engeneer_19
28th February 2010, 11:18 PM
بسیاری از کاربران از سرویس ها ی یاهو استفاده می کنند ولی دانش اندکی در این زمینه دارند. لذا بر آن شدیم اطلاعات مختصری در زمینه امنیت یاهو به کاربران ارائه دهیم. راههایی که هکرها معمولا از آنها استفاده می کنند بدین شرح است :
۱- استفاده از fake pageها :
۲ـ در این روش معمولا هکر ، شما را با حقه های جذاب وادار به login کردن در صفحه ای می کند که کاملا شبیه به صفحه login در یاهو است و شما ذره ای شک نمی کنید. اما login کردن همان و ارسال id و password شما به ایمیل هکر همان
تنها تفاوت این صفحات دروغین با صفحات اصلی در آدرس (url) است که این صفحه را از آنجا بارگذاری می شود. به این آدرس در قسمت آدرس باکس مرورگر خود کاملا دقت کنید تا از اصل بودن آن کاملا مطمئن شوید و در صورتی که ذره ای شک کردید از login کردن خودداری کنید.
نحوه ایجاد این صفحات بدین شکل است که هکر یک کپی از روی صفحات اصلی در اینترنت برداشته و با تغییراتی در کدهای آن ، سبب می شود که id و پسورد شما به آدرس ایمیل خاصی که معمولا آدرس ایمیل خود هکر است ارسال شود. سپس هکر این صفحات را به آدرس ثالثی غیر از آدرس حقیقی خود صفحات اصلی ارسال کرده و منتظر شکار خود می ماند. البته در صورتی که صفحه مذکور در پنجره بررسی کد html صفحه مذکور است .برای این کار در مرورگر خود بر روی صفحه مورد نظر کلیک راست کنید و از منوی باز شده دستور view source را اجرا نمائید.
۳- ترفندهای ابتکاری :
این روش کاملا به ابتکار هکر در اغفال شما بستگی دارد. به گونه ای که ندانسته رمز عبور خود را در اختیارش قرار می دهید و به تعداد افراد مبتکر ، احتمال وجود روش های مختلف هست. یکی از روشهایی را که خیلی معمول شده است بررسی می نمائیم.
در این روش ، فرد هکر برای خود در یاهو یک آدرس ایمیل غلط انداز ایجاد می کند که شما را به اشتباه خواهد انداخت و شما تصور خواهید کرد که این آدرس ایمیل مربوط به یکی از دست اندرکاران یاهو است و به آن اعتماد می کنید. هکر وانمود می کند که از شیوه ای باخبر است که توسط این شیوه شما قادر خواهید بود کلمه عبور هر فردی را که بخواهید بدست بیاورید. شما هم که به دنبال چنین راه حلی می گشتید از او درخواست می کنید که این راه را به شما بیاموزد و او هم که درصد چنین فرصتی بوده است بی درنگ کار خود را شروع می کند.
هکر به شما توضیح می دهد که به آدرس ایمیلی که در بالا به آن اشاره شد یک ایمیل بفرست. البته این نامه حتما دارای شرایطی باشد که وی به شما بگوید. مثلا موضوعش فلان جمله باشد و حتما با جمله خاص پایان پذیرد و با ساختن یکسری کدهای خاص ذهن کاربر را منحرف ساخته و کاربر را وادار می سازد به طور ناخواسته id و رمز عبوری خود را در لابلای نامه وارد وارسال نماید و سرانجام منتظر است تا اطلاعات خواسته شده در مورد فرد دیگر را دریافت نماید ولی هرگز چنین نامه ای از طرف یاهو به دست او نخواهد رسید.
۴- مهندسی اجتماعی :
به هنگام sign up یاهو سوالاتی در زمینه تاریخ تولد ، کد پستی ، کشور ، سوال کوتاه و جواب کوتاه و یک آدرس ایمیل برای مواقع اضطراری می پرسد که خیلی مهم هستند. این موارد را همیشه به خاطر داشته باشید که اگر کسی رمز عبور خود را فراموش کند و اطلاعاتی را که در بالا به آنها اشاره شد را به خاطر داشته باشد به راحتی می تواند رمز عبور خود را به دست آورد.
حال تصور کنید که هکرها نیز این نکته بسیار ساده را نیز می دانند و یکی از شیوه هایی که احیانا به کار می گیرند. همین مهندسی اجتماعی است. یعنی به شیوه های گوناگون طرح دوستی با شما می ریزند و سعی می کنند تا اطلاعات کلیدی را از شما جمع آوری کرده و در یک فرصت مناسب از همان ترفندی که در بالا اشاره شد رمز عبور شما را به دست بیاورند.
۵- استفاده از تروجان ها :
به بیان خیلی ساده تروجان ها برنامه هایی هستند که به صورت غیر مجازی روی سیستم شما اجرا می شوند و امکان دسترسی به اطلاعات محرمانه و همچنین کنترل سیستم شما را به فرد هکر می هند.
● راه حل :
یاهو در این زمینه اقدماتی را انجام داده است که به درد چنین مواقعی می خورد.
می توانید در چنین مواقعی از امکان forgot password استفاده کنید. اما به چند شرط :
سوالاتی را که یاهو به هنگام sign up می پرسد همیشه به خاطر داشت باشید که اگر کسی شما را هک کرد و بتوانید از این طریق پسوردتان را بگیرید و تغییر دهید.
برای این کار در صفحه login email روی گزینه password lookup کلیک کنید. بعد از وارد کردن این اطللاعات یاهو درست بودن آنها را چک می کند. در این مرحله که به منظور ایجاد امنیت بیش تر ایجاد شده یاهو از شما یک سوال کوتاه می پرسد و شما باید آن پاسخ صحیح دهید. البته دقت کنید که این پرسش و پاسخ را خود شما هنگام sign up تعریف کرده اید. بعد از وارد کردن پاسخ کوتاه در صورت درست بودن آن شما قادر خواهید بود به دو صورت موجود رمز عبوری خود را تغییر داده و تصاحب کنید. یکی display new password که به شما رمز عبور جدیدتان را نشان می دهد و دیگر password email new که رمز عبور جدید شما را به آدرس ایمیلی که به هنگام sign up داده اید ایمیل می کند(akternate email). البته استفاده از گزینه اول بهتر است چرا که وقتی که یک id هک می شود ، هکرها akternate email را نیز هک می کنند.
۱- استفاده از fake pageها :
۲ـ در این روش معمولا هکر ، شما را با حقه های جذاب وادار به login کردن در صفحه ای می کند که کاملا شبیه به صفحه login در یاهو است و شما ذره ای شک نمی کنید. اما login کردن همان و ارسال id و password شما به ایمیل هکر همان
تنها تفاوت این صفحات دروغین با صفحات اصلی در آدرس (url) است که این صفحه را از آنجا بارگذاری می شود. به این آدرس در قسمت آدرس باکس مرورگر خود کاملا دقت کنید تا از اصل بودن آن کاملا مطمئن شوید و در صورتی که ذره ای شک کردید از login کردن خودداری کنید.
نحوه ایجاد این صفحات بدین شکل است که هکر یک کپی از روی صفحات اصلی در اینترنت برداشته و با تغییراتی در کدهای آن ، سبب می شود که id و پسورد شما به آدرس ایمیل خاصی که معمولا آدرس ایمیل خود هکر است ارسال شود. سپس هکر این صفحات را به آدرس ثالثی غیر از آدرس حقیقی خود صفحات اصلی ارسال کرده و منتظر شکار خود می ماند. البته در صورتی که صفحه مذکور در پنجره بررسی کد html صفحه مذکور است .برای این کار در مرورگر خود بر روی صفحه مورد نظر کلیک راست کنید و از منوی باز شده دستور view source را اجرا نمائید.
۳- ترفندهای ابتکاری :
این روش کاملا به ابتکار هکر در اغفال شما بستگی دارد. به گونه ای که ندانسته رمز عبور خود را در اختیارش قرار می دهید و به تعداد افراد مبتکر ، احتمال وجود روش های مختلف هست. یکی از روشهایی را که خیلی معمول شده است بررسی می نمائیم.
در این روش ، فرد هکر برای خود در یاهو یک آدرس ایمیل غلط انداز ایجاد می کند که شما را به اشتباه خواهد انداخت و شما تصور خواهید کرد که این آدرس ایمیل مربوط به یکی از دست اندرکاران یاهو است و به آن اعتماد می کنید. هکر وانمود می کند که از شیوه ای باخبر است که توسط این شیوه شما قادر خواهید بود کلمه عبور هر فردی را که بخواهید بدست بیاورید. شما هم که به دنبال چنین راه حلی می گشتید از او درخواست می کنید که این راه را به شما بیاموزد و او هم که درصد چنین فرصتی بوده است بی درنگ کار خود را شروع می کند.
هکر به شما توضیح می دهد که به آدرس ایمیلی که در بالا به آن اشاره شد یک ایمیل بفرست. البته این نامه حتما دارای شرایطی باشد که وی به شما بگوید. مثلا موضوعش فلان جمله باشد و حتما با جمله خاص پایان پذیرد و با ساختن یکسری کدهای خاص ذهن کاربر را منحرف ساخته و کاربر را وادار می سازد به طور ناخواسته id و رمز عبوری خود را در لابلای نامه وارد وارسال نماید و سرانجام منتظر است تا اطلاعات خواسته شده در مورد فرد دیگر را دریافت نماید ولی هرگز چنین نامه ای از طرف یاهو به دست او نخواهد رسید.
۴- مهندسی اجتماعی :
به هنگام sign up یاهو سوالاتی در زمینه تاریخ تولد ، کد پستی ، کشور ، سوال کوتاه و جواب کوتاه و یک آدرس ایمیل برای مواقع اضطراری می پرسد که خیلی مهم هستند. این موارد را همیشه به خاطر داشته باشید که اگر کسی رمز عبور خود را فراموش کند و اطلاعاتی را که در بالا به آنها اشاره شد را به خاطر داشته باشد به راحتی می تواند رمز عبور خود را به دست آورد.
حال تصور کنید که هکرها نیز این نکته بسیار ساده را نیز می دانند و یکی از شیوه هایی که احیانا به کار می گیرند. همین مهندسی اجتماعی است. یعنی به شیوه های گوناگون طرح دوستی با شما می ریزند و سعی می کنند تا اطلاعات کلیدی را از شما جمع آوری کرده و در یک فرصت مناسب از همان ترفندی که در بالا اشاره شد رمز عبور شما را به دست بیاورند.
۵- استفاده از تروجان ها :
به بیان خیلی ساده تروجان ها برنامه هایی هستند که به صورت غیر مجازی روی سیستم شما اجرا می شوند و امکان دسترسی به اطلاعات محرمانه و همچنین کنترل سیستم شما را به فرد هکر می هند.
● راه حل :
یاهو در این زمینه اقدماتی را انجام داده است که به درد چنین مواقعی می خورد.
می توانید در چنین مواقعی از امکان forgot password استفاده کنید. اما به چند شرط :
سوالاتی را که یاهو به هنگام sign up می پرسد همیشه به خاطر داشت باشید که اگر کسی شما را هک کرد و بتوانید از این طریق پسوردتان را بگیرید و تغییر دهید.
برای این کار در صفحه login email روی گزینه password lookup کلیک کنید. بعد از وارد کردن این اطللاعات یاهو درست بودن آنها را چک می کند. در این مرحله که به منظور ایجاد امنیت بیش تر ایجاد شده یاهو از شما یک سوال کوتاه می پرسد و شما باید آن پاسخ صحیح دهید. البته دقت کنید که این پرسش و پاسخ را خود شما هنگام sign up تعریف کرده اید. بعد از وارد کردن پاسخ کوتاه در صورت درست بودن آن شما قادر خواهید بود به دو صورت موجود رمز عبوری خود را تغییر داده و تصاحب کنید. یکی display new password که به شما رمز عبور جدیدتان را نشان می دهد و دیگر password email new که رمز عبور جدید شما را به آدرس ایمیلی که به هنگام sign up داده اید ایمیل می کند(akternate email). البته استفاده از گزینه اول بهتر است چرا که وقتی که یک id هک می شود ، هکرها akternate email را نیز هک می کنند.