متخصصان امنیتی و مهندسان شبکه شروع به هشدار دادن به کاربران در مورد نوع خطرناک جدیدی از حملات مهندسی اجتماعی کردهاند که بر افرادی که از برنامههای جلسه آنلاین استفاده میکنند تأثیر میگذارد. مهاجمانی که کنترل یک حساب ایمیل یا پیام رسان در معرض خطر را به دست می آورند، توانسته اند تعداد زیادی دعوتنامه تقلبی جعلی ایجاد کنند، که سپس می توانند به طور همزمان برای تعداد زیادی از افراد ارسال کنند. به محض اینکه شخصی که روی این دعوتنامهها کلیک میکند اطلاعات خود را وارد میکند، یک دستگاه از راه دور آن را یادداشت میکند و آن را برای بازیگران بدی که در وهله اول پشت حمله بودند، باز میفرستد.
مسلماً در حال حاضر افراد بیشتری نسبت به همیشه از خدمات جلسات آنلاین استفاده می کنند که این نوع حملات را به ویژه نگران کننده می کند. طبق یک مطالعه، زوم به تنهایی لاگ می کند بیش از 3.3 تریلیون دقیقه هر سال استفاده می شود و این تعداد احتمالاً افزایش می یابد. با توجه به ویژگیهای حریم خصوصی برخی از برنامهها مانند Slack و Discord، تشخیص تعداد افراد روی سرور ممکن است دشوار باشد مگر اینکه خودتان در آن سرور باشید. این بدان معناست که برخی از کاربران ممکن است در معرض این نوع حملات مهندسی اجتماعی قرار بگیرند بدون اینکه بسیاری از همکارانشان حتی از این واقعیت آگاه باشند.
این نگرانی به ویژه است که بسیاری از افراد در صنعت امنیت سایبری را در لبه صندلی های خود قرار داده است.
استفاده از دعوتنامههای تقویم به عنوان بردار حمله
تقلید کنندگان وب سایت بسیار ماهر توانسته اند صفحاتی را که به نظر می رسد از هر یک از سرویس های محبوبی هستند که توسط این مهاجمان هدف قرار می گیرند، به صورت واقعی در تقویم ایجاد کنند. کاربران خدمات جلسات آنلاین عموماً فهرستهای تماس با اندازه کامل دارند، به این معنی که شخصی که کنترل یکی از این فهرستها را به دست میآورد میتواند تعداد زیادی دعوت را تقریباً فوراً ارسال کند. این دعوتها، حداقل از نظر تئوری، به نظر میرسد که از یک منبع مشروع بودهاند.
بسته به اینکه چقدر واقع بینانه به نظر می رسند، می توانند کاربران خارجی را تشویق کنند از اعتبار نامه ایمیل خود صرف نظر کنند یا اطلاعات تماس مربوط به خدمات اشتراک فایل پیوست شده به برنامه جلسه خود را تحویل دهید. کسانی که از خانه کار می کنند ممکن است اطلاعات را از طریق چیزی مانند DropBox یا OneDrive به اشتراک بگذارند. اگر اینطور باشد، آنها ممکن است در مورد به اشتراک گذاشتن اطلاعات ورود به سیستم خود با یک صفحه ورود به سیستم قانونی که در غیر این صورت قانونی به نظر میرسد، تردید کمی داشته باشند. با این حال، هنگامی که آنها وارد آن می شوند، یک بازیگر بد ناگهان می تواند شروع به بارگذاری مطالب آلوده کند که می تواند با افراد دیگر به اشتراک بگذارد.
بدتر از همه، کار نسبتا کمی برای ایمن سازی بیشتر برنامه های تقویم دیجیتال انجام شده است. پیشرفت زیادی در این فضا صورت گرفته است حل مسائل غیر مرتبط دیگر از زمانی که برای اولین بار محبوب شدند آنها را آزار می داد. از توسعه دهندگانی که قبلاً در مورد این مشکلات احساس محاصره کرده اند، اکنون از آنها خواسته می شود تا به نشت های امنیتی احتمالی رسیدگی کنند.
اصلاح برنامه های تقویم در برابر حملات مهندسی اجتماعی
مهندسان به سختی میتوانند این نشتها را برطرف کنند، به دلیل این واقعیت است که آنها معمولاً بیش از محدودیتهای فنی واقعی حول یک سطح درک شده از اعتماد هستند. در بسیاری از موارد، حملات خود محدود به این است که شخصی حساب شخص دیگری را جعل کند و سپس جزئیات حساب را در یک چت روم باز بخواهد. تا زمانی که افراد هرگز اطلاعات تماس خود را در فرمی قرار ندهند که توسط شخص دیگری غیر از افرادی که خدمات ارائه می دهند اداره می شود، احتمال وقوع این حملات وجود ندارد. کارکنان فنی در درجه اول تلاش می کنند تا به مصرف کنندگان در مورد خطر اشتراک گذاری اعتبارنامه ها آموزش دهند.
کاربرانی که در این مدت به دنبال انجام کاری هستند ممکن است بخواهند گزینه های دیگری را بررسی کنند. تعداد کمی از محصولات امنیتی درجه تجاری برای مقابله با این تهدیدات جدید به اندازه کافی قوی هستند، بنابراین ممکن است بخواهند به جایگزین های Lifelock برای محافظت از سرقت هویت، که ممکن است ویژگی هایی را ارائه دهد که در برنامه های محبوب تر دیده نمی شوند. اینها می توانند به کاربران کمک کنند تا در صورتی که پس از ارائه اطلاعات تماس به گیرنده کلاهبردار در جایی قرار گرفتند، آسیب وارد شده را کاهش دهند.
برخی ممکن است تعجب کنند که مردم همچنان در سال 2021 با این نوع طرح ها مخالفت می کنند، به ویژه با توجه به اینکه در گذشته چقدر به آنها توجه شده است. با این حال، بازیگران بد ترفند جدیدی در آستین خود دارند که فریب دادن حتی کاربران خسته را آسانتر میکند.
متقاعد کردن مردم برای تسلیم کردن جزئیات
زمانی که شخصی به هر دلیلی حساب کاربری خود را دزدیده شود، بازیگران بد به طور بالقوه می توانند نقش نسبتا خوبی را ایفا کنند. با استفاده از کاراکترهای خاص یونیکد، آنها می توانند نشانی اینترنتی جعلی را به نظر بیاورند که واقعاً از سرورهای برنامه مورد نظر آمده است، که می تواند تضمین کند که حتی با تجربه ترین کاربران نیز ممکن است اعتبار خود را رها کنند. متخصصان امنیتی شروع به جستجوی راه هایی برای تقویت پروتکل های متنی یونیکد برای کاهش خطر این اتفاق کرده اند.
در این بین، از کاربران خواسته می شود تا هوشیار باشند و از خود بپرسند که آیا شخصی پس از ورود به برنامه، واقعاً به رمز عبور یا اطلاعات دیگری نیاز دارد یا خیر.
- 2021
- حساب
- Ad
- معرفی
- نرم افزار
- کاربرد
- برنامه های کاربردی
- برنامه های
- دور و بر
- حمله
- خودکار
- تقویم
- موارد
- مصرف کنندگان
- محتوا
- ادامه دادن
- مجوزها و اعتبارات
- حملات سایبری
- امنیت سایبری
- مقدار
- توسعه دهندگان
- پروژه
- دیجیتال
- اختلاف
- Dropbox به
- لبه
- پست الکترونیک
- مهندسی
- مورد تأیید
- وارد می شود
- روش
- امکانات
- نام خانوادگی
- فرم
- رایگان
- کامل
- خوب
- بزرگ
- شدن
- صفحه اصلی
- چگونه
- HTTPS
- بزرگ
- هویت
- دزدی هویت
- صنعت
- اطلاعات
- IT
- کار
- بزرگ
- نشت
- سطح
- محدود شده
- لیست
- طولانی
- نگاه
- ساخت
- مسائل
- رسول
- شبکه
- تعداد
- ارائه
- OneDrive
- آنلاین
- باز کن
- گزینه
- دیگر
- کلمه عبور
- وصله
- مردم
- پلاگین
- محبوب
- خلوت
- محصولات
- كاهش دادن
- خطر
- دویدن
- پرده
- تیم امنیت لاتاری
- خدمات
- اشتراک گذاری
- شل
- کوچک
- So
- آگاهی
- مهندسی اجتماعی
- فضا
- Spot
- شروع
- آغاز شده
- به سرقت رفته
- مهاجرت تحصیلی
- فنی
- سرقت
- تهدید
- اعتماد
- یونیکد
- کاربران
- سایت اینترنتی
- WHO
- مهاجرت کاری
- از خانه کار کن
- سال
- زوم