تحول و تمرکز

با سلام

تصمیم گرفتم از جسته و گریختگی پرهیز کنم و به یک مقوله به صورت تخصصی نگاه کنم و آن را ادامه دهم.

تصمیم گرفتم به جای نقل قول از سایر دوستان ، نتایج مشاهدات و بررسی های خودم را به اشتراک بگذارم ولو این که کم باشد.


تلاش میکنم از این به بعد به صورت تخصصی فقط در رابطه با امنیت و ضد نفوذ مطلب بگذارم.


امید به خدا

آموزش هک و امنیت را در سایت محمد جواد بابائی دنبال کنید: www.MJB.ir

+ نوشته شده در یکشنبه سی ام مهر ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 

چگونه هکر شویم؟؟

خیلی از کسانی که قصد ورود به حرفه امنیت داده ها را دارند این طرز تفکر را دارند که برای هکر شدن و یادگیری هنرهای  هک یادگیری یک نرم افزار یا ابزار کافیست و یا فقط در یک یا دو ماه می توانند یک هکر ماهر باشند. من امروز در این مقاله به تمام شبه های شما پایان میدم و مسیر روشنی را برای شما رسم میکنم تا بتوانید در یادگیری امنیت اطلاعات به نتیجه روشنی برسید.

هک یک هنر مفید و در خدمت انسانیت است و هر اقدامی که در این مقوله نگنجد را نمیپذیریم

سوالی که هر هکری در شروع تخصص جدیداش از خود میپرسد:
برای هکر شدن به چه چیزی نیاز دارم و چطور هنر نفوز و هک را یاد بگیرم؟
با چه تکنیک هایی سریع تر هکر شوم(هک را اصولی و حرفه ای یاد بگیرم)؟

پس اول به این سوال پاسخ میدم:

برای هکر شدن به چه چیزی نیاز دارم و چطور هنر نفوز و هک را یاد بگیرم؟

۱)      زبان انگلیسی: یادگیری مفاهیم، تکنیک ها، اخبار و اکسپلویت های جدید بدون تسلط کامل بر زبان انگلیسی غیر ممکن است. در صورتی که شما به زبان انگلیسی مسلط نباشید از منابعی مثل چت روم های تخصصی هک، گروه های زیر زمینی و انجمن های قوی امنیت اطلاعات و پایگاه داده های اکسپلویت ها و نقات ضعف جدید کشف شده دسترسی نخواهید داشت و همیشه محکوم به استفاده از مقالات با ترجمه ضعیف یا ناقص، آموزش های قدیمی یا از رده خارج و امثال آن خواهید بود. پس تسلط بر زبان انگلیسی یک اختیار نیست، یک اجبار است.

در ضمن تسلط به یک زبان دوم میتواند شما را در موقعیت بهتری قرار دهد. بهترین زبان هایی که برای یک هکر میتواند کاربرد داشته باشد به این ترتیب است:

۱)روسی  ۲) چینی ۳) کره ای ۴)آلمانی ۵)فرانسوی ۶)ایتالیایی ۷)ترکی استانبولی ۸)هندی

۲)      بی نهایت صبر و حوصله: یادگیری مفاهیم امنیت داده به زمان زیادی نیاز دارد که این زمان با توجه به دانش قبلی و استعداد شما میتواند از چند ماه تا چند سال به طول انجامد. در صورتی که شما دارای تحصیلات دانشگاهی در ضمینه علوم کامپیوتر یا فناوری اطلاعات هستید اصولاً یک سال برای تسلط بر مفاهیم امنیت داده، مفاهیم شبکه، لینوکس و برنامه نویسی سیستمی و شبکه نیاز دارید و سپس میتوانید وارد مباحث عملی هک شوید.

۳)      دانش تخصصی: در صورتی که شما به مفاهیم پایه امنیت اطلاعات که در بالا به آن ها اشاره کردم تسلط ندارید هیچوقت یک هکر نخواهید شد. شاید شما بتوانید با استفاده از مقالات آموزش قدم به قدم رمز شبکه بیسیم را بدست آورید یا شبکه ای را با جاسوس افزارتان آلوده کنید اما هرگز یک هکر واقعی نخواهید بود.

۴)      کنجکاوی: کنجکاوی موتور محرکه تمام کسانی بوده که توانسته اند لقب هکر را یدک بکشند. همیشه پرتکل های جدید، تکنولوژی های نوین و ابزار های امن تر تولید خواهند شد و کنجکاوی و حس مبارزه طلبی تنها نیروییست که شما را به زورآزمایی با مشکلات جدید فرا میخواند و شما را بروز نگه میدارد.

۵)      خلاقیت: برای انجام هر کاری مشکلی وجود خواهد داشت و این خلاقیت است که به شما اجازه میدهد که شما راه حلی که دیگر در یک هفته به آن رسیده اند را در یک روز به دست آورید، از کار خود راضی باشد و از آن لذت برید. جایی که منطق بی پاسخ میماند خلاقیت تنها فرشته نجات است.

۶)      فداکاری: برای اینکه بتوانید پله های ترقی را طی کنید باید واقعآً از خود گذشتگی نشان دهید. یادگیری هک و اصول امنیتی زمانبر، طاقت فرسا و نیازمند زمانبندی و منابع دقیق است. شما باید حداقل چند روز از هفته را به  یادگیری، مطالعه و تمرین اختصاص دهید. وجود فاصله زمانی باعث کند شدن یادگیری و اتلاف وقت شما میشود و شما را دلسرد می کند. همینطور گاهی مجبور خواهید بود که مطالبی را چند بار مطالعه کنید و از مفاهیم آن آگاه شوید و هرچقر که سطح علمی شما بالا تر میرود با مطالب پیچیده تر روبرو خواهید شد و هیچ وقت آموزش به اتمام نخواهد رسید.

در صورتی که پیش نیازهایی که در این مقاله به آن اشاره میکنم را ندارید بدون اینکه از خود مایوس شوید از یاد گیری هک کنار بکشید و وقت با ارزش خود را تلف نکنید. نه هک یک سرگرمی جالب و سرگرم کننده است و نه هکر همان آدم جذابیست که در فیلم های هالیوود دیده اید.
با چه تکنیک هایی سریع تر هکر شوم(یادگیری بهینه هک)؟

۱)      هدف  خود را دقیق تعیین کنید. امنیت اطلاعات شاخه های زیادی دارد که هر کدام زیر مجموعه های متعددی دارند. تسلط به تمام این شاخه ها فوق العاده زمانبر است و نسبت به انرژی صرف شده چندان مقرون به صرفه نیست. اشتباهی که بسیاری از نو آموزان انجام میدهند مطالعه  مقالات متعدد در تمام این زمینه هاست. این یک اشتباه است که باعث اتلاف وقت میشود.

در عین حال شما میتوانید بعد از تسلط بر یک شاخه شروع به یادگیری شاخه های دیگر علوم امنیت داده کنید و حتی در صورتی که به گرایش اصلی شما نزدیک باشد میتواند دانش تجربی و فنی شما را در هر دو شاخه خیلی بالاتر ببرد.

۲)      منابع مناسب را پیدا کنید. سایت، انجمن ها، کتابهای صحیح را شناسایی کنید. در حین مطالعه ابزار های برتر برای هر شاخه را انتخاب کنید و با کار با آنها تجربه کسب کنید. در سایت هایی که دارای بخش های مخصوص برای آزمودن مهارت هک شما هستند عضو شوید و مهارت خود را در این آزمون ها بیازمایید.

۳)      بروز بمانید. همیشه اخبار سایت های امنیتی را تعقیب کنید. در خوراک آن ها عضو شوید و در انجمن های بزرگ نگاهی به پست ها بیندازید و مطالب داغ را از دست ندهید. همینطور در سایت هایی که ضعف های جدید امنیتی (vulnerabilities) را لیست میکنند نقاط ضعف جدید را بیابید و روند کشف و استفاده از این ضعف های امنیتی را مطالعه کنید.

۴)      دانش خود را ثبت کنید. هنر هک شامل مجموعه عظیمی از دنش تخصص، تکنیک ها، و فرایند های قدم به قدم(ساده) و پیچیده است. برای اینکه آموخته های خود را از دست ندهید آن ها را مرور کنید. نکات کوچک، نام برنامه ها، دستورات را در یک دفترچه جیبی بنویسید و آن را مرور کنید. نقشه ذهنی مباحثی را که مطالعه میکنید به صورت دیاگرام ها و فلوچارت بکشید و در دفترچه ثبت کنید. داشتن این دفتترچه کارایی شما در مراحل آموزش را شدیداً افزایش میدهد.

۵)      برنامه ریزی داشته باشید. قبل از شروع مطالعه هر مبحث برنامه دقیقی برای زمانبندی  و عمق مطالعه، کار عملی و کسب تجربه داشته باشید. به کار گیری هر مبحث یاد گرفته شده را بعد از یادگیری در برنامه خود بگنجانید.

۶)      تعادل خود را از دست ندهید. در طول یادگیری هک ممکن است تحت فشار شدید ذهنی و جسمی قرار گیرید، پس حداقل یک ساعت ورزش در روز را فراموش نکنید. هر روز بدون پخش کننده موسیقی و موبایل در پارک های ساکت یا کوه(طبیعت) پیاده روی کنید. این کار تمرکز شما را افزایش میدهد و یادگیری را ساده می کند.

۷)      ذهن خود را درگیر کار کنید. استفاده از دفترچه(بحث ۴) به صورت روزانه را فراموش نکنید. در صورتی که در حال حل مساله ای هستید در حین انجام کارهای روزانه به آن فکر کنید. حتی در حین فکر کردن به آن به خواب بروید. متعجب خواهید شد که چند بار با جواب مسئله از خواب بر خواهید خواست.

+ نوشته شده در سه شنبه بیست و هشتم شهریور ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 

بک ترک چیست؟

در صورتی که شما از علاقمندان مباحث امنیت دیجیتال و نفوذگری(هک) هستید حتماً نام بک ترک به گوشتان خورده. لینوکس بک ترک(BackTrack) یک سیستم عامل مبتنی بر لینوکس اوبونتو و مجهز به بهترین و به روزترین ابزارهای آنالیز امنیت و هک است. با توجه به سوالاتی که در مورد نسخه ها و انواع مختلف تنظیمات در هنگام دانلود از شما سوال میشود تصمیم گرفتم در این مورد توضیحات کوتاهی بدهم.

ادامه نوشته
+ نوشته شده در شنبه بیست و هشتم مرداد ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 

کارگاه آموزشی امنیت اطلاعات برای کارکنان دانشگاه آزاد واحد میمه

در تاریخ ۲۲/۰۴/۱۳۹۱ کارگاه آموزشی "امنیت اطلاعات" برای آشنایی کارکنان واحد با مسائل روز امنیتی و تهدید های سایبری توسط محمد جواد بابائی در سالن آمفی تاتر واحد برگزار شد.

برای دانلود فایل آموزشی اینجا راست  کلیک نموده و save target as  را انتخاب نمایید.

+ نوشته شده در پنجشنبه بیست و دوم تیر ۱۳۹۱ ساعت 19:56 توسط کاربر ارشد  | 

حتما با دقت بخوانید

آشنایی با کلاهبرداری های شایع در اینترنت

آیا تا به حال با واژه تقلب سایبری برخورد کرده اید؟ آیا با کلاهبرداری فیشینگ و اسکیمینگ آشنایی دارید؟ چگونه از آسیب های اقتصادی سایبری در امان باشیم؟ چه ارتباطی میان کلاهبرداری سایبری و سیاست وجود دارد؟ برای دستیابی به پاسخ این سؤالات با مطالب مندرج در این ایمیل همراه شوید ...

در کنار گسترش روز افزون کاربران اینترنت و همچنین تسهیل شدن امور عادی بشر بواسطه استفاده از اینترنت، همواره مجرمین با سوء استفاده از اعتماد عمومی مردم و با تطبیق خود با ویژگی های محیط و ابزار روز، در جهت اقدامات و اهداف مجرمانه حرکت می کنند.

در کنار سوء استفاده ها و جرایم سایبری در حوزه اجتماعی و سیاسی، جرایم سایبری در حوزه اقتصادی پیشرفت های قابلا توجهی به خود دیده است که بنابر آمار رسمی کشورهای غربی به خصوص آمریکا، جرایم سایبری در حوزه اقتصاد از رتبه بالایی برخوردار است. از سوی دیگر، با توجه به رشد این آمار، پنتاگون در کنار دفاع سایبری در حوزه سیاسی و نظامی، استراتژی مقابله با کلاهبرداری آنلاین را نیز از اولویت های خود اعلام می کند.

با توجه به اهمیت موضوع، هشدارهای نهادهای مسئول به خصوص پلیس فضای تولید و تبادل اطلاعات (پلیس فتا) درباره انواع جرایم سایبری، ما با معرفی چند نوع از جرایم سایبری و یا کلاهبرداری آنلاین درصدد اطلاع رسانی و بررسی مشکلات اجتماعی ناشی از این جرایم، در سطح جامعه هستیم.
- آشنایی با کلاهبرداری شایع در اینترنت به نام (Phishing)

فیشینگ روشی است که تبهکاران، اطلاعاتی نظیر کلمه کاربری، رمز عبور، شماره 16 رقمی عابر بانک، رمز دوم و CVV2 را از طریق ابزارهای الکترونیکی ارتباطات به سرقت می برند. شبکه های اجتماعی، سایت های حراجی و درگاه های پرداخت آنلاین نمونه ای از ابزار های الکترونیکی ارتباطات می باشند.


کلاهبرداری فیشینگ از طریق ایمیل ها و پیام ها صورت می پذیرد و قربانیان به صورت مستقیم اطلاعات حساس و محرمانه خود را در وب سایت های جعلی که در ظاهر کاملا شبیه وب سایت های سالم و قانونی می باشد وارد می نمایند. حقه ی فیشینگ یکی از تکنیک های مهندسی اجتماعی برای فریب کاربران می باشد که علی‌القاعده از ضعف امنیتی یک وب سایت برای انجام عملیات مجرمانه خود استفاده می کنند؛ برای اولین بار حقه ی فیشینگ در 1987 تعریف شد و اولین باری که واژه فیشینگ برای نام گذاری این واژه استفاده گردید، سال 1996 بود.

جالب است بدانید phishing نوع دیگر کلمه fishing (ماهیگیری) است همانند خیلی از کلمات که در علوم رایانه ای به شکل مخفف یا دگرگون شده ای از کلمات دیگر به کار می روند. برای مثال لغت phreak که از ترکیب phone freak به معنای استراق سمع تلفنی گرفته شده است. با این توضیحات شاید بتوان phishing را سرقت اطلاعات اینترنتی با یک سایت قلابی ترجمه کرد.

- کلاهبرداری فیشینگ چگونه انجام می شود؟

ممکن است سارق با یکی از اعضای سایتی که در آن خرید و فروش صورت می گیرد روبرو شود و پیام کوتاهی برای او مبنی بر وارد کردن رمز عبور بفرستد. برای اینکه قربانی احتمالی خوب به دام بیفتد آن پیام کوتاه ممکن است به صورت یک عبارت امری مانند این "اطلاعات صورتحساب را تأیید کنید" باشد. به محض اینکه قربانی رمز عبور خود را وارد کند شخص سارق می تواند به حساب طرف وارد شده و از آن برای انجام اهداف مجرمانه ی خود استفاده کند. البته این کار احتیاج به دانش برنامه نویسی دارد.

فیشینگ در سایت AOL.com به قدری به وفور اتفاق افتاد که مسوولین سایت مجبور شدند در سایت خود نواری با این توضیح که "هیچ یک از مسوولان در این سایت از شما درخواست رمز نخواهند کرد" قرار دهند.


در تصویر بالا می توانید یک ایمیل جعلی (phishing Email) را مشاهده کنید که کاربران سایت PayPal را مورد هدف قرار داده است؛ 3 مورد غلط املایی و آدرس IP ظاهر شده در زیر لینک درون کادر باریک مستطیلی نشانه هایی از قلابی بودن این صفحه هستند.

در اواخر سال 2006 یک کرم رایانه ای کنترل سایت MySpace را بدست آورد و تمام لینک های دانلود فایل ها را به سوی سایت هایی که برای دزدیدن اطلاعات حساب های اینترنتی درست کرده بود تغییر مسیر داد.

- مشکلاتی که فیشینگ بوجود می آورد:

کمترین ضرری که می توان در نظر گرفت، دسترسی به ایمیل است و بزرگترین آن، سرقت از حساب مالی اینترنتی شما می تواند باشد. این نوع سرقت اطلاعات به سرعت در حال افزایش است و علت عدم آموزش و آشنایی کاربران در فاش کردن اطلاعات شخصی در برابر یک سارق اینترنتی است.

این نگرانی نیز وجود دارد که سارق اطلاعات بدست آمده از افراد مختلف را تغییر دهد و با درست کردن حساب جعلی به اسم یکی از قربانیان از اعتبار او سوء استفاده نموده شهرت او را لکه دار کند. بنابر آمار وبسایت دیده بان کلاهبرداری بین الملل، روزانه 970 وبسایت تقلبی فیشینگ شناسایی شده و به طور متوسط عمر فیشینگ های شناسایی شده، 52 ساعت است.

- خسارت هایی که فیشینگ به بار می آورد:

خسارت هایی که فیشینگ به بار آورده است، مشکلات زیادی از قبیل عدم دست یابی به ایمیل، سوء استفاده از شخصیت افراد حقیقی و حتی حقوقی، جعل اسناد و استفاده از کارت های اعتباری افراد و مشکلات دیگری است که بنابر سوء استفاده فیشینگر برآورد می شود که در فاصله زمانی می 2004 تا می 2005 در کشور ایالات متحده 2/1 میلیون کاربر کامپیوتر در مجموع تقریباً 969 میلیون دلار به خاطر فیشینگ از دست داده اند. در ایالات متحده به دلیل این که مشتریان شرکت ها قربانی فیشینگ بوده اند، شرکت ها سالانه 2 بیلیون دلار زیان دیده اند. در سال 2007 و در 12 ماه منتهی به آگوست 2007حملات تشدید شده فیشینگ منجر به زیان 2/ 3بیلیون دلاری حدود 6/3 میلیون نفر از جوانان گردید. مایکروسافت ادعا می کند این برآوردها بیش از حد اغراق آمیز هستند و زیان سالانه ناشی از حملات فیشینگ در آمریکا را 60 میلیون دلار برآورد می کند. در پادشاهی متحده بریتانیا زیان ناشی از کلاهبرداری بانکداری اینترنتی (که اکثراً فیشینگ هستند) تقریباٌ دو برابر شده و از 2/12 میلیون پوند در سال 2004 به 2/23 میلیون پوند در سال 2005 رسیده است. این در حالی است که در سال 2005 از هر 20 کاربر کامپیوتر یکی ادعا می کند که به دلیل آن که مورد حمله فیشینگ قرار گرفته است، با زیان مواجه شده است.

- فیشینگ، تراژدی مردم عادی در عصر ارتباطات

"کرماک هرلی" محقق مایکروسافت در مقاله ای درباره مشکل فیشینگ می نویسد:


اگرچه فیشینگ به عنوان یک هنر و مهارت در عصر ارتباطات تلقی می شود، لکن این مسئله تراژدی مردم عادی در عصر ارتباطات شناخته می شود، با توجه به اقتصاد لیبرالی و بازار جهانی اقتصاد، مردم عادی از هر گوشه این دنیا مورد سوء استفاده قرار گرفته و ثروت اندوخته خود را به دلیل عدم نظارت های و آموزش کافی از دست می دهند.

- روش های مرسوم فیشینگ

کلاهبرداری آنلاین بواسطه روش فیشینگ، از طرق مختلفی قابل انجام است که با توجه به آمار 2010 سایت دیده بان کلاهبرداری بین الملل، به صورت زیر است:

1. دستکاری و تقلب در لینک ها و آدرس ها

یکی از شیوه های متداول و رایج در فیشینگ ارسال لینک ها و آدرس های متعلق به سازمان های غیر واقعی و جعلی از طریق ایمیل می باشد. آدرس هایی که تنها تفاوت آنها با آدرس اصلی یک یا دو حرف است یا از دامین های فرعی گمراه کننده برای ایجاد آنها استفاده گردیده است.

2. دور زدن فیلتر

فیشرها با استفاده کردن از عکس به جای متن، کار فیلترهای ضد فیشینگ را که برای شناسایی متن هایی که عموماً در ایمیل های حاوی آدرس های جعلی یافت می شوند، را سخت می کنند.

3. وب سایت جعلی

تنها با ورود و بازدید یک قربانی به سایت جعلی عمل کلاهبرداری صورت نمی پذیرد. در برخی از روش های فیشینگ از دستورات جاوا اسکریپت استفاده می شود تا نوار آدرس را اصلاح کند و تغییر دهد. این کار با قرار دادن تصویر یک آدرس اینترنتی قانونی و موجه در نوار آدرس یا بستن نوار آدرس اصلی و باز کردن یک نوار آدرس جدید که حاوی آدرس اینترنتی قانونی و موجه است، انجام می شود.

یک فیشر(مهاجم) حتی می تواند از نقایص موجود در برنامه جاوا اسکریپت یک سایت معتبر و قانونی علیه قربانیان خود استفاده نماید. این نوع حمله ها (که به کراس سایت اسکریپتینگ معروف هستند) به طور خاص سخت و پیچیده هستند، چون آنها قربانی را به صفحه اینترنتی ثبت نام خدمات بانکی خود ارجاع می دهند. صفحه ای که در آن همه چیز از آدرس سایت گرفته تا گواهی امنیتی، همه درست و صحیح به نظر می رسند. در حقیقت لینک دادن به صفحه اصلی حقه ای برای به ثمر رساندن سرقت و انجام دادن حمله است. با انجام این کار کشف این حمله برای افرادی که دانش لازم را ندارند، کار بسیار سختی است. در سال 2006 چنین حمله ای علیه سایت Pay Pal انجام شد.

تصویر درگاه اصلی بانک ملت



تصویر درگاه جعلی بانک ملت ساخته شده هکر


- فیشینگ از طریق تلفن

تمامی حملات فیشینگ نیاز به استفاده از یک وب سایت جعلی و ساختگی ندارند. این نوع حملات شامل پیام هایی هم می شوند که ادعا می کند از طرف بانک هستند و از مشتری ها (استفاده کنندگان خدمات بانکی) می خواهند با توجه به مشکلی که برای حساب های آنها به وجود آمده است، با یک شماره تماس بگیرند. به محض اینکه مشتری با این شماره تلفن (که متعلق به مهاجم است و یک سرویس تلفن اینترنتی است) تماس بگیرد، دستوراتی به مشتری داده می شود تا شماره حساب و رمز خود را وارد کند. فیشرهایی که از سرویس تلفن اینترنتی استفاده می کنند، گاهی اوقات از داده های جعلی برای آی دی کالر استفاده می‌نمایند تا برای مشتریان اینگونه به نظر برسد که این تماس از طرف یک سازمان مطمئن و معتبر انجام می شود.

- سایر روش ها

• نوع دیگری از حمله که موفقیت آمیز بودنش ثابت شده است، ارجاع دادن قربانی به وب سایت اصلی بانک است. سپس یک پنجره پاپ آپ در بالای صفحه سایت به نمایش در می آید و به شکلی که به نظر برسد این صفحه و این سایت متعلق به بانک است، اطلاعات حساس قربانی را درخواست می کنند.

• یکی از جدیدترین روش های فیشینگ تب نبینگ است. این برنامه از صفحاتی که کاربر باز کرده استفاده می کند و به طور آهسته کاربر را به سایت ساختگی ارجاع می دهد.

• دوقلوهای شر یا Evil twins روشی است که شناسایی و کشف آن کار بسیار سختی است. یک فیشر یک شبکه بی سیم (وایرلس) ساختگی ایجاد می کند. این شبکه همانند شبکه های معتبر عمومی و قانونی می تواند در مکان هایی مانند فرودگاه ها، هتل ها و کافی شاپ ها وجود داشته باشد. وقتی که یک نفر وارد شبکه جعلی می شود، کلاهبرداران سعی می کنند رمزهای عبور و یا سایر اطلاعات مرتبط با کارت اعتباری او را ثبت و ضبط کنند.

- مردم آمریکا بیشترین قربانی فیشینگ سیاسی

بنابر مقاله مدرسه انفورماتیک وابسته به دانشگاه ایندیانا آمریکا، در دوره های انتخابات ریاست جمهوری آمریکا، هکرها با استفاده از وبسایت های نامزدهای ریاست جمهوری ایمیل هایی برای مشترکین وبسایت هایی همچون ebay، Pay Pal ایمیل هایی ارسال می شود که مخاطب در صورت فریب و کلیک کردن بر لینک ارسالی قربانی حمله هکر شده و اطلاعات کارت اعتباری وی توسط فیشینگ به سرقت می رود. کارشناسان اقتصادی آمریکا با توجه به رشد آمار استفاده از فیشینگ در این کشور نسبت به سلب امنیت اقتصادی و کاهش مشترکین آنلاین به مسؤلین این کشور هشدار داده اند.

- آشنایی با کلاهبرداری از طریق روش "Skimming"

با وجود تلاش های هماهنگ از سوی مؤسسات مالی در سراسر جهان، تقلب و دستکاری در جهت دسترسی به حساب افراد از طریق دستگاه های خودپرداز همچنان بصورت یک مشکل رو به رشد است؛ این معضل هنگامی پیش می آید که مجرمان (Skimmers) با سرقت اطلاعات بدست آمده از کارت عابر بانک افراد و بدون اطلاع دارنده کارت، از آن سوءاستفاده می نمایند.

جرائم تکنولوژیکی پیچیده، نیاز به پاسخ های تکنولوژیکی پیچیده دارد. مجرمان با نصب ابزار پیشرفته در محل ورودی کارت دستگاه خودپرداز و خواندن اطلاعات کارت و نصب یک دوربین کوچک، تمامی اطلاعات مورد نیاز برای دسترسی به حساب افراد را بدست می آورند و از این طریق سرقت الکترونیکی اتفاق می افتد. دامنه تقلب و دستکاری در دستگاه های خودپرداز رو به گسترش می باشد. نزدیک به 70 درصد از مؤسسات مالی، در پاسخ به یک نظرسنجی انجام شده توسط شرکت Actimize گفته اند که افزایش جرائم الکترونیکی در دستگاه های خودپرداز، در سال 2008 در مقایسه با سال 2007 را تجربه کرده بودند و انتظار می رود این رشد در سال های 2009 و 2010 بصورت فزاینده ای اتفاق بیافتد. به عنوان مثال، رئیس جمهور آمریکا اشاره کرده است که پیش از راه اندازی Anti Skimmer در آن سال، سارقان 9،000،000$ را در زمان 30 دقیقه از حسابها خارج نموده و به سرقت بردند.

ابزار اسکیمینگ


اساساً تلفات ناشی از دستکاری در کارتخوان بر روی دستگاه های خودپرداز در همه جا رخ می دهد. در ارزیابی که توسط تیم امنیتی اروپا در زمینه سرقت از خودپردازها انجام گردید، 8 درصد افزایش حملات کلاهبرداری مربوط به دستگاه های خودپرداز در سال 2009، علاوه بر 149 درصد افزایش در حملات کلاهبرداری مشابه در سال 2008 بوده است. افزایش حوادث از 701 مورد در سال 2008 به 2166 مورد در سال 2009 رسیده است.

نمونه ای از اسکیمر متصل به دستگاه عابر


با وجود افزایش Skimming، تعداد حوادث موفق گزارش شده، 1 درصد بیش از مدت مشابه کاهش یافته است. با این حال نکته قابل تأمل در نتایج گزارشات منتشر شده، 36 درصد کاهش در زیان ناشی از تقلب در دستگاه های خودپرداز مربوط به سال 2009، با مجموع گزارش خسارت 312،000،000€ (400.000.000$)، را از 485،000،000€ (622.000.000$) در سال 2008 بوده است. بر اساس تمامی اقدامات و بررسی های انجام شده توسط مؤسسات بزرگ اروپایی، راه های زیادی برای مبارزه با جرائم الکترونیکی و سرقت از طریق ATM وجود ندارد ولی در صورت استفاده از آن ها، درصد بسیار زیادی از حوادث و اتفاقات قابل کنترل می باشد.

اسکیمر جدا شده از دستگاه عابر بانک


- روش مقابله با اسکیمینگ

1. دستگاه های خودپرداز جدید به حس گرهای مخصوص جهت خواندن اطلاعات اثر انگشت مجهز می شوند که در آن صورت نیازی به وارد کردن رمز کارت نمی باشد و فقط اثر انگشت صاحب حساب برای برداشت از حساب مجوز دارد.

2. روش دیگر، دستگاه های سری قدیمی به Anti Skimmer (ضد اسکیمینگ) مجهز شوند و باید توجه نمود که کار تمامی Skimmerهای ساخته شده، خواندن اطلاعات کارت و نصب دوربین جهت دیدن رمز افراد است و چون اطلاعات کارت توسط یک هد مغناطیسی خوانده می شود، بهترین روش مغشوش نمودن آن اطلاعات مغناطیسی است که برای ساخت یک کارت کپی توسط سارق، استخراج می شود و در این مسیر شرکت های تولید کننده و همچنین استانداردهای متعددی در دنیا وجود دارد که هر یک از روش خاص خود استفاده می کنند.

3. در برخی روش ها، سعی در جلوگیری از امکان نصب Skimmer در دستگاه مورد نظر می باشد که این نوع از تجهیزات Anti Fraud نامیده می شوند.

نصب انتی اسکیمر بر روی دستگاه های ATM


 4. در برخی دیگر از روش ها که از گروه Anti Skimming محسوب می شود، ضمن صرف زمان زیاد و البته اجبار در ایجاد تغییراتی در مسیرهای اطلاعات دریافتی از کارت خوان دستگاه، صرفاً از حسگر برای جلوگیری از نصب Skimmer استفاده می شود که در صورت بروز خطر، دستگاه ها دائماً Reset می شوند که این خود، یک عامل مهم در ایجاد خرابی بر روی دستگاه می باشد.

5. در روشهای پیشرفته Anti Skimming که مورد استاندارد اروپا نیز می باشد ضمن نصب حس گرهای لازم جهت جلوگیری از نصب Skimmer هایی با تکنولوژی متفاوت، تجهیزات پیشرفته دیگری نصب می شود که دقیقاً در زمان نمونه برداری اطلاعات کارت، وارد عمل شده و با ایجاد سینگال التراسونیک در مکان مورد نظر، عملاً مانع استخراج اطلاعات بصورت سالم در Skimmer می شود، ضمن اینکه به دستگاه و مکانیزم عملیاتی آن آسیبی وارد نمی کند و پس از اتمام عملیات در کارت خوان، مجدداً در زمان خروج کارت، دستگاه فعال گردیده و مانع استخراج اطلاعات می گردد. بنابر آمار منتشر شده، این اقدامات سبب کاهش چشمگیر تخلفات سایبری توسط اسکیمرها شده است.

- سایت هایی که حراجی اینترنتی نیستند

حراجی اینترنتی به روشی از فروش دارایی از طریق مزایده گفته می شود که در یک رقابت عمومی، کالا در مدت زمان مشخصی در اختیار کسی قرار می گیرد که بالاترین قیمت را پیشنهاد دهد و همچنین تمامی این مراحل به صورت آنلاین و از طریق اینترنت صورت گیرد. اخیراً شاهد ظهور یک سری از سایت ها (در ایران) بودیم که روشی متفاوت را در حراج کالا و مزایده خود ارائه می دهند.

اساس کار اینگونه سایت ها به این صورت می باشد که مشتریان این سایت ها ابتدا ثبت نام اولیه را انجام می دهند. در این ثبت نام از مشتریان، نام، نام خانوادگی، آدرس و شماره تماسشان را می خواهند. که در صورت برنده شدن در مزایده، محصول مورد نظرشان را ارسال نمایند. محصولات این سایت ها بیشتر گوشی تلفن همراه، کارت شارژ تلفن همراه، دستگاه های پخش موزیک و چیزهای از این قبیل می باشد که با قیمت های غیرمعقول به مزایده گذاشته می شوند.

این محصولات توسط گردانندگان سایت تهیه می گردد و برای مدت مثلاً 5 روز به مزایده گذاشته می شوند و یک ثانیه شمار هم در کنار آن قرار می دهند که زمان باقی مانده مزایده را نشان می دهد. در برخی از این سایت ها به ازای هر کلیک که روی محصول می شود، قیمت آن مقدار کمی افزایش می یابد و در برخی دیگر افزایش قیمت وجود ندارد و در نهایت کسی که آخرین کلیک را روی محصول انجام داده است، برنده مزایده می باشد.

مشتریان این سایت ها برای اینکه بتوانند در مزایده شرکت کنند، باید به حساب این سایت ها پول واریز نمایند. به این دلیل که به ازای هر کلیکی که روی محصول انجام می دهند، از حسابشان مبلغی کسر می گردد. اما سوال اینجاست که فروش محصول به این روش چه منفعتی را برای سایت به همراه دارد که آن را با قیمتی بسیار پایین تر از قیمت بازار به فروش می رسانند؟

جواب این است که سود این سایت ها بر روی کلیک هاست. به ازای هر کلیک از حساب کاربر مبلغی کسر می گردد و در نهایت شاید روی هر کالا سودی تقریباً دو برابر قیمت اصلی آن کالا نصیب متصدیان سایت گردد.
+ نوشته شده در چهارشنبه بیست و چهارم خرداد ۱۳۹۱ ساعت 0:0 توسط کاربر ارشد  | 
مطالب جدیدتر مطالب قدیمی‌تر