روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کدهای یکبارمصرف و احراز هویت دو عاملی به طور امنی از شما در برابر سرقت اکانت محافظت می‌کنند. اگر چنین کدی یا درخواستی برای وارد کردن آن موقعی که لاگین نیستید دریافت کردید ممکن است تلاشی باشد برای هک کردن اکانت شما. در ادامه با ما همراه شوید تا ضمن بررسی این متود، راهکارهای امنیتی نیز خدمتتان ارائه دهیم.

در طول چند سال گذشته، به لاگین کردن وبسایت‌ها و اپ‌های مهم مانند آن‌هایی که مربوط به بانکداری آنلاین هستند عادت کرده‌ایم و برای این کار هم از پسورد و هم از متود تأییدیه‌ایِ دیگر استفاده می‌کنیم. این می‌تواند متود OTP[1] باشد که از طریق پیام متنی، ایمیل یا نوتیف ارسال می‌شود؛ کدی از سوی اپ احرازگر یا حتی یک دستگاه ویژه یواس‌بی (توکن). این متود لاگ کردن احراز هویت دوعاملی یا 2FA نامیده می‌شود و هک را خیلی سخت می‌کند: سرقت یا حدس پسورد به تنهایی دیگر برای سرقت اکانت کفایت نمی‌کند. اما اگر سعی در لاگ نکرده‌اید اما هنوز کد یکبار مصرف یا درخواست برای وارد کردن آن دریافت می‌کنید چه؟

چند دلیل وجود دارد:

•         تلاش برای هک. هکرها یک‌جورهایی پسورد شما را یاد گرفته‌اند، حدس زده‌اند یا سرقت کرده‌اند و اکنون در تلاشند از آن برای دسترسی به اکانت شما استفاده کنند. شما از سرویسی که سعی دارند بدان دسترسی داشته باشند پیام قانونی دریافت کرده‌اید.
•         آماده‌سازی برای هک. هکرها یا پسورد شما را دانسته‌اند یا سعی دارند فریب‌تان دهند تا آن را لو دهید که در این صورت پیام OTP نوعی فیشینگ می‌شود. این مسیج فیک بوده هرچند شاید به مدل قانونی‌اش بسیار شباهت داشته باشد.
•         فقط یک اشتباه است. گاهی سرویس‌های آنلاین به گونه‌ای تنظیم می‌شوند که ابتدا یک کد تأیید از یک پیام متنی و سپس یک رمز عبور درخواست نموده یا فقط با یک کد تأیید اعتبار کنند. در این صورت، کاربر دیگر می‌توانسته اشتباه تایپی کرده باشد و به جای ایمیل یا شماره خودش برای شما را وارد کرده و شما کدش را دریافت کرده باشید.

همانطور که مستحضر هستید، پشت این مسیج ممکن است مقصود مخربی نهان باشد. اما خبر خوب این است که در  این مرحله هیچ آسیب جبران‌ناپذیری بوجود نخواهد آمد و با قدم درست می‌توانید جلوی هر دردسری را بگیرید.

موقع دریافت درخواست کد باید چه کار کنیم؟

از همه مهمتر، اگر پیام در قالب «بله/خیر» نیست روی دکمه تأیید نزنید، هیچ‌جا لاگ نشده و با کسی کدهای دریافتی را شریک نشوید. اگر پیام درخواست کد حاوی لینک باشد آن‌ها را دنبال نکنید.

اینها مهم‌ترین قوانینی است که باید دنبال کرد. مادامیکه لاگین خود را تأیید نکنید اکانت‌تان از خطرات مصون است. با این حال احتمالش زیاد است که پسورد اکانت‌تان به دست مهاجمین افتاده باشد. از این رو، کار بعدی عوض کردن پسورد این اکانت است. با وارد کردن آدرس وب به طور دستی و نه با فالو کردن لینک، به سرویس مربوطه رفته، پسورد را وارد کنید، کد تأیید جدید را (که خیلی اهمیت دارد) گرفته و واردش کنید. سپس تنظیمات پسورد را پیدا کرده و پسورد جدید و قوی بسازید. اگر از همان پسورد برای سایر اکانت‌ها استفاده می‌کنید نیازی نیست برای آن‌ها هم پسورد را تغییر دهید اما ممطئن شوید برای هر اکانت، پسورد منحصر به فرد ساخته‌اید. ما درک می‌کنیم که یادآوری کلی پسورد کار سختی است پس به شدت توصیه می‌کنیم آن‌ها را در مدیر کلمه عبور مخصوص ذخیره کنید. این مرحله –تغییر پسورد- آنقدرها هم عجله‌ای نیست. نیازی ندارد با شتاب این کار را انجام دهید اما آن را به تعویق هم نیاندازید. برای اکانت‌های ارزشمند مانند اکانت‌های بانکداری، ممکن است مهاجمین سعی داشته باشند otp را اگر با متن ارسال شده باشد رهگیری کنند. این با سواپ کردن سیمکارت انجام می‌شود (رجیستر کردن سیم جدید در شماره‌تان) یا لانچ حمله با شبکه سرویس اپراتور با استفاده از نقصی در پروتکل ارتباطی  SS7. از این رو، مهم است پیش از تلاش مهاجمین برای شروع حمله پسورد را تغییر دهید. در کل، کدهای یکبارمصرف ارسالی با متن نسبت به اپ‌های احرازگر و توکن‌های usb کمتر قابل‌اطمینان هستند. توصیه می‌کنیم همیشه از امن‌ترین متود احراز هویت دوعاملی موجود استفاده کنید.

اگر تعداد زیادی درخواست OTP دریافت کردیم چه؟

در تلاش برای مجاب کردن شما در تأیید لاگین، هکرها ممکن است با کدها بمباران‌تان کنند. سپس سعی می‌کنند بارها و بارها به اکانت‌تان وارد شوند به امید اینکه یا اشتباهی دکمه تأیید را بزنید یا به سرویس رفته و با دلخوری احراز هویت دوعاملی را غیرفعال کنید. مهم است خونسردی خود را حفظ کنید و هیچکدام از این دو کار را انجام ندهید. بهترین کار رفتن به سایت سرویس (همانطور که بالاتر شرح شد: با باز کردن سایت به طور دستی و نه با لینک) و تغییر سریع پسورد است اما برای این کار باید OTP قانونی خودتان را دریافت و وارد کنید. برخی از درخواست‌های احراز هویت (مثلاً هشدارهای مربوط به ورود به سرویس‌های Google ) دارای دکمه جداگانه «نه، من نیستم» هستند - معمولاً این دکمه باعث می‌شود سیستم‌های خودکار در سمت سرویس به‌طور خودکار مهاجم و هرگونه درخواست جدید 2FA را مسدود کنند. گزینه دیگر، اگرچه راحت‌ترین گزینه نیست، این است که گوشی را به مدت نیم ساعت به حالت بی‌صدا یا حتی هواپیما تغییر دهید تا موج کدها فروکش کند.

اگر به طور تصادفی ورود یک غریبه را تأیید کردید چه باید کرد؟

این بدترین سناریو است، زیرا به احتمال زیاد به یک مهاجم اجازه ورود به حساب خود را داده‌اید. مهاجمین در تغییر تنظیمات و گذرواژه‌ها به سرعت عمل می‌کنند، بنابراین شما باید با عواقب هک مقابله کنید.

راهکارهای امنیتی برای محافظت از خود

بهترین متود دفاعی در این شرایط، یک گام جلوتر از هکرها بودن است. اینجاست که راهکار امنیتی ما به کمک می‌آید. این راهکار نشتی‌های اکانت شما را که به شماره تلفن و ایمیل شما متصل است –شامل دارک‌وب- رهگیری می‌کند. می‌توانید شماره تلفن و آدرس ایمیل همه اعضای خانواده خود را اضافه کنید و اگر داده اکانت عمومی شد یا در پایگاه‌های داده نشت‌شده به صورت عمومی یافت شد، کسپرسکی پریمیوم به شما هشدار خواهد داد و در مورد اینکه چه اقدامی باید انجام دهید پیشنهادات و توصیه‌هایی خواهد داد. Kaspersky Password Manager شامل‌شده در عضویت، به شما هشدار خواهد داد که پسوردها دستکاری شدند یا نه؛ هیمنطور کمک می‌کند آن‌ها را تغییر دهید. این مدیر کلمه عبور کمک می‌کند پسوردهای غیرقابل‌نفوذ جدید تولید کنید. همچنین می‌توانید به آن توکن‌های احراز هویت دوعاملی اضافه کنید یا براحتی آن‌ها را با چند کلیک از Google Authenticator منتقل کنید. ذخیره‌سازی امن برای اسناد شخصی‌تان از مهمترین اسناد و فایل‌های شما مانند اسکن پاسپورت یا عکس های شخصی به صورت رمزگذاری شده محافظت می‌کند تا فقط شما بتوانید به آنها دسترسی داشته باشید.

افزون بر این، لاگین‌ها، پسوردها و کدهای احراز هویت و داکیومنت‌های سیوشده شما از هر دستگاهی که دارید قابل‌دسترسی خواهند بود- کامپیوتر، اسمارت‌فون یا تبلت. پس اگر یک‌جورهایی گوشی‌تان گم شد، نه داده‌ها را از دست خواهید داد و نه دسترسی‌تان را. شما خواهید توانست روی دستگاه جدید براحتی آن‌ها را ریستور کنید. و برای دسترسی به همه داده‌های خود، فقط باید یک رمز عبور - رمز عبور اصلی - را به خاطر بسپارید که در هیچ کجا به جز در سر شما ذخیره نمی‌شود و برای رمزگذاری داده‌های AES استاندارد بانکی استفاده می‌شود.

با "اصل افشای صفر[2]"، هیچ کس نمی‌تواند به رمز عبور یا داده‌های شما دسترسی داشته باشد - حتی کارمندان کسپرسکی. قابلیت اطمینان و اثربخشی راهکار‌های امنیتی ما توسط آزمایش‌های مستقل متعدد تأیید شده است، یکی از نمونه‌های اخیر راه‌حل‌های حفاظت از خانه ما است که بالاترین جایزه - محصول سال 2023 - را در آزمایش‌هایی که توسط آزمایشگاه مستقل اروپایی AV-Comparatives انجام شده، دریافت کرده‌اند.

[1] one-time password

[2] zero disclosure principle

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.