم را تأیید کند، یک کد را به شماره تلفن یا آدرس ایمیلی که در پرونده ثبت شده، ارسال کنند. سپس از مشتری بخواهند که کد را از طریق تلفن بخواند.

بیشتر وقت‌ها تماس‌های مشتریان با شرکت‌های هواپیمایی در شرایط اضطراری سفر است. اگر در این مواقع از کسی بخواهند چند ثانیه را برای باز کردن ایمیل و دریافت کد صرف کند، ممکن است در آینده مشتریان از پرواز با شرکت هواپیمایی منصرف کنند.

این معضل نهایی حمایت از مصرف کننده است. همه ما می‌خواهیم امنیت داشته باشیم، اما همزمان می‌خواهیم همه چیز آسان باشد.

توباک امیدوار است که بتواند شرکت‌ها و مصرف کنندگان را قانع کند که کار را کمی سخت‌تر ‌کنند، چرا که ارزشش را دارد.
در هر حال، من از توییت در مورد همه چیزهایی که می‌خرم دست برداشته‌ام اما هنوز هم درباره هتل‌هایی که می‌روم اطلاعات می‌دهم تا لایک بگیرم.

ترجمه آزاد: We asked a hacker to try and steal a CNN tech reporter's data. Here's what happened

تهران، خیابان ابوذر غفاری، کوچه چهاردهم، پلاک ۸، واحد ۲
۲۲۵۰۵۶۶۱ - ۲۲۳۲۴۴۷۲