آدرس‌های ایمیل و گذرواژه‌های ۳۰ درصد از مدیرعامل‌های بزرگ‌ترین سازمان‌های دنیا، به‌واسطه‌ یک سرویس آسیب‌دیده به سرقت رفته‌اند.‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

نفوذ در بزرگ‌ترین سازمان‌های جهان
هکرها به ایمیل 30 درصد مدیرعامل‌ها نفوذ کردند

آدرس‌های ایمیل و گذرواژه‌های ۳۰ درصد از مدیرعامل‌های بزرگ‌ترین سازمان‌های دنیا، به‌واسطه‌ یک سرویس آسیب‌دیده به سرقت رفته‌اند.

q236


آدرس‌های ایمیل و گذرواژه‌های ۳۰ درصد از مدیرعامل‌های بزرگ‌ترین سازمان‌های دنیا، به‌واسطه‌ یک سرویس آسیب‌دیده به سرقت رفته‌اند.

q237

با توجه به اینکه کاربران به گذرواژه‌های ساده گرایش دارند و از گذرواژه‌های یکسان در حساب‌های کاربری متفاوت استفاده می‌کنند، می‌شود حدس زد که حداقل برخی از مدیرعامل‌ها در معرض خطر جرایم سایبری یا گروه‌های نفوذ خارجی هستند و ممکن است حساب‌های ایمیل خود را از دست بدهند.

این آمار بر اساس گزارشی است که توسط F-Secure منتشر شده‌است، محققان این شرکت آدرس‌های ایمیل ۲۰۰ نفر از مدیرعامل‌‌های بزرگ‌ترین سازمان‌های دنیا را در برابر یک پایگاه داده‌ از گواهی‌نامه‌های نشت شده بررسی کرده‌اند. این بررسی نشان می‌دهد که رقم ۳۰ درصد برای شرکت‌های فناوری به ۶۳ درصد می‌رسد.

حساب‌های ایمیل برای مجرمان سایبری بسیار باارزش است و اغلب دارای اطلاعات حساس هستند. یک مورد مهم، نفوذ به حساب ایمیل کالین پاول در سال ۲۰۱۶ میلادی بود که تفکرات واقعی او در جریان انتخابات ریاست جمهوری آشکار شد. به عنوان مثال، او در یکی از ایمیل‌ها نوشته بود، هیلاری کیلینتون اگر دروغگو نباشد، یک آدم حیله‌گر است.

محققان نشان دادند که دلیل نفوذ به حساب کاربری پاول این بود که احتمالا او از همان گذرواژه‌ حساب کاربری دراپ‌باکس خود برای گذرواژه‌ حساب کاربری ایمیلش استفاده کرده‌بود، جزییات این نشت اطلاعات چند هفته پیش منتشر شد. اگر مدیر مالی دستورالعمل‌های انتقال را از سوی حساب ایمیل اصلی مدیرعامل دریافت می‌کند، حملات آسیب به ایمیل کسب‌وکار نیز بسیار محتمل است.

شرکت F-Secure متوجه شد که بیشترین سرویس‌های مورد نفوذ آنهایی بودند که مدیرعامل‌های آنها با آدرس‌های ایمیل شرکت با وب‌سایت شبکه‌سازی حرفه‌ای، لینکدین و دراپ‌باکس ارتباط برقرار کرده‌بودند. در مجموع حساب‌ کاربری ۷۱ درصد از مدیرعامل‌ها تحت تاثیر قرار گرفته‌اند، اما فقط آدرس‌های ایمیل و درهم‌سازی‌های گذرواژه‌ها آشکار نشده‌اند.

محققان می‌گویند: «ایمیل‌ها و دیگر اطلاعات مانند آدرس‌های فیزیکی، تاریخ‌های تولد و شمار‌ه‌های تلفن ۸۱ درصد از مدیرعامل‌ها در قالبی از فهرست‌های هرزنامه و پایگاه داده‌های بازاریابی نشت‌شده آشکار شده‌اند.»

فقط ۱۸ درصد از آدرس‌های ایمیل مدیرعامل‌ها با هیچ نشت اطلاعات یا نفوذی مرتبط نیستند. واقعیت این است که حساب‌های ایمیل مدیرعامل‌ها یک هدف باارزش برای مهاجمان است و مدیرعامل‌ها باید دقت ویژه‌ای برای حفاظت از آنها داشته‌باشند. یک رویکرد، استفاده از حساب کاربری خصوصی و شماره تلفن شخصی است تا انجمن شرکت مخفی باشد، اما شرکت F-Secure هشدار می‌دهد که در مراحل بعدی زنجیره‌ انهدام از نظر دفاعی نقاط ضعفی وجود دارد.

ارکا کویوونن، رئیس امنیت اطلاعات F-Secure، می‌گوید: «در صورت استفاده از یک ایمیل خصوصی، یک شماره‌ تلفن شخصی یا یک آدرس خانه برای ثبت‌نام در یک سرویس که مدیرعامل برای انجام کسب‌وکارهای رسمی از آن استفاده می‌کند، مدیرعامل به طور موثری فناوری اطلاعات، ارتباطات، حقوق مالکیت معنوی، مسائل حقوقی و گروه‌های امنیتی شرکت را از حفاظت از گواهی‌نامه‌ها، نظارت بر سوءاستفاده یا تلاش‌ برای آسیب‌رسانی منع می‌کند و بعدها بازیابی این اطلاعات تقریبا غیرممکن می‌شود.»

حرف آخر این است که مدیرعامل‌ها و شرکت‌های آنها نیاز دارند تا با دقت زیادی از گذرواژه‌های حساب‌های ایمیل خود حفاظت کنند. توصیه‌ F-Secure استفاده از گذرواژه‌ خوب شناخته‌شده است. از گذرواژه‌های منحصربه‌فرد، طولانی، نامعقول استفاده کنید که شامل کلماتی نباشد که در فهرست‌های کلمات نفوذگران پیدا می‌شود. برای تولید گذرواژه‌ها از یک مدیر گذرواژه استفاده کنید، اما مراقب مدیران گذرواژه‌ مبتنی‌بر ابر باشید که برای ورود لازم نیست به دستگاه دسترسی داشته‌باشند. از ورود به یک وب‌سایت از طریق شبکه‌های اجتماعی پرهیز کنید، چون اگر اطلاعات یک رسانه‌ اجتماعی آشکار شود، تمام حساب‌های مرتبط نیز افشا می‌شوند. در صورت امکان همیشه از احراز هویت‌های چند مرحله‌ای استفاده کنید، اگر ممکن است از کد عبور پیامکی اجتناب کنید: احراز هویت برون‌خطی یا شناسه‌های مبتنی‌بر سخت‌افزار همیشه ترجیح داده می‌شوند.

کلید، خود گذرواژه است. پژوهشگر ارشد آزمایشگاه F-Secure، گفت: «از رشته‌های گذرواژه‌ تصادفی که تا حد امکان طولانی هستند، معمولا ۳۲ نویسه، استفاده کنید. گذرواژه‌های این چنینی تا زمانی که ارائه‌دهنده‌ سرویس آنها در قالب متن ساده ذخیره نکند، ایمن هستند.»

وی افزود: یک سازمان اطلاعاتی با یک بودجه‌ واقعا زیاد که از نظر تئوری بتواند یک تصادم MD5 پیدا کند، وجود ندارد. اگر ارائه‌دهنده تلاش‌های زیادی برای محافظت از گذرواژه‌ها انجام دهد، حتی این امکان دور نیز می‌تواند محدود شود. رمزگشایی گذرواژه که به‌دست آوردن متن اصلی گذرواژه از یک درهم‌سازی به سرقت رفته‌است با استفاده از محاسبه‌ اجباری که گسترش کلید نیز نامیده‌می‌شود، می‌تواند بسیار کاهش یابد. این بدان معنی است که این سرویس از PBKDF2، اسکریپت، بای‌کریپت یا سایر طرح‌هایی استفاده می‌کند که تایید اعتبار درهم‌سازی گذرواژه را میلیون‌ها بار تکرار می‌کند. در صورتی‌که گذرواژه‌ها مستقیما در برخی فهرست‌های کلمات نباشند، این سرویس به طور موثری رمزگشایی گذرواژه‌ها را میلیون‌ها بار کندتر می‌کند، حتی اگر گذرواژه‌ها نسبتا ساده نیز باشند، رمزگشایی آنها را تقریبا غیرممکن می‌کند.