۸ روش مخفیانه هکرها برای دزدیدن پاسخ سوالات امنیتی شما

اگر فکر می‌کنید سوالات امنیتی شما پشتیبان محکمی برای رمزهای عبورتان هستند، ممکن است غافلگیر شوید. هکرها روش‌های هوشمندانه‌ای برای پیدا کردن این پاسخ‌ها دارند و اغلب آسان‌تر از آن چیزی است که فکر می‌کنید.

بیایید در ادامه این روش‌ها را با یکدیگر بررسی کنیم.

جاسوسی در شبکه‌های اجتماعی

شبکه‌های اجتماعی برای هر کسی که سعی در تجسس در زندگی شخصی شما دارد، یک معدن طلا هستند و هکرها این را می‌دانند. اکثر مردم به طور اتفاقی رویدادهای مهم زندگی خود را به صورت آنلاین به اشتراک می‌گذارند؛ مانند تولدها، سالگردها، نام حیوانات خانگی و مدارس. با این حال برای کسی که سعی در یافتن پاسخ سوالات امنیتی شما دارد، این نوستالژی نیست. بلکه اطلاعات است.

فرض کنید سوال امنیتی شما «فیلم مورد علاقه شما چیست؟» است. دو پیمایش ساده در حساب X شما عشق بی‌پایان شما به شیر شاه را نشان می‌دهد. یا شاید بیوگرافی اینستاگرام شما بگوید «مامان مکس (سگ)» و این پاسخ شما به «اسم اولین حیوان خانگی شما چه بود؟» است.

این نوع جاسوسی به ابزارهای پیچیده‌ای هم نیاز ندارد. تنها چیزی که یک هکر نیاز دارد نام، پروفایل و کمی صبر شماست. آنها پست‌های قدیمی، عکس‌های تگ‌ شده و حتی نظرات دوستانتان را بررسی می‌کنند. اگر تنظیمات حریم خصوصی شما کاملا باز باشد، به سادگی پاسخ‌ها را به آنها می‌دهید.

حتی حساب‌های کاربری خصوصی هم امن نیستند. اگر یک هکر بتواند شما را دنبال کند، مثلا از طریق یک پروفایل فیک، پست‌های شما قابل دسترسی می‌شوند. یک پست بی‌ضرر در حافظه می‌تواند به یک سرنخ بی‌سروصدا تا حساب‌های شما تبدیل شود.

استفاده از آزمون‌های «سرگرم‌کننده» فیک

احتمالا شما هم نسخه‌ای از آن آزمون‌های سرگرم‌کننده را در شبکه‌های اجتماعی دیده‌اید که چیزهایی مثل «نام سلطنتی شما چیست؟» یا «آیا می‌توانیم سن شما را بر اساس غذاهای مورد علاقه‌تان حدس بزنیم؟» می‌پرسند. این آزمون‌ها معمولا به عنوان سرگرمی بی‌ضرر در نظر گرفته می‌شوند، اما یکی از رایج‌ترین اشتباهات حریم خصوصی هستند که می‌توانید در هر شبکه اجتماعی مرتکب شوید.

هکرها یا حداقل جاسوسان مشکوک داده‌ها، از این آزمون‌ها برای جمع‌آوری دقیق اطلاعات شخصی که اغلب با سوالات امنیتی مرتبط هستند استفاده می‌کنند. آنها با طنز و شخصی‌سازی هوشیاری شما را کاهش می‌دهند، به طوری که فراموش می‌کنید اساسا در حال تحویل یک نقشه به هویت دیجیتال خود هستید.

جستجوی جزئیات در سوابق عمومی

گاهی اوقات هکرها اصلا نیازی به ترفند ندارند. آنها فقط از سوابق عمومی استفاده می‌کنند.

گواهی ازدواج، سوابق املاک، ثبت نام رأی دهندگان و موارد این چنینی می‌توانند منابع غنی از پاسخ به سوالات امنیتی باشند. اطلاعاتی مانند آدرس دوران کودکی یا محل تولدتان اغلب تنها با چند جستجو قابل دسترسی است.

برای مثال، اگر سوال امنیتی شما این باشد که «در کدام شهر متولد شده‌اید؟»، یک آگهی تولد قدیمی می‌تواند به راحتی آن را فاش کند. یک هکر مصمم حتی نیازی به شناخت شخصی شما ندارد. آنها فقط به نام و کمی پشتکار شما نیاز دارند. سوابق عمومی می‌توانند بقیه موارد را پر کنند.

جستجو در پست‌های قدیمی انجمن‌ها

شاید فکر کنید پست‌های قدیمی انجمن‌ها امن هستند، چون اکثر انجمن‌ها ناشناس بوده‌اند. اما هکرها می‌دانند که ناشناس بودن بی‌خطر نیست؛ مخصوصا وقتی افراد به‌طور تصادفی ردی از خود به جا می‌گذارند.

شاید از نام کاربری انجمنی استفاده کرده‌اید که با بخشی از آدرس ایمیل شما مطابقت دارد. شاید در مورد زادگاهتان، اولین حیوان خانگی‌تان یا نماد دبیرستانتان پست گذاشته‌اید. حتی جزئیات کوچکی مانند سال فارغ‌التحصیلی یا تیم ورزشی مورد علاقه‌تان می‌تواند شروع به اتصال نقاط به شما کند.

این کار به مهارت‌های هک هم نیاز ندارد. یک هکر با صبر می‌تواند انجمن‌های قدیمی، نام‌های کاربری مرجع یا چند کلمه کلیدی در کنار نام شما را در گوگل جستجو کند. انجمن‌هایی که به سختی عضویت در آنها را به خاطر می‌آورید، ممکن است هنوز بایگانی‌های عمومی داشته باشند که بی‌سروصدا بخش‌هایی از تاریخچه شخصی شما را فاش می‌کنند.

ناشناس بودن کمک می‌کند، اما اگر به اندازه کافی ردپا از خود به جا گذاشته باشید، پست‌های قدیمی هنوز هم می‌توانند به شما خیانت کنند. وقتی هکرها به دنبال پاسخ سوالات امنیتی شما هستند، حتی کوچکترین سرنخ می‌تواند کافی باشد.

استفاده از داده‌های لو رفته از سایت‌های دیگر

نشتی داده‌ها برای هکرها مانند یک جایزه بزرگ است. وقتی سایتی هک می‌شود، فقط نام‌های کاربری و رمزهای عبور فاش نمی‌شوند. گاهی اوقات پاسخ‌های سوال امنیتی شما نیز افشا شده است.

به عنوان مثال فرض کنید سال‌ها پیش در یک انجمن حساب کاربری ایجاد کرده‌اید. از «آرسنال» به عنوان پاسخ به «تیم ورزشی مورد علاقه شما چیست؟» استفاده کرده‌ و آن را فراموش کرده‌اید. اگر آن سایت هک شود و پاسخ‌های شما رمزگذاری نشده باشند، هکرها می‌توانند از آن برای دسترسی به حساب‌های مهم شما استفاده کنند.

استفاده مجدد از پاسخ‌های امنیتی در سایت‌های مختلف به همان اندازه استفاده مجدد از رمزهای عبور خطرناک است. وقتی اطلاعات شما منتشر شد، هکرها از ابزارهای تخصصی برای ارجاع متقابل آن استفاده می‌کنند. از ابزاری مانند Have I Been Pwned استفاده کنید تا ببینید آیا داده‌های شما لو رفته است یا نه. و همیشه با پاسخ‌های امنیتی مانند رمزهای عبور یکبار مصرف رفتار کنید: برای هر حساب کاربری یک پاسخ منحصر به فرد در نظر بگیرید.

ایجاد چت‌های پشتیبانی فیک

این یکی پیچیده‌تر اما به طرز ویرانگری مؤثر است: چت‌های جعلی پشتیبانی مشتری.

معمولا با یک ایمیل، دایرکت یا پاپ‌آپ که شبیه بانک، ارائه ‌دهنده ایمیل یا فروشگاه مورد علاقه شما است شروع می‌شود. نماینده پشتیبانی جعلی از شما می‌خواهد که با پاسخ دادن به سؤالات امنیتی، هویت خود را تأیید کنید.

این چت‌های فیک اغلب برند، زبان و حتی زمان‌بندی را کپی می‌کنند. به عنوان مثال در طول یک قطعی سایت واقعی. و از آنجا که احساس شخصی بودن را به شما می‌دهند، احتمال بیشتری وجود دارد که بدون فکر کردن سریعا موافقت کنید. به محض اینکه این پاسخ‌ها را تحویل دهید، هکرها می‌توانند با تنظیم مجدد اعتبارنامه ورود به سیستم، به حساب شما دسترسی پیدا کنند.

قانون طلایی در اینجا این است: نمایندگان پشتیبانی قانونی هرگز از طریق چت، ایمیل یا پیام مستقیم از شما سؤالات امنیتی نمی‌پرسند. اگر چنین درخواستی دریافت کردید، چت را ببندید و مستقیما از طریق سایت رسمی تأیید کنید.

فریب دادن دوستانتان برای به اشتراک گذاشتن جزئیات

هکرها می‌دانند که حتی اگر شما محتاط باشید، ممکن است دوستانتان چنین نباشند. به طرز شگفت‌آوری به دست آوردن اطلاعات شخصی با فریب دادن افرادی که به آنها اعتماد دارید آسان است.

گاهی اوقات با یک پروفایل فیک شروع می‌شود که وانمود می‌کند همکلاسی قدیمی یا دوست مشترک است. آنها وارد مکالمه می‌شوند، درباره روزهای خوب گذشته می‌پرسند یا یک بازی را شروع می‌کنند که بی‌ضرر به نظر می‌رسد. قبل از اینکه دوستتان متوجه شود، آنها به طور اتفاقی از محل بزرگ شدن شما، نام حیوان خانگی دوران کودکی‌تان یا حتی معلم مورد علاقه‌تان صحبت کرده‌اند.

حتی چیزی به سادگی یک پست نوستالژیک در فیس‌بوک می‌تواند اطلاعات زیادی را فاش کند. دوستی که شما را در یک عکس قدیمی تگ می‌کند یا در مورد اولین ماشین شما شوخی می‌کند، می‌تواند دقیقا همان چیزی را که هکرها نیاز دارند، بدون اینکه شما حتی یک کلمه تایپ کنید به آنها بدهد.

این یک تاکتیک زیرکانه است زیرا بسیار طبیعی به نظر می‌رسد. دوستان به یکدیگر اعتماد دارند. هکرها از این اعتماد سوءاستفاده می‌کنند تا اطلاعات شما را به دست بیاورند. اگر در مورد امنیت جدی هستید، به حلقه نزدیکان خود نیز یادآوری کنید که محتاط باشند.

حدس زدن پاسخ‌های رایج

گاهی اوقات، هکرها حتی لازم نیست تجسس کنند. آنها فقط حدس می‌زنند و متأسفانه اغلب درست از آب درمی‌آید.

سوالاتی مانند «رنگ مورد علاقه شما چیست؟» منجر به پاسخ‌های قابل پیش‌بینی مانند آبی می‌شود. نام حیوانات خانگی اغلب چیزهای مشخصی مثل جسی است. پاسخ‌های دیگر نیز به همین ترتیب قابل پیش‌بینی هستند: به عنوان مثال بسیاری از افراد تعطیلات رویایی را با «پاریس» پاسخ می‌دهند.

هکرها گاهی اوقات این حدس زدن را خودکار کرده و محبوب‌ترین پاسخ‌ها را مرور می‌کنند تا زمانی که خوش شانس باشند. بدون محافظت‌های قوی سایت مانند قفل شدن پس از تلاش‌های اشتباه، ممکن است فقط به چند تلاش نیاز داشته باشند.

سخن آخر

راهکار ساده است. با پاسخ‌های سوال امنیتی مانند رمزهای عبور رفتار کنید. اگر حقیقت خیلی برای حدس زدن آسان است، راستگو نباشید. آن را به یک چیز بی‌معنی تبدیل کنید، یا بهتر از آن، از یک مدیر رمز عبور برای ذخیره پاسخ‌های تصادفی استفاده کنید.

سوالات امنیتی ممکن است مانند پشتیبان‌های بی‌ضرر به نظر برسند؛ اما برای یک هکر آنها یک درِ جانبیِ قفل نشده هستند. هکرها همیشه نیازی به نفوذ با زور و اجبار ندارند. گاهی اوقات آنها فقط با استفاده از جزئیاتی که شما جا گذاشته‌اید وارد می‌شوند.

سوالات متداول کاربران

آیا سوالات امنیتی واقعا امن هستند؟

نه! بسیاری از پاسخ‌ها قابل حدس زدن یا از طریق اطلاعات عمومی و شبکه‌های اجتماعی قابل استخراج هستند.

چگونه هکرها پاسخ سوالات امنیتی را پیدا می‌کنند؟

با بررسی پروفایل‌های شبکه‌های اجتماعی، داده‌های لو رفته، انجمن‌های قدیمی یا حتی فریب دادن دوستان شما.

آیا استفاده از سوالات امنیتی مشابه در سایت‌های مختلف خطرناک است؟

بله. استفاده مجدد مثل استفاده از رمز عبور تکراری است و خطر نشت اطلاعات را افزایش می‌دهد.