ستیز هکرها با فرآیند دسترسی دو مرحله‌ای ایمیل

رمزهای عبور که از سال‌های قبل برای کاربران راه مطمئن ممانعت از دسترسی غیرمجاز به حساب‌های کاربری بود، در سال‌های اخیر جای خود را به روش‌های جدیدتری داده است. یکی از ابداعات در این زمینه استفاده از رمزهای عبور دومرحله‌ای است، این نوع دسترسی که مورد استقبال شرکت‌های بزرگ خدمات‌رسانی همچون گوگل و کاربران آنها نیز قرار گرفته، منجر به مسدود شدن بسیاری از دسترسی‌های غیرمجاز شده است. اما هکرها برای مقابله با این اقدام گوگل تلاش‌هایی را برای دور زدن فرآیند دسترسی دومرحله‌ای آغاز کرده‌اند.

رمز دو مرحله‌ای چیست؟

برخلاف روش آشنا و قدیمی ارائه رمز برای وارد شدن به حساب‌های کاربری، در روش رمزهای دو مرحله‌ای، کاربر پس از واردکردن رمز، پیامکی را که از طرف خدمات دهنده برای او ارسال شده دریافت کرده و کد موجود در آن را به عنوان بخش دوم کلید دسترسی وارد می‌کند. این فرآیند که به لطف همه‌گیر شدن گوشی‌های تلفن همراه عملی شده اخیراً مورد استقبال کاربران نیز واقع گردیده است. در این روش کاربر ابتدا شماره تلفن همراه خود را به اطلاعات حساب کاربری می‌افزاید و به خدمات دهنده اجازه می‌دهد که دسترسی او را منوط به ورود رمز اولیه و کد ارسال شده برای تلفن همراه بسازد. با داشتن این امکان، خدمات دهنده از محدود شدن دسترسی غیرمجاز به‌حساب کاربران یقین حاصل می‌کند، و کاربر نیز مطمئن می‌شود که در صورت افشای رمز عبور اولیه، حساب کاربری او ایمن خواهد ماند.

این روش در کنار همه مزایای اولیه، دارای مشکلاتی است که منجر به بی‌میلی برخی افراد نسبت به استفاده از آن شده است. نخستین مشکل مربوط به افشا شدن شماره تلفن، کشور محل زندگی، و ارتباط حساب کاربری با شخص حقیقی استفاده کننده از آن است. این مسئله برای کاربرانی که مایل هستند حساب کاربری آنها به دلایلی از جمله نوع فعالیت‌هایشان، از دید نهادهای امنیتی مخفی بماند، موضوعی حیاتی است. انتشار اخباری مبنی بر دسترسی هکرها با اطلاعات و رمزهای دسترسی کاربران (حتی برای شرکت‌هایی چون گوگل) نشان می‌دهد که این نگرانی منطقی و واقعی است.

تهدیدات جدید هکرها

در کنار همه روش‌هایی که هکرها برای دسترسی به بانک‌های اطلاعات شرکت‌های خدمات دهنده انجام می‌دهند (که به‌تناوب نمونه‌هایی از موفق بودن آنها نیز گزارش می‌شود)، روشی به نام فیشینگ (Phishing) نیز مورد استفاده است. در این روش اطلاعات کاربر با قرار گرفتن سارق در میانه راه ارتباطی کاربر و خدمات دهنده به سرقت می‌رود. در دنیای اینترنت یکی از راه‌های سرقت اطلاعات، ساختن صفحات جعلی، هدایت کاربر به این صفحات، و در انتها دریافت اطلاعات محرمانه کاربر در یک صفحه جعلی است. با این روش کاربر به دلیل تشابه شکل ظاهری صفحه یا استفاده از عناصری که او را متقاعد می‌کند که با یک صفحه قابل اعتماد ساخته شده توسط خدمات دهنده مواجه است، اطلاعات حساس خود را به‌راحتی در اختیار سارق قرار می‌دهد.

گزارش اخیر شرکت امنیتی سیمانتک [۱] نشان می‌دهد سرقت اطلاعات کاربرانی که از دسترسی دو مرحله‌ای استفاده می‌کنند نیز عملی است. این گزارش بیانگر استفاده هکرها از روش Phishing برای مقابله با رمز عبور دو مرحله‌ای گوگل است.

بیشتر بخوانید: حملات فیشینگ؛ کلاهبرداری متداول

چارچوب عملکرد سارقین در این روش بسیار شبیه به آن چیزی است که از چند سال پیش در ایران برای برداشت از حساب‌های بانکی متداول شده است. افرادی با شماره تلفن فرد قربانی خود تماس گرفته و ادعا می‌کنند که برنده جایزه‌ای شده و برای دریافت آن لازم است اطلاعات حساب بانکی خود را برای تماس گیرنده ارسال کند. در اینجا نیز سارق بر اساس اعتمادی که به‌طور معمول بین کاربر و خدمات دهنده وجود دارد، او را مورد سوءاستفاده قرار می‌دهد. از آنجا که برای تغییر رمز عبور و بسیاری خدمات دیگر یک پیامک حاوی کد امنیتی به تلفن صاحب ایمیل ارسال می‌شود، هکرها تلاش می‌کنند که در میانه این ارتباط، کد ارسال شده را به دست آوردند. اگر هکر همزمان شماره تلفن شما و نشانی ایمیلتان را بداند در بهترین موقعیت برای پیشبرد این روش قرار گرفته است.
بنابراین هکری که شما را هدف قرار داده:

۱-     درخواست بازیابی رمز عبور را به‌عنوان صاحب ایمیل برای گوگل ارسال می‌کند.

۲-     از آنجا که کد دسترسی برای تلفن شما ارسال می‌گردد، هکر اقدام به ارسال پیامک به تلفن شما کرده و ادعا می‌کند که ارائه‌کننده خدمات ایمیل است و می‌خواهد که کد دسترسی را برای او بفرستید.

۳-     با داشتن این کد هکر به سهولت می‌تواند وارد حساب کاربری شما شده و فعالیت خود را ادامه دهد.

به‌تازگی گوگل تلاش کرده است که این فرآیند دسترسی دو مرحله‌ای را با استفاده از ابزارهای دیگری نیز عملی کند. به این منظور امکان تماس مستقیم تلفنی به‌جای ارسال پیامک، دریافت و ذخیره کد امنیتی، کدهای دسترسی با طول عمر بیشتر، و یا ثبت شناسه وسیله کاربر را نیز ایجاد کرده است.

نکاتی که باید رعایت کرد

روش دسترسی دو مرحله‌ای به خدماتی چون ایمیل گوگل، روش مفید و کارآمدی است که استفاده درست از آن می‌تواند ضریب اطمینان بیشتری را برای کاربران به همراه بیاورد. اما لازم است که توجه کنیم استفاده همراه با کم‌توجهی و بدون رعایت اصول اولیه ایمنی، این روش را نیز مانند بسیاری از امور دیگر از یک ابزار کارآمد به تهدید تبدیل می‌سازد.

در این مورد خاص کاربران لازم است موارد زیر را رعایت کنند:

۱-     به شماره و مشخصات منبع ارسال پیامک‌ها توجه کنید.

۲-     در صورت بروز هر نوع تردید نسبت به صحت پیامک دریافتی، موارد را با بخش پشتیبانی خدمات دهنده خود در میان بگذارید.

۳-     شرکت‌های خدمات دهنده در هیچ موردی نیاز به دریافت مجدد کدهای ارسالی ندارند، بنابراین به چنین درخواست‌هایی پاسخ ندهید.

فیلم آموزشی سیمانتک در این زمینه:

پی‌نوشت:

۱. Symantec

برای دسترسی به آرشیو بخش امن گذر اینجا را کلیک کنید.