صفحه نخست   |   درباره ما   |   تماس با ما
5- shoar مرکز اطلاعات فنی ایرانسال تاسیس : ۱۳۶۲        
دوشنبه   ۱۴۰۰/۱/۳۰  
نسخه چاپی  
صفحه نخست » راهنمای مدیران » با مدیریت
 
با مدیریت
 
10 تهدید شبکه های اجتماعی

 

 10 تهدید شبکه های اجتماعی

ابزار های شبکه های اجتماعی ، نحوه تعامل در زندگی شخصی مردم را تغییر داده اند و اکنون در حال تغییر زندگی حرفه ای آنها نیز هستند .


 در حقیقت ، این شبکه ها نقش مهمی در نحوه انجام تعاملات شغلی و تجاری نیز ایفا می کنند . اما نکته مهم، ریسک بسیار بالای این شبکه ها است . این ابزار ها با صد ها میلیون کاربر در شبکه های مختلف اجتماعی، در سالهای اخیر توجه مهاجمان را بیش از هر هدف دیگری به خود جلب کرده اند .در این مقاله کوتاه، به ده تهدید یا خطر مهم موجود در شبکه های اجتماعی می پردازیم .
1.کرم های شبکه های اجتماعی
کرم های شبکه های اجتماعی، کرم هایی مانند kooface هستند که به گفته محققین امنیتی، بزرگترین botnet وب 2 است . تهدیدی مانند koobface با شکل ها و صورت های متفاوت،‌تعریف معمول « کرم » را به چالش می کشد . این کرم که به طور خاص برای انتشار در شبکه های اجتماعی ( مانند فیس بوک، Myspace، توئیتر، Friendster، hi5، (Bebo طراحی شده است،‌هر روزه سیستم های بیشتری را به Botnet بزرگ خود اضافه می کند و حساب های کاربری بیشتری را برای ارسال هرزنامه های بیشتر و درگیر کردن سیستم های بیشتر سرقت می کند .
2.سرقت هویت
مدتی پیش ایمیلی برای کاربران فیس بوک ارسال می شد که از آنها می خواست در لینکی که در ظاهر متعلق به فیس بوک بود لاگین نمایند . اما این لینک در حقیقت متعلق به fbaction بود که به این وسیله اطلاعات حساب های کاربران فیس بوک را سرقت می کرد . حساب های کاربری بسیاری از کاربران فیس بوک در این حمله مورد سوء استفاده قرار گرفت . البته درصد کاربرانی که قربانی این حمله شدند زیاد نبود، ولی با توجه به تعداد بسیار زیاد کاربران فیس بوک ( این شبکه اجتماعی در حال حاضر بیش از 500 میلیون کاربر دارد )،‌ این درصد کم نیز رقم قابل توجهی را تشکیل می داد . البته فیس بوک به سرعت وارد عمل شده و دامنه مذکور را مسدود نمود .
3.تروجان ها
شبکه های اجتماعی به یک بردار هدف برای تروجان ها تبدیل شده اند .کافی است شما فقط یک کلیک کنید تا به یکی از قربانیان زئوس که یکی از مشهورترین و بزرگترین تروجان های بانکی است تبدیل شوید . این تروجان با استفاده از شبکه های اجتماعی زندگی تازه ای یافته است . URL Zone نیز یک تروجان بانکی دیگر است که حتی از زئوس نیز هوشمند تر است . این تروجان قادر است ارزش حساب های بانکی قربانی را برای تصمیم گیری در مورد اولویت سرقت آن حساب مشخص نماید.
4. نشست داده ها
مهم ترین کار در شبکه های اجتماعی، «به اشتراک گذاردن» داده های مختلف با دیگران است . متاسفانه بسیاری از کاربران اطلاعات بسیار زیادی را راجع به سازمانی که به آن متعلق هستند، پروژه ها، محصولات، مسائل مالی، تغییرات سازمانی، رسوائی ها و سایر مسایل حساس به اشتراک می گذارند . حتی در برخی موارد، زوج هایی که عضو این شبکه های اجتماعی هستند، در موردمسائل کاری همسر خود یا کاری که بر روی یک ÷روژه بسیار محرمانه انجام می دهد، اطلاات حساسی را به اشتراک می گذارند . حتی به اشتراک گذاردن اطلاعات شخصی مانند آدس محل سکونت و شماره تلفن نیزدر این شبکه ها کار خطرناکی است .
5.لینک های کوتاه شده
برخی از کاربران از سرویس های کوتاه کننده URL(مانندbit.ly و tinyurl) استفاده می کنند تا URL های طولانی را برای فضاهای کوچک و محدود ، مناسب سازی نمایند . همچنین آنها لینک مورد نظر را طوری مبهم می کنند که قربانی متوجه نمی شود در حال کلیک کردن بر روی لینک نصب یک بد افزار است یا لینک یک ویدئو در یک وب سایت معتبر . استفاده از این لینک های کوتاه شده بسیار ساده بوده و این لینک ها در همه جا نیز وجود دارند . بسیاری از کلاینت های توئیتر ،] هر لینکی را به طور خودکار کوتاه می کنند . این لینک های کوتاه شده به ابزاری برای مهاجمان تبدیل شده اند تا با استفاده از آنها، کاربران ناآگاه را برای کلیک بر روی لینک یک بد افزار ترغیب نمایند .
6 . بات نت ها
سال گذشته محققان حوزه امنیت، کشفکردند که حساب های کاربری توئیتر به عنوان کانال دستور و کنترل برای برخی botnet ها مورد استفاده قرار می گیرند . معمولا کانال استاندارد دستور و کنترل IRC است که هکرها از آن برای برقراری ارتباط با یکدیگر و همچنین کنترل کردن و دستور دادن به سیستم های قربانی خود استفاده می کنند، اما برخی از هکرها سایر برنامه ها مانند برنامه به اشتراک گذاری P2P فایل storm را نیز برای این منظور به کار گرفته اند . توئیتر در حال از کار انداختن این حساب های کاربری است، ولی این مساله همچنان ادامه دارد .
7.شناسایی افراد ارزشمند
یکی از کلید های اصلی تهدیدات دائمی ، جمع آوری اطلاعات افراد ارزشمندی است که با استفاده از آنها ، می توان به سیستم های مهم و حساس دسترسی پیدا کرد . در این مورد شبکه های اجتماعی می توانند گنجینه ای از داده ها در مورد این افراد باشند . کسانی که به این اطلاعات ارزشمند دسترسی پیدا می کنند،‌ از آنها برای توسع حملات خود، نصب بد افزار ها و تروجان ها و در نهایت دسترسی به سیستم های حساس و مهم استفاده می کنند . بنابراین در حالی که شبکه های اجتماعی مستقیما به این افراد مرتبط نیستند، یک منبع داده بسیار ارزشمند برای آنها به حساب می آیند .
8.جعل درخواست بین سایتی (CSRF)
اگرچه این مسئله نوع خاصی از حمله به حساب نمی آید و بیشتر شبیه به تکنیکی برای گسترش یک کرم شبکه اجتماعی پیچیده است ،‌ولی حملات جعل درخواست بین سایتی ، از اعتمادی که یک سایت شبکه اجتماعی به کاربر خود و مرورگر وی دارد سوء استفاده می کند. بنابراین تا زمانی که برنامه شبکه اجتماعی، سرآیند(هدر) فرد مراجعه کننده را بررسی نمی کند، یک فرد مهاجم می تواند به سادگی یک تصویر را در جریان وقایع یک کاربر به اشتراک بگذارد که کاربران دیگر با کلیک بر روی آن ، دچار یک حمله شده و یا باعث انتشار آن حمله گردند.به عنوان مثالی از جعل درخواست بین سایتی ،‌فرض کنید که کاربر شماره یک،‌برای یک سایت بانکی کاربری شناخته شده و معتبر است. کاربر شماره دو که فردی خرابکار است، یک تصویر را بر روی سایت شبکه اجتماعی ارسال می کند که آدرس پشت آن ، به یک فعالیت کاربر شماره یک در آن سایت بانکی اشاره می کند. اگر وب سایت بانک مورد نظر اطلاعات تایید هویت کاربر شماره یک را در یک کوکی ذخیره کرده باشد و اگر آن کوکی هنوز منقضی نشده باشد ،‌آنگاه تلاش مرورگر کاربر شماره یک برای باز کردن تصویر ارسال شده، باعث می شود که اطلاعات وی از کوکی مذکور بازیابی شده و بدون تایید کاربر شماره یک ،‌ یک فعالیت بانکی رخ دهد . در حقیقت در این مثال ، کاربر شماره دو درخواستی را به صورت جعلی به جای کاربر شماره یک به وب سایت بانک مذکور ارسال کرده است .
9.جعل هویت
حساب های کاربری افراد مشهور زیادی در شبکه های اجتماعی که دارای هزاران فالوئر هستند تا کنون هک شده اند . علاوه بر این ،‌افراد زیادی با جعل هویت افراد مشهور، صد ها و هزاران علاقمند در توئیتر جمع کرده اند و سپس باعث شرمساری فردی که هویت او را جعل کرده اند شده اند . در حال حاضر توئیتر، جاعلان هویت را که سعی می کنند هواداران خود را گمراه نمایند از حساب های کاربری خود حذف می کند . البته بسیاری از این جاعلان هویت، بدافزار منتشر نمی کنند . ولی برخی از حساب های کاربری هک شده، قطعا حاوی بد افزار نیز هستند .
10. اعتماد
نقطه اشتراک میان تمامی تهدیداتی که در بالا فهرست شد، اعتما زیادی است که کاربران به این برنامه های شبکه های اجتماعی دارند . اغلب مردم به لینک ها، تصاویر، فیلم ها و فایل های اجرایی که از طرف دوستان آنها ارسال شده است اعتماد می کنند، مگر اینکه چند بار از این طریق دچار مشکل شده و با خطری روبرو شوند . برنامه های شبکه های اجتماعی هنوز به اندازه کافی تهدیدات خود را برای کاربران به نمایش نگذاشته اند . در نتیجه همچنان کاربران، اطلاعات حساس خود را در این شبکه ها به اشتراک گذاشته و بر روی لینک های ارسال شده توسط دوستان خود ، به سادگی و با اطمینان کلیک می کنند .

 

 

بالا^^