معلم وب

از صفر تا صد طراحی و توسعه وب با معلم وب

معلم وب

از صفر تا صد طراحی و توسعه وب با معلم وب

آزادآموزش عالیدانشگاهکنکور

حمله هکری جدید مقابل حساب های واتساپ بدون  شکستن رمزگذاری

webmoallem_userhs

باشگاه خبرنگاران جوان؛ جواد فراهانی – محققان شرکت امنیت سایبری Avast توضیح دادند که این کلاهبرداری که با نام GhostPairing شناخته می شود، از خاصیت های قانونی درون برنامه برای فریب کاربران جهت جفت سازی حساب هایشان با دستگاهی که توسط مهاجم کنترل می شود، استفاده می نماید. این کار به مهاجم دسترسی مستقیم به پیام ها، عکس ها، ویدیو ها و یادداشت های صوتی را می دهد.
این فرایند با ارسال پیامی به قربانی شروع می شود که بنظر می رسد از یک مخاطب مورد اعتماد است و حاوی پیوندی است که معمولا ادعا می کند یک تصویر را نمایش می دهد. این پیوند کاربر را به یک صفحه ورود جعلی فیسبوک هدایت می کند که از او می خواهد شماره تلفن خویش را وارد کند.
این صفحه به جای نمایش محتوای مورد نظر، با نمایش کدی که از قربانی خواسته می شود در برنامه وارد کند، خاصیت جفت سازی دستگاه واتساپ را فعال می کند.
این وضعیت، بدون اطلاع کاربر، یک دستگاه ناشناخته را به حساب متصل می کند و بدون نیاز به رمز عبور یا هرگونه اعتبارنامه دیگری، به مهاجم دسترسی کامل می دهد.
بعد از هک شدن حساب، مهاجم می تواند پیام هایی را به مخاطبین قربانی ارسال نماید و از اعتماد متقابل برای بسط حمله و انجام نقض های بیشتر و گسترده تر سوءاستفاده کند.
لوئیس کرونز، متخصص امنیت در Avast، اظهار داشت که این کمپین «نشان دهنده تغییر رو به رشد در جرایم سایبری است، جایی که سوءاستفاده از اعتماد کاربران به اندازه هک کردن خود سیستم ها اهمیت پیدا می کند.»
او افزود که کلاهبرداران «با سوءاستفاده از ابزار های آشنایی مانند کد های QR، درخواست های اتصال دستگاه و صفحات تأیید به ظاهر روتین، کاربران را متقاعد می کنند که خودشان به آنها دسترسی بدهند.»
او تصریح کرد که کلاهبرداری هایی از این نوع «فقط مشکل واتساپ نیستند، بلکه علامت هشداری برای هر پلتفرمی هستند که به اتصال سریع دستگاه بدون توضیح کافی کاربر متکی است.»
در این مورد، Avast از کاربران واتساپ خواست که با رفتن به «تنظیمات» و سپس «دستگاه های مرتبط» به صورت منظم دستگاههای متصل به حساب های خویش را بررسی نمایند و فوراً هرگونه دستگاه ناشناخته را حذف نمایند.
کورونز در انتها تاکید کرد که «تکامل روش های کلاهبرداری، بازبینی در سازوکار های احراز هویت را ضروری می سازد، به صورتی که آنها محدود به کاری که کاربر عمداً انجام می دهد، نباشند، بلکه آن چه را که می توان کاربر را به انجام آن فریب داد نیز درنظر بگیرند، بخصوص زمانی که اعتماد خودکار به دستگاهها به نقطه ای صدمه پذیر برای سوءاستفاده تبدیل می شود.»
منبع: ایندیپندنت

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *