روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ کدهای یکبارمصرف و احراز هویت دو عاملی به طور امنی از شما در برابر سرقت اکانت محافظت میکنند. اگر چنین کدی یا درخواستی برای وارد کردن آن موقعی که لاگین نیستید دریافت کردید ممکن است تلاشی باشد برای هک کردن اکانت شما. در ادامه با ما همراه شوید تا ضمن بررسی این متود، راهکارهای امنیتی نیز خدمتتان ارائه دهیم.
در طول چند سال گذشته، به لاگین کردن وبسایتها و اپهای مهم مانند آنهایی که مربوط به بانکداری آنلاین هستند عادت کردهایم و برای این کار هم از پسورد و هم از متود تأییدیهایِ دیگر استفاده میکنیم. این میتواند متود OTP[1] باشد که از طریق پیام متنی، ایمیل یا نوتیف ارسال میشود؛ کدی از سوی اپ احرازگر یا حتی یک دستگاه ویژه یواسبی (توکن). این متود لاگ کردن احراز هویت دوعاملی یا 2FA نامیده میشود و هک را خیلی سخت میکند: سرقت یا حدس پسورد به تنهایی دیگر برای سرقت اکانت کفایت نمیکند. اما اگر سعی در لاگ نکردهاید اما هنوز کد یکبار مصرف یا درخواست برای وارد کردن آن دریافت میکنید چه؟
چند دلیل وجود دارد:
- تلاش برای هک. هکرها یکجورهایی پسورد شما را یاد گرفتهاند، حدس زدهاند یا سرقت کردهاند و اکنون در تلاشند از آن برای دسترسی به اکانت شما استفاده کنند. شما از سرویسی که سعی دارند بدان دسترسی داشته باشند پیام قانونی دریافت کردهاید.
- آمادهسازی برای هک. هکرها یا پسورد شما را دانستهاند یا سعی دارند فریبتان دهند تا آن را لو دهید که در این صورت پیام OTP نوعی فیشینگ میشود. این مسیج فیک بوده هرچند شاید به مدل قانونیاش بسیار شباهت داشته باشد.
- فقط یک اشتباه است. گاهی سرویسهای آنلاین به گونهای تنظیم میشوند که ابتدا یک کد تأیید از یک پیام متنی و سپس یک رمز عبور درخواست نموده یا فقط با یک کد تأیید اعتبار کنند. در این صورت، کاربر دیگر میتوانسته اشتباه تایپی کرده باشد و به جای ایمیل یا شماره خودش برای شما را وارد کرده و شما کدش را دریافت کرده باشید.
همانطور که مستحضر هستید، پشت این مسیج ممکن است مقصود مخربی نهان باشد. اما خبر خوب این است که در این مرحله هیچ آسیب جبرانناپذیری بوجود نخواهد آمد و با قدم درست میتوانید جلوی هر دردسری را بگیرید.
موقع دریافت درخواست کد باید چه کار کنیم؟
از همه مهمتر، اگر پیام در قالب «بله/خیر» نیست روی دکمه تأیید نزنید، هیچجا لاگ نشده و با کسی کدهای دریافتی را شریک نشوید. اگر پیام درخواست کد حاوی لینک باشد آنها را دنبال نکنید.
اینها مهمترین قوانینی است که باید دنبال کرد. مادامیکه لاگین خود را تأیید نکنید اکانتتان از خطرات مصون است. با این حال احتمالش زیاد است که پسورد اکانتتان به دست مهاجمین افتاده باشد. از این رو، کار بعدی عوض کردن پسورد این اکانت است. با وارد کردن آدرس وب به طور دستی و نه با فالو کردن لینک، به سرویس مربوطه رفته، پسورد را وارد کنید، کد تأیید جدید را (که خیلی اهمیت دارد) گرفته و واردش کنید. سپس تنظیمات پسورد را پیدا کرده و پسورد جدید و قوی بسازید. اگر از همان پسورد برای سایر اکانتها استفاده میکنید نیازی نیست برای آنها هم پسورد را تغییر دهید اما ممطئن شوید برای هر اکانت، پسورد منحصر به فرد ساختهاید. ما درک میکنیم که یادآوری کلی پسورد کار سختی است پس به شدت توصیه میکنیم آنها را در مدیر کلمه عبور مخصوص ذخیره کنید. این مرحله –تغییر پسورد- آنقدرها هم عجلهای نیست. نیازی ندارد با شتاب این کار را انجام دهید اما آن را به تعویق هم نیاندازید. برای اکانتهای ارزشمند مانند اکانتهای بانکداری، ممکن است مهاجمین سعی داشته باشند otp را اگر با متن ارسال شده باشد رهگیری کنند. این با سواپ کردن سیمکارت انجام میشود (رجیستر کردن سیم جدید در شمارهتان) یا لانچ حمله با شبکه سرویس اپراتور با استفاده از نقصی در پروتکل ارتباطی SS7. از این رو، مهم است پیش از تلاش مهاجمین برای شروع حمله پسورد را تغییر دهید. در کل، کدهای یکبارمصرف ارسالی با متن نسبت به اپهای احرازگر و توکنهای usb کمتر قابلاطمینان هستند. توصیه میکنیم همیشه از امنترین متود احراز هویت دوعاملی موجود استفاده کنید.
اگر تعداد زیادی درخواست OTP دریافت کردیم چه؟
در تلاش برای مجاب کردن شما در تأیید لاگین، هکرها ممکن است با کدها بمبارانتان کنند. سپس سعی میکنند بارها و بارها به اکانتتان وارد شوند به امید اینکه یا اشتباهی دکمه تأیید را بزنید یا به سرویس رفته و با دلخوری احراز هویت دوعاملی را غیرفعال کنید. مهم است خونسردی خود را حفظ کنید و هیچکدام از این دو کار را انجام ندهید. بهترین کار رفتن به سایت سرویس (همانطور که بالاتر شرح شد: با باز کردن سایت به طور دستی و نه با لینک) و تغییر سریع پسورد است اما برای این کار باید OTP قانونی خودتان را دریافت و وارد کنید. برخی از درخواستهای احراز هویت (مثلاً هشدارهای مربوط به ورود به سرویسهای Google ) دارای دکمه جداگانه «نه، من نیستم» هستند - معمولاً این دکمه باعث میشود سیستمهای خودکار در سمت سرویس بهطور خودکار مهاجم و هرگونه درخواست جدید 2FA را مسدود کنند. گزینه دیگر، اگرچه راحتترین گزینه نیست، این است که گوشی را به مدت نیم ساعت به حالت بیصدا یا حتی هواپیما تغییر دهید تا موج کدها فروکش کند.
اگر به طور تصادفی ورود یک غریبه را تأیید کردید چه باید کرد؟
این بدترین سناریو است، زیرا به احتمال زیاد به یک مهاجم اجازه ورود به حساب خود را دادهاید. مهاجمین در تغییر تنظیمات و گذرواژهها به سرعت عمل میکنند، بنابراین شما باید با عواقب هک مقابله کنید.
راهکارهای امنیتی برای محافظت از خود
بهترین متود دفاعی در این شرایط، یک گام جلوتر از هکرها بودن است. اینجاست که راهکار امنیتی ما به کمک میآید. این راهکار نشتیهای اکانت شما را که به شماره تلفن و ایمیل شما متصل است –شامل دارکوب- رهگیری میکند. میتوانید شماره تلفن و آدرس ایمیل همه اعضای خانواده خود را اضافه کنید و اگر داده اکانت عمومی شد یا در پایگاههای داده نشتشده به صورت عمومی یافت شد، کسپرسکی پریمیوم به شما هشدار خواهد داد و در مورد اینکه چه اقدامی باید انجام دهید پیشنهادات و توصیههایی خواهد داد. Kaspersky Password Manager شاملشده در عضویت، به شما هشدار خواهد داد که پسوردها دستکاری شدند یا نه؛ هیمنطور کمک میکند آنها را تغییر دهید. این مدیر کلمه عبور کمک میکند پسوردهای غیرقابلنفوذ جدید تولید کنید. همچنین میتوانید به آن توکنهای احراز هویت دوعاملی اضافه کنید یا براحتی آنها را با چند کلیک از Google Authenticator منتقل کنید. ذخیرهسازی امن برای اسناد شخصیتان از مهمترین اسناد و فایلهای شما مانند اسکن پاسپورت یا عکس های شخصی به صورت رمزگذاری شده محافظت میکند تا فقط شما بتوانید به آنها دسترسی داشته باشید.
افزون بر این، لاگینها، پسوردها و کدهای احراز هویت و داکیومنتهای سیوشده شما از هر دستگاهی که دارید قابلدسترسی خواهند بود- کامپیوتر، اسمارتفون یا تبلت. پس اگر یکجورهایی گوشیتان گم شد، نه دادهها را از دست خواهید داد و نه دسترسیتان را. شما خواهید توانست روی دستگاه جدید براحتی آنها را ریستور کنید. و برای دسترسی به همه دادههای خود، فقط باید یک رمز عبور - رمز عبور اصلی - را به خاطر بسپارید که در هیچ کجا به جز در سر شما ذخیره نمیشود و برای رمزگذاری دادههای AES استاندارد بانکی استفاده میشود.
با "اصل افشای صفر[2]"، هیچ کس نمیتواند به رمز عبور یا دادههای شما دسترسی داشته باشد - حتی کارمندان کسپرسکی. قابلیت اطمینان و اثربخشی راهکارهای امنیتی ما توسط آزمایشهای مستقل متعدد تأیید شده است، یکی از نمونههای اخیر راهحلهای حفاظت از خانه ما است که بالاترین جایزه - محصول سال 2023 - را در آزمایشهایی که توسط آزمایشگاه مستقل اروپایی AV-Comparatives انجام شده، دریافت کردهاند.
[1] one-time password
[2] zero disclosure principle
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
