دریافت رمز پویا (رمز یکبارمصرف)

هک حساب بانکی با شماره تلفن

هک حساب بانکی با شماره تلفن

آیا فقط با داشتن شماره تلفن و کمی دانش در باره  چیزی به نام “مهندسی اجتماعی” که در آن  یک هکر حرفه ای نمی خواهد و به دانش فنی زیادی  نیاز نداردامکان هک کردن حساب بانکی وجود دارد؟ این شماره تلفن به تنهایی برای هک کردن کافی نیست اما فقط برای متقاعد کردن نماینده خدمات مشتری که شما هستید، هکر می تواند به همه موارد فوق نفوذ کند. این روشی است برای هک حساب ها و بیشترو آنها دقیقاً همین کار را می‌کردند، دزدی پول، باج‌گیری از افراد با اطلاعات حساس، تسلط بر رسانه‌های اجتماعی و شرمسار کردن اهداف آنها، یا دسترسی به اسناد خصوصی مانند اظهارنامه مالیاتی و شماره پاسپورت.این کار با دریافت برخی اطلاعات به آسانی در مورد شما مانند آدرس، شماره، تاریخ تولد یا چهار شماره آخر شماره تامین اجتماعی شما و ارائه ترکیبی از آنها و یک داستان قابل قبول به یک نماینده خدمات مشتریان مخابراتی شروع می شود که سپس آنها را به حساب شما در جایی که می توانند وارد کنند. سپس شماره تلفن خود را به تلفن آنها ارسال کنید یا به اپراتور دیگر و دستگاه هکر منتقل کنید.سپس رباینده تلفن به سادگی به جیمیل یا حساب بانکی آنلاین شما می رود، سعی می کند تا زمانی که شما وارد سیستم شوید، اما روی “رمز عبور را فراموش کرده اید” کلیک می کند و رمز عبور را با ارسال یک کد به شماره تلفن شما بازنشانی می کند، که اکنون همه را هدایت می کند. پیام های آن به دستگاه آنها سپس آنها در حساب شما هستند  .

 علاوه بر این، طیف گسترده ای از شرکت ها از موسسات مالی گرفته تا ارائه دهندگان ایمیل از این روش امنیتی رمز عبور به متن استفاده می کنند که دارای نقاط ضعف شناخته شده است. احراز هویت دو مرحله ای از طریق پیامک نامیده می شود، به یک رمز عبور نیاز دارد، که در تئوری احراز هویت یک عامل است – چیزی که شما می دانید – و کدی را از طریق پیام متنی برای شما ارسال می کند، در حالی که تلفن عامل دوم است – چیزی که شما دارید. کد را وارد کرده و به حساب کاربری خود دسترسی پیدا می کنید.اما هنگامی که برای بازیابی رمز عبور و تنظیم مجدد استفاده می شود، حتی نیازی به وارد کردن اولین فاکتور برای ارسال کدها برای آنها نیست. تنها با یک فاکتور (کد)، آنها یک رمز عبور جدید برای خود ایجاد می کنند و اکنون می توانند هر کاری که دوست دارند با حساب شما انجام دهند.

 این واقعیت که از شماره تلفن شما برای امنیت استفاده می‌شود، اما مخابرات از آنها محافظت نمی‌کند، فرصت مناسبی را برای هکرها ایجاد کرده است که تاکنون میلیون‌ها دلار ارز رمزنگاری شده را جبران کرده‌اند. اما آنها می توانند به همین راحتی این جنایات را علیه هر کسی که با تلفن همراه از هر یک از خدمات فوق استفاده می کند، مرتکب شوند.

چگونه از ربوده شدن شماره تلفن خود جلوگیری کنیم

1. یک رمز عبور در حساب وارد کنید.

این مطلب مهم  اساسی ترین احتیاط است. با این حال، همانطور که چندین قربانی هواپیماربایی کشف کردند، اگر هکر یک نماینده خدمات مشتری را پیدا کند که فراموش کرده است آن را بپرسد یا اجازه دهد اطلاعات دیگری مانند آدرس و چهار مورد آخر شبکه اجتماعی شما کافی باشد، در هر صورت شماره شما می تواند ربوده شود. بنابراین، یک رمز عبور به حساب خود اضافه کنید، اما پس از آن راحت نباشید. این کمک می کند، اما اگر هکر با یک نماینده خدمات مشتری ناخواسته صحبت کرد، بازی را تمام کنید.

  1. از یک آدرس ایمیل مخصوص شرکت مخابراتی برای دسترسی به آن حساب استفاده کنید.

تا به حال، به احتمال زیاد، شماره تلفن و آدرس ایمیل شما دروازه ورود به سایر حساب های شما بوده است. شما باید همین الان آن را متوقف کنید. اگر چندین مرحله از مراحلی را که در این داستان توضیح دادم دنبال کنید (مگر اینکه با Google Voice بروید)، حداقل سه آدرس ایمیل خواهید داشت: آدرس ایمیل اصلی فعلی، یکی فقط برای شرکت مخابراتی تلفن همراه و دیگری که استفاده می‌کنید. برای سایر حساب های حساس مانند بانکداری آنلاین یا فیس بوک یا دراپ باکس. به این ترتیب اگر آدرس ایمیل اصلی شما به خطر بیفتد، نمی توان از آن برای سرقت شماره تلفن شما استفاده کرد (و بالعکس). و اگر شماره تلفن شما به نوعی به خطر بیفتد، ایمیل شما یا هیچ یک از حساب های حساس دیگر را به خطر نمی اندازد.

با این حال، اگر هر یک از این حساب‌های غیرتلفنی/ایمیلی سطح تهدید بالاتری داشته باشد (یکی از قربانیان جستجوی هکرهای خود را در پوشه‌های Dropbox خود برای یافتن فایل‌های حاوی نام مدیرانی که حساب‌های بانکی شرکت سابقش را مدیریت می‌کردند، مشاهده کرد)، پس شما احتمالاً می خواهید یک حساب جداگانه برای آن نیز ایجاد کنید تا اگر آدرس ایمیلی که برای چندین حساب حساس استفاده می کنید نقض شود، آن یکی نیز به همین شکل نباشد.

اگر شماره اصلی خود را به Google Voice منتقل می‌کنید، همچنان باید آدرس ایمیل اصلی خود را از آدرس ایمیلی که برای سایر حساب‌های حساس خود استفاده می‌کنید جدا کنید، بنابراین اگر حساب ایمیل اصلی شما به خطر بیفتد، هکرها نتوانند وارد حساب‌های دیگر شما شوند.

هک حساب بانکی با شماره تلفن

3. دسترسی آنلاین به حساب بی سیم خود را غیرفعال کنید.

بله، این آزاردهنده است، زیرا اکنون باید به فروشگاه بروید یا برای ایجاد تغییرات تماس بگیرید، اما این یک راه کمتر است که یک هکر می تواند حساب شما را هک کند.

  1. به شرکت مخابراتی خود بگویید که می‌خواهید بخواهد تغییرات در حساب شما را فقط شخصاً با شناسه عکس انجام دهد.

به هر حال، یک هکر همچنان می تواند وانمود کند که شما هستید، همانطور که تکنسین ارشد کمیسیون تجارت فدرال متوجه شد زمانی که شخصی با شناسه جعلی با استفاده از نام او و عکس هکر شماره او را ربوده است. اما، همچنان، این یک مانع دیگر برای هواپیماربایان احتمالی است.

  1.  Google Voice را امتحان کنید.

در حال حاضر، به نظر می رسد که حداقل طبق گفته کمیسیون ارتباطات فدرال، نمی توانید شماره خود را در سایر اپراتورها مسدود کنید. (شرکت های مخابراتی بزرگ و سایر سازمان های صنعتی مصاحبه را رد کردند.)تنها سرویسی که می‌دانم «تجمع پورت» را فعال می‌کند Google Voice است.

اگر مشکل تغییر شماره تلفن را نمی‌خواهید، می‌توانید شماره موجود خود را (مثلاً چهار رقم آخر 1234 باشد) به Google Voice ارسال کنید تا تماس‌ها و پیامک‌ها را در آنجا دریافت کنید. سپس باید برای یک خط جدید با شرکت مخابراتی خود برای خدمات ثبت نام کنید، اما می توانید تماس ها و پیامک های خروجی خود را به گونه ای پنهان کنید که به نظر می رسد از شماره 1234 می آیند. فقط مطمئن شوید که هرگز از شماره تلفن واقعی موجود در حساب بی سیم خود استفاده نکنید و فقط شماره 1234 را با Google Voice ارائه نکنید.

اگر مشترک Google Fi هستید و می‌خواهید به شرکت مخابراتی دیگری پورت کنید، این سرویس از شما می‌خواهد که ابتدا به آن اطلاع دهید، که سپس یک شماره حساب و رمز عبور “پورت خارج” را به شما می‌دهد تا به شرکت مخابراتی جدید خود ارائه دهید. (مطمئن نیستم چه اتفاقی می‌افتد اگر هواپیماربای تلاش کند آن را منتقل کند، زیرا انتقال‌ها معمولاً در شرکت مخابراتی جدید آغاز می‌شوند، اما با Google تماس گرفته‌اند و وقتی متوجه شدم به‌روزرسانی می‌شود.)

چگونه از تمام حساب های آنلاین خود محافظت کنیم

1. رمز عبور “آنتروپی بالا” ایجاد کنید.

از یک مدیر رمز عبور استفاده کنید که رمزهای عبور طولانی و تصادفی مانند LastPass را برای شما ایجاد می کند، یا مجموعه ای از قوانین برای خود ایجاد کنید که به شما امکان می دهد رمزهای عبور تصادفی خود را ایجاد کنید.

برت مک داول، مدیر اجرایی اتحاد FIDO (Fast Identity Online)، گروهی متشکل از 250 شرکت در سرتاسر جهان که بر روی استانداردهای صنعتی برای احراز هویت قوی‌تر کار می‌کنند، می‌گوید: «بیشتر مردم فکر می‌کنند «یک رمز عبور قوی داشته باشید» به این معنی است که رمز عبوری را انتخاب کنید که مردم بتوانند. قبل از اینکه از سیستم خارج شوید، در هفت یا هشت تلاش حدس بزنید. نه نه نه. این تنها دلیل نیست.» اگر پایگاه داده شرکت هک شود (که باید انتظار داشته باشید)، حتی اگر رمزهای عبور موجود در آن رمزگذاری شده باشند، هکر تلاش های نامحدودی برای شکستن رمز عبور شما خواهد داشت. مک داول می‌گوید: «فرآیند رمزگذاری که استفاده می‌شود، اگر رمز عبور اصلی آنتروپی بالاتری داشته باشد، سخت‌تر است.

یک ترفند برای انجام این کار، اگر از مدیر رمز عبور استفاده نمی کنید، ایجاد یک رمز عبور با آنتروپی بالا از اعداد تصادفی، حروف بزرگ و کوچک و کاراکترهای خاص است. اینو حفظ کن سپس قانونی را ایجاد کنید که برای هر وب سایتی که استفاده می کنید یک رمز عبور منحصر به فرد ایجاد می کند.

به عنوان مثال، اگر در حال ایجاد یک رمز عبور جدید برای United.com هستید، شاید قانون شما این باشد که تمام حروف صدادار را بردارید و سپس صامت ها را بردارید اما همه آنها را به دو حرف بعدی در الفبا تغییر دهید. بنابراین اگر رمز عبور gobbledygook شما 1A@0z# است (واقعاً باید طولانی‌تر باشد)، پس WPVF (همه دو حرف بعد از حروف الفبا نسبت به UNTD) را به وسط آن اضافه کنید، بنابراین رمز عبور شما اکنون 1A@WPVF0z# است.

اگر همین قانون را برای shopbop.com اعمال کنیم، آنگاه به 1A@UJRDR0z# تبدیل می‌شود (با حروف میانی که هر دو حرف در الفبا از SHPBP دیرتر هستند). اما از قاعده‌ای که من در اینجا توضیح دادم استفاده نکنید .

2. به سؤالات امنیتی در همه سایت ها به طور صادقانه یا یکسان پاسخ ندهید.

وقتی هکرها پایگاه داده یک شرکت را می گیرند، فقط رمز عبور را دریافت نمی کنند. آنها همچنین پاسخ سوالات امنیتی را دریافت می کنند. به علاوه، همانطور که کریس هادنگی، هکر انسانی ارشد Social-Engineer، در مقاله من در مورد ربودن تلفن اشاره کرد، آنها حتی برای به دست آوردن این اطلاعات نیازی به هک کردن چیزی ندارند. احتمالاً خودتان خیلی از آن را در شبکه های اجتماعی منتشر کرده اید.

با این حال، اگر پاسخ‌های شما از سایتی به سایت دیگر کمی متفاوت باشد، دسترسی هکر به هر سایت دیگری را سخت‌تر می‌کند. برای ایجاد پاسخ های منحصر به فرد برای هر سایت می توانید از قانون مشابهی با ایمیل استفاده کنید.

  1. شماره تلفن اصلی خود را که از طریق مراحل بالا محافظت کرده اید (مگر اینکه توسط Google Voice مدیریت شده باشد) را به حساب های حساس متصل نکنید.

اگر شماره اصلی خود را به Google Voice منتقل کرده اید و آن حساب ایمیل را ایمن کرده اید، احتمالاً این کار ضروری نیست زیرا شماره شما از ربوده شدن کاملاً ایمن است. با این حال، اگر شماره اصلی شما هنوز در تلفن است و توسط Google Voice مدیریت نمی‌شود، می‌خواهید شماره تلفن خود را به طور کامل از همه حساب‌های حساس جدا کنید.

یک حساب ایمیل جدید جیمیل ایجاد کنید. آن را به هیچ یک از حساب های ایمیل موجود خود وصل نکنید. (هنگام ثبت نام برای جیمیل جدید، نیازی به وارد کردن شماره تلفن یا ایمیل فعلی ندارید، اگرچه فیلدهایی برای انجام این کار وجود دارد. آنها را خالی بگذارید.) هنگامی که جزیره جدید را به تنهایی ایجاد کردید. آدرس ایمیل، یک شماره Google Voice جدید ایجاد کنید. من حتی یک کد منطقه تصادفی را انتخاب می کنم.

این حساب ایمیل را با یک رمز عبور طولانی و با آنتروپی بالا و یکی از دو روش ذکر شده در زیر ایمن کنید – یک تولید کننده رمز عبور یکبار مصرف مانند Google Authenticator یا یک کلید امنیتی FIDO.

سپس، این شماره تلفن را برای هر یک از بانک های آنلاین خود یا هر حساب حساس دیگری مانند فیس بوک، توییتر، دراپ باکس، Evernote، Slack و غیره وارد کنید، که یک شماره تلفن را برای 2FA از طریق پیامک یا بازیابی رمز عبور وارد کنید.

به این ترتیب، اگر شماره تلفن معمولی شما ربوده شود، هکر نمی تواند به هیچ یک از این حساب ها وارد شود و رمز عبور را بازنشانی کند. اما شما باید آن آدرس ایمیل را ایمن کنید – در غیر این صورت، آن شماره Google Voice ممکن است به خطر بیفتد، و سپس کل موضوع این فرآیند ناممکن می شود.

  1. از مولدهای رمز عبور یک بار مصرف استفاده کنید.

گذرواژه‌ها را می‌توان به راحتی از طریق حملات فیشینگ به سرقت برد که در آن هکر به عنوان یک سرویس قانونی معرفی می‌شود و از کاربر می‌خواهد رمز عبور خود را در وب‌سایتی که شبیه به وب‌سایت آن شرکت طراحی شده است یا از طریق ثبت‌کننده‌های کلیدی وارد کند، که در آن هدف ناخواسته متقاعد می‌شود که بدافزار را دانلود کند. بر روی رایانه آنها که سپس هر ضربه کلید را ضبط می کند و رمزهای عبور را در اختیار هکر قرار می دهد.

به همین دلیل، تولیدکنندگان گذرواژه یکبار مصرف (TOTP) مبتنی بر زمان مانند Google Authenticator، که در آن دستگاهی با برنامه دارید که کدهای جدیدی را هر 30، 60 یا 90 ثانیه تولید می‌کند، می‌تواند عامل دوم قوی دیگری باشد. تنها راهی که می توانید کد موقت صحیح را وارد کنید این است که دستگاهی را داشته باشید که آن را ایجاد کرده است. بسیاری از سرویس ها از جمله گوگل، فیس بوک، توییتر، دراپ باکس، Evernote و غیره این گزینه را برای امنیت علاوه بر رمز عبور و به عنوان انتخاب ایمن تر از 2FA از طریق پیامک ارائه می دهند.

  1. از یک کلید امنیتی استفاده کنید.

این دستگاه ها که نسبتاً ارزان هستند، بر اساس پروتکل استاندارد صنعتی جدید FIDO به نام جهانی دوم فاکتور یا U2F کار می کنند. باز هم، با اولین عامل – رمز عبور شما (آنچه می دانید) شروع می شود. عامل دوم عامل آنچه شما دارید است: یک دستگاه کلید امنیتی فیزیکی مانند Yubikey. برخی از این دستگاه‌ها USB هستند که در یک پورت USB قرار می‌گیرند و برخی دیگر دارای بلوتوث یا NFC هستند، بنابراین شما به سادگی آن را نزدیک صفحه ورود نگه دارید.

چنین دستگاهی از چیزی به نام رمزنگاری کلید عمومی استفاده می کند که در آن کلید عمومی و کلید خصوصی متفاوت است. کلید خصوصی روی دستگاه شما است و هرگز به سرور نمی رود. همیشه در دستگاه شما باقی می ماند، اما زمانی که می خواهید وارد شوید، سرور چالشی را برای دستگاه ارسال می کند که به نوبه خود کاربر را به چالش می کشد. شما به سادگی باید آن را لمس کنید تا سرویس متوجه شود که یک انسان در آن حضور دارد و نه یک ربات که سعی در حمله به حساب دارد، و همان هدفی را که آزمایشات CAPTCHA به صورت آنلاین انجام می دهد، انجام می دهد.

مک داول می گوید: «در مقابل مهندسی اجتماعی آسیب پذیر نیست، هرگز راز را فاش نمی کند. شما نه تنها کلید خصوصی را تحویل نمی‌دهید، بلکه بدافزار نمی‌تواند کلید خصوصی را از دستگاه خارج کند، بنابراین با احراز هویت FIDO با این کلیدهای امنیتی، برای به خطر انداختن احراز هویت شما باید به صورت فیزیکی دستگاه کلید امنیتی شما را سرقت کنم. اعتبار – من نمی توانم این کار را از راه دور انجام دهم. من نمی‌توانم شما را فریب دهم که این کار را برای من انجام دهید، نمی‌توانم شما را فریب دهم تا من را وارد حساب خود کنید.»

  1. از دستگاهی استفاده کنید که از احراز هویت بیومتریک استفاده می کند.

روش رمزنگاری کلید عمومی همچنین می‌تواند برای تجربه‌ای بدون رمز عبور طراحی شود، با آنچه استاندارد FIDO UAF (چارچوب احراز هویت جهانی) نامیده می‌شود، تنظیم شود، که به چندین فاکتور احراز هویت نیاز دارد، معمولاً چیزی که شما دارید (دستگاهی با کلید خصوصی) و یک عامل احراز هویت چه چیزی مانند اثر انگشت یا عنبیه یا اسکن صدا از طریق حسگرهای بیومتریک.

با این حال، این نیازی به قرار دادن کلید خصوصی در دستگاه جداگانه ای مانند Yubikey ندارد. فاکتور چیزی که دارید، خود رایانه یا تبلت یا تلفن همراه شما است، بنابراین وقتی وارد سیستم می‌شوید، به نظر می‌رسد که تنها یک حرکت لازم است – کشیدن اثر انگشت یا نگاه کردن به دوربین.

تعدادی از دستگاه‌های موجود در بازار اکنون از این روش FIDO UAF استفاده می‌کنند، از جمله Samsung Galaxy S6 و S7، S6 و S7 Edge، Note 5 و Note Edge، و همچنین برخی از دستگاه‌های Sony، Sharp، LG Fujitsu و غیره. و اگرچه FIDO در دستگاه های اپل تعبیه نشده است، TouchID برای برنامه های شخص ثالث باز است، بنابراین برنامه های iOS می توانند از احراز هویت FIDO استفاده کنند. به عنوان مثال، بانک آمریکا FIDO را در دستگاه های اپل و اندروید ارائه می دهد.

توجه کنید ممکن است از نظر شما  این مراحل زمان‌بر به نظر برسند، اما می‌توانند در عرض چند روز انجام شوند و می‌توانند از دردسر، و ضررهای احتمالی ناشی از ربوده شدن تلفن، به خطر افتادن حساب ایمیل یا حساب‌های مالی و سایر موارد حساس شما را نجات دهند.

توجه: نرم افزارهای SPY24 نرم افزارهای خوبی برای کنترل تماسهای فرزندانتان است تا افراد غریبه با توسط به ابزار مهندسی اجتماعی اطلاعات شما را به هکر ها لو ندهند ضمن اینکه این نرم افزارها کاربردهای وسیع دیگری در حوزه کنترل کودکان شما دارد که از رفت و آمد ممیزان استفاده از بازیهای رایانه ای و نوع و هویت تماسهای آنان شما را آگاه می سازد.

برنامه SPY24 :

که اولین مورد از قوانین سایت و مهمترین آن مقابله با هک میباشد و هر گونه سو استفاده و استفاده نادرست از آموزش ها و برنامه های وبسایت SPY24 بر عهده کاربر می باشد.

سامانه مراقبت از خانواده (SPY24) نام یک نرم افزار موبایل با نصب و فعال‌سازی بسیار ساده می باشد که به والدین امکان کنترل و مدیریت فعالیت فرزندان در شبکه های مجازی موبایلی را می دهد.

در زیر می توانید برخی از امکانات برنامه SPY24 را مشاهده نمایید:

  • نظارت بر تماس ها و پیامک ها به همراه تاریخ و زمان
  • گزارش پیام های تلگرام ، اینستاگرام ، واتس اپ و…
  • موقعیت لحظه مستمر و مسیر های پیموده شده
  • وب سایت های بازدید شده و برنامه های اجرا شده
  • با قابلیت پنهان سازی ۱۰۰ درصد برنامه و مدیرت راه دور
  • امکان مسدود سازی وب سایت ها، برنامه ها و مخاطبین از راه دور

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا