جدا از اینکه شما در رعایت مسایل امنیتی تا چه حد کوشا باشید و از خدمات امن و مطمئن برای وبلاگ یا سایت شخصی تان بهره ببرید و تمامی نکات پشتیبان گیری و وبلاگ نویسی اصولی را رعایت کنید؛ همیشه هستند افرادی که با شیوه های مختلف و ابزارهای متفاوتی به جنگ وبلاگ شما آمده و سعی در نفوذ به آن و یا از کار انداختنش خواهند داشت.
توجه کنید در این درس به حملاتی می پردازیم که به صورت آنلاین وبلاگ شما را هدف گرفته اند و باید بدانید که این همه حملات را شامل نمی شود. ممکن است یک هکر کامپیوتر یا تلفن هوشمند شما را هدف بگیرد که در این صورت روش های حمله متفاوت خواهد بود. برای جلوگیری از آن حملات نیاز است روی امنیت سیستم عامل، مرورگر و دیگر موارد مرتبط تمرکز کنید.
ممکن است آشنایی با برخی اصطلاحات تخصصی حملات امنیتی چندان کارایی برای شما نداشته باشد و حتی در جلوگیری از برخی از آنها کمکی هم نکند. اما به طور حتم آگاهی از اینکه آلودگی و نفوذ از چه راهی انجام گرفته، در حل سریع تر مشکل توسط مدیران سرور و همچنین تعامل شما با آنها کمک فراوانی خواهد نمود.
فیشینگ (Phishing)
فیشینگ یکی از تکنیک های مهندسی اجتماعی است که فرد حمله کننده از ارتباطات الکترونیک یا شبکه های اجتماعی، برای کلاهبرداری و تطمیع گیرنده استفاده می کند تا موفق به دستیابی به اطلاعات وی شود. شاید این شیوه را بتوان یکی از عمومی ترین و پرکاربردترین راه های نفوذ به اطلاعات شخصی و در دست گرفتن کنترل ایمیل، وبلاگ یا دیگر اکانت های افراد دانست. در بسیاری از مواقع این کار با استفاده از ایمیل انجام می شود و البته گاهی از ارسال پیام در شبکه های اجتماعی و پیامک موبایل هم بهره می برند.
در این حمله، پیام ارسالی قلابی برای شما، معمولا به ظاهر از طرف فرد یا شرکتی ارسال شده که کاملا مورد اطمینان شما است. مثلا به نظر می رسد که ایمیل از طرف شرکت فروشنده هاست و دامنه، بانک یا شرکت خدمات دهنده اینترنت شما است و درون ایمیل از شما درخواست برخی اطلاعات شخصی و حتی گاهی اوقات رمزهای عبور می شود.
در شکل دیگر ماجرا، ایمیل ارسالی حاوی لینک یا لینک هایی است که شما را به صفحاتی بسیار شبیه سایت های معمول مورد استفاده تان می برند و در آنجا شما با ورود رمز عبور و نام کاربری، علاوه بر ورود بدون مشکل به سایت مورد نظر خود، اطلاعات تان را در اختیار ارسال کننده ایمیل هم قرار داده اید.
همیشه مراقب ایمیل های دریافتی باشید و در صورتی که حاوی درخواست غیر عادی یا مهمی بودند، به بررسی بیشتر موضوع بپردازید. در صورت امکان قبل از ارسال هرگونه اطلاعاتی، به صورت تلفنی در خصوص صحت ایمیل سوال کنید. تا حد امکان حتی در صورتی که اطمینان نسبی به ایمیل دارید، اما امکان تایید تلفنی یا حضوری آن را ندارید، از ارسال پاسخ خودداری کنید.
به یاد داشته باشید که معمولا شرکت های خدمات دهنده به شما و مراکزی مانند بانک، هیچ گاه و به هیچ وجه به صورت ایمیلی از شما درخواست رمز عبور، نام کاربری یا اطلاعات خصوصی مهم نمی کنند.
در ایمیل های مشکوک و ناشناس به هیچ وجه بر روی لینک ها کلیک نکنید. در صورتی که می خواهید وارد سایتی شوید، آدرس آن را به صورت دستی در مرورگر تایپ کنید. قبل از ورود نام کاربری و رمز عبور در هر سایتی، ابتدا آدرس بار را کنترل کنید تا نشانی سایت کاملا درست و صحیح باشد. در سایت هایی که از ارتباط امن SSL و آدرس https استفاده می کنند، حتما مراقب این نکته باشید و کنترل کنید که آدرس صفحه ای که باز کرده اید به صورت امن و https باشد.
حمله Brute-force
در این شیوه فرد نفوذگر با استفاده از برنامه های ویژه ای، به صورت خودکار و مداوم ترکیبات مختلف نام کاربری و رمز عبور را امتحان می کند تا بالاخره به ترکیب مناسب برای ورود به سایت دست پیدا کند. در این سیستم معمولا از لغات و عبارت های موجود در دیکشنری و ابزارهایی مانند آن استفاده می شود و برنامه تا جایی به کار خود ادامه می دهد که موفق به پیدا کردن نام کاربری و رمز عبور شما شود.
یکی از مهم ترین شیوه های مقابله با چنین حملاتی، استفاده از پلاگین های امنیتی است که پس از دفعات مشخص ورود نام کاربری و رمز عبور اشتباه، جلوی دسترسی کامپیوتر وارد کننده نام های کاربری را بگیرد و به وی اجازه کار ندهد. این جلوگیری معمولا با بلاک کردن آی پی آن سیستم انجام می شود. شما می توانید با افزونه ها و برخی کدها و دستورات برنامه نویسی، این امکان را فراهم آورید که مثلا فرد یا کامپیوتر مشکوک، با ورود سه رمز عبور اشتباه دیگر دسترسی این کار را نداشته باشد. و یا اینکه دسترسی به بخش لاگین را تنها برای آی پی های ویژه ای باز بگذارید و دیگران امکان ورود به این بخش را نداشته باشند.
نکته دیگر در مقابله با این حمله، استفاده از رمز عبور امن است که به اندازه ای طولانی باشد تا حدس زدن آن چندان ساده نباشد. همچنین عدم استفاده از نام کاربری پیش فرض برنامه مدیریت محتوا و یا استفاده از نام کاربری های شناخته شده ای چون Admin و administrator و user1 و moderator و… می تواند کار را برای نفوذگران دو چندان سخت تر کند.
علاوه بر این در برخی برنامه های مدیریت محتوا، می توانید آدرس صفحات مدیریتی سایت و وبلاگ را هم به طور کامل تغییر دهید. با این کار فرد حمله کننده قبل از اینکه امکان آزمون- خطا برای یافتن رمز عبورتان را داشته باشد، باید ابتدا صفحه مدیریت را برای ورود نام کاربری و رمز عبور پیدا کند. استفاده از نام های عجیب می تواند کمک خوبی در این زمینه باشد. چرا نام صفحه ورود به بخش مدیریت وبلاگ تان به جای Admin یا administrator و مانند آن، چیزی شبیه نام یک گیاه یا غذای مورد علاقه تان نباشد؟
علاقه مندی ها (Bookmarks)