عضو باشید اما اعتماد نکنید!

گسترش روز افزون تعاملات مجازی و همچنین رونق فضاهای مجازی در دسترس عموم از قبیل شبکههای اجتماعی شاهدیم که شیوههای زندگی و نحوه تعامل در زندگی شخصی مردم نیز تغییر کرده و این تغییرات در یک نقطه ثابت نمانده است و با شیوع خود اکنون در حال تغییر زندگی حرفهیی مردم است.

در حقیقت این بسترهای اجتماعی و مجازی نقش مهمی نیز در نحوه انجام تعاملات شغلی و تجاری ایفا میکنند اما این به معنای توزیع بسترهای امنیتی بر بستر آنها نیست و با ریسکی که به دنبال خود دارند، میتوانند در بسیاری از اوقات تهدیدی برای صدها میلیون کاربر شبکههای مختلف اجتماعی باشند.

مهاجمان شبکههای اینترنتی با دیدن رونق چنین شبکههایی، زمینه را برای سوءاستفادههای بیشتر آماده میبینند و سعی میکنند با ترفندهایی جدید، کاربران ساده را قربانی منافع شخصی خود کنند.

کرمهای شبکههای اجتماعی که یکی از این تهدیدات به شمار میروند، همچون Koobface هستند که محققان امنیتی درباره آن گفتهاند که بزرگترین botnet وب ۲.۰ به شمار میرود هرچند که تهدیدی مانند Koobface با شکلها و صورتهای متفاوت، تعریف معمول «کرم» را به چالش میکشد.

باید آگاه بود که انتشار این کرم برروی شبکههای اجتماعی هر روزه سیستمهای بیشتری را به Botnet بزرگ خود اضافه میکند و حسابهای کاربری بیشتری را برای ارسال هرزنامههای بیشتر و درگیر کردن سیستمهای بیشتر سرقت میکند.

سرقت هویت که سرآمد تمامی جرائم و تخلفات رایانهیی است نیز امروزه فضا را برای ورود خود به شبکههای اجتماعی باز دیده است و به عنوان مثال پیش از این شاهد بودیم ایمیلی برای کاربران فیس بوک ارسال میشد که از آنها میخواست در لینکی که در ظاهر متعلق به فیس بوک بود لاگین کنند اما این لینک در حقیقت متعلق به fbaction بود که به این وسیله اطلاعات حسابهای کاربران فیس بوک را سرقت می­کرد.

جالب است که در مقاله امنیت در رایانه که برروی سایت مرکز ماهر منتشر شده و اطلاعات این گزارش برگرفته از آن است، آمده که شبکههای اجتماعی به یک بردار مهم برای تروجانها تبدیل شدهاند و کافی است که کاربران تنها یک کلیک کنند تا به یکی از قربانیان زئوس که یکی از مشهورترین و بزرگترین تروجانهای بانکی بوده است، تبدیل شوند.

این تروجان با استفاده از شبکههای اجتماعی زندگی تازهای یافته است. URL Zone نیز یک تروجان بانکی دیگر است که حتی از زئوس نیز هوشمندتر بوده و قادر است ارزش حسابهای بانکی قربانی را برای تصمیمگیری در مورد اولویت سرقت آن حساب مشخص کند.

نشت دادهها و جریان اطلاعات شخصی و محرمانه در شبکههای اجتماعی نیز از جمله دیگر مواردی به شمار میرود که سوءاستفادههای فراوانی علیه آنها انجام میشود زیرا در حال حاضر مهمترین کار در شبکههای اجتماعی، «به اشتراک گذاردن» دادههای مختلف با دیگران است.

کاربران باید بسیار هوشیار باشند که فریب لینکهای کوتاه شده را نخورند زیرا برخی از کاربران از سرویسهای کوتاه کننده URL (مانند bit.ly و tinyurl) استفاده میکنند تا URL های طولانی را برای فضاهای کوچک و محدود، مناسب سازی کنند البته همیشه نباید خوشبین بود به دلیل اینکه آنها می توانند لینک مورد نظر را به گونهای مبهم کنند تا قربانی متوجه نوع آدرس نشود و آگاهی نیابد در حال کلیک کردن برروی لینک نصب بدافزار است یا لینک یک ویدئو در یک وب سایت معتبر که مورد نظر وی بوده است.

Botnetها نیز که این روزها برای تمامی افرادی که به نوعی با اینترنت و فضای مجازی در ارتباطند، شناخته شده هستند نیز یکی دیگر از ابزارهایی است که به واسطه آنها به سوءاستفادههای در شبکههای اجتماعی میتوان اشاره کرد؛ در این راستا سال گذشته محققان حوزه امنیت، کشف کردند که حسابهای کاربری توئیتر به عنوان کانال دستور و کنترل برای برخی botnet ها مورد استفاده قرار میگرفتند.

باید دانست معمولا کانال استاندارد دستور و کنترل IRC است که هکرها از آن برای برقراری ارتباط با یکدیگر و همچنین کنترل کردن و دستور دادن به سیستمهای قربانی خود استفاده میکنند اما برخی از هکرها سایر برنامهها مانند برنامه به اشتراک گذاری P۲P فایل Storm را نیز برای این منظور به کار گرفتهاند.

آدم مهم بودن نیز این روزها علاوه بر اینکه امتیاز مثبتی را به دنبال خود ندارد بلکه کافی است با عضویت در شبکههای اجتماعی به تهدیدی برای افراد تبدیل شود و باید دانست امروزه یکی از کلیدهای اصلی تهدیدات دائمی، جمعآوری اطلاعات افراد ارزشمندی است که با استفاده از آنها، میتوان به سیستمهای مهم و حساس دسترسی پیدا کرد.

واضح است که شبکههای اجتماعی میتوانند گنجینهای از دادهها در مورد این افراد تلقی شوند و کسانی که به این اطلاعات ارزشمند دسترسی پیدا میکنند، از آنها برای توسعه حملات خود، نصب بدافزارها و تروجانها و در نهایت دسترسی به سیستمهای حساس و مهم استفاده میبرند.

نوع دیگری از حملات و تهدیدات شبکههای اجتماعی جعل درخواست بین سایتی (CSRF) است و اگرچه این مساله نوع خاصی از حمله به حساب نمیآید و بیشتر شبیه به تکنیکی برای گسترش یک کرم شبکه اجتماعی پیچیده است، ولی حملات جعل درخواست بین سایتی، از اعتمادی که یک سایت شبکه اجتماعی به کاربر خود و مرورگر وی دارد سوء استفاده میکند.

بنابراین تا زمانی که برنامه شبکه اجتماعی، سرآیند (هدر) فرد مراجعه کننده را بررسی نمیکند، یک فرد مهاجم میتواند به سادگی یک تصویر را در جریان وقایع یک کاربر به اشتراک بگذارد که کاربران دیگر با کلیک برروی آن، دچار یک حمله شده و یا باعث انتشار آن حمله گردند.

حسابهای کاربری افراد مشهور زیادی در شبکههای اجتماعی که دارای هزاران پیرو هستند تاکنون هک شدهاند و علاوه بر این، افراد زیادی با جعل هویت افراد مشهور، صدها و هزاران پیرو در توئیتر جمع کردهاند و سپس باعث شرمساری فردی که هویت او را جعل کردهاند، شدند.

در حال حاضر توئیتر، جاعلان هویت را که سعی میکنند پیروهای خود را گمراه کنند از حسابهای کاربری خود حذف میکند؛ پس با این حساب جعل هویت نیز گونهای دیگر از مخاطرات به شمار میرود.

متأسفانه همانطور که از برآیند تهدیدات و مخاطرات احتمالی برمیآید نقطه اشتراک میان تمامی تهدیدات، اعتماد زیادی است که کاربران به برنامههای شبکههای اجتماعی دارند و اغلب مردم به لینکها، تصاویر، فیلمها و فایلهای اجرایی که از طرف دوستان آنها ارسال شده، اعتماد میکنند، مگر اینکه چند بار از این طریق دچار مشکل شده و با خطری روبهرو شده باشند.