الثريد دة بقاله فترة فى الدرافتس وجه وقته: مؤخرا بلاقى كذا حد مخضوض وبيسأل عن مباحث الإنترنت عشان اتعمله هاك وحساباته وفلوسه وصوره اتاخدت وبحس إن أغلبهم بنات. فى الثريد دة هقولكو ازاى تحمو نفسكو من الهاكنج بخطوات بسيطة لازم كلنا نعملها. ثريد.
قبل ما نبدأ
- أنا مش خبير فى أمن المعلومات لكن عندى شوية خبرة بحكم شغلى فى مجال السوفتوير.
- الثريد موجه للى مش فى مجال السوفتوير.
- مفيش حاجة هتمنع الهاكنج 100% لكن اللى هنعمله هيخلى الموضوع أصعب بكتير عاللى بيحاول يخترق الحسابات خصوصا لو مش محترف وهم الغالبية.
- أنا مش خبير فى أمن المعلومات لكن عندى شوية خبرة بحكم شغلى فى مجال السوفتوير.
- الثريد موجه للى مش فى مجال السوفتوير.
- مفيش حاجة هتمنع الهاكنج 100% لكن اللى هنعمله هيخلى الموضوع أصعب بكتير عاللى بيحاول يخترق الحسابات خصوصا لو مش محترف وهم الغالبية.
فى 4 حاجات لو عملتوهم هيحموكم من 90% من الهجمات الالكترونية
1- متستعملش نفس الباسورد فى كذا موقع.
2- فعل الTwo factor authentication على كل حساباتك.
3- مفتفتحش حاجة متعرفش مصدرها ومتردش على رسايل.
4- متشيرش معلومات عنك أونلاين زى تاريخ الميلاد ، عنوانك ، بتستعمل بنك إيه... إلخ.
1- متستعملش نفس الباسورد فى كذا موقع.
2- فعل الTwo factor authentication على كل حساباتك.
3- مفتفتحش حاجة متعرفش مصدرها ومتردش على رسايل.
4- متشيرش معلومات عنك أونلاين زى تاريخ الميلاد ، عنوانك ، بتستعمل بنك إيه... إلخ.
متستعملش نفس الباسورد فى كذا موقع: انت دلوقت عندك حساب على فيسبوك وتويتر ولينكد ان ووظف وأوبر وسويفل. مفيش موقع أو تطبيق مش عرضة للهاك وإن كل الداتا اللى جواه تتسرب. دة بيحصل ازاى مش مجال الثريد لكن المهم تبقى عارف إن أى باسورد فى أى موقع أو تطبيق ممكن تتسرب.
إيه اللى بيحصل لما الباسورد تتسرب؟ الهاكرز بياخدو الإيميل والباسورد المتسربين ويروحو يجربوهم فى مواقع تانية. على سبيل المثال لو تويتر اتعمله هاك دلوقت والباسوردات اتسربت الهاكرز هياخدو الإيميل والباسورد ويروحو يجربوهم فى فيسبوك وجوجل والحاجات التانية يمكن يطلعو بداتا اكتر.
لو عايز/عايزة تشوفو المواقع اللى اتهاكت وبياناتكو اتسربت منها الموقع دة بتدخل فيه إيميلك وهو بيدور فى قواعد البيانات اللى اتسربت ويقولك أنهو مواقع بياناتك اتسربت منها وإيه اللى اتسرب.
haveibeenpwned.com
haveibeenpwned.com
عشان تحمى نفسك من المشكلة دى لازم كل موقع وأبليكيشن يبقى ليه باسورد مختلفة ، والباسورد دى تكون قوية (طويلة 16 حرف عالأقل ، فيها حروف وأرقام ، فيها حروف capital و small ورموز زى _@$% الحاجات دى)
ليه الباسورد لازم تبقى قوية؟ لأن الباسورد بتكون متشفرة وحتى لو اتسربت الهاكر مش بيبقى عارف هى كانت إيه. فبيقعد يجرب لحد ما يفك الشفرة ويعرف الباسورد وبعدين يروح يجربها فى مواقع تانية.
لو الباسورد 16 حرف فيها حروف كبيرة وصغيرة وأرقام ورموز دة معناه إن فى عدد خزعبلى من الاحتمالات يفوق اللى أى كمبيوتر يقدر يجربه (رقم قدامه أكتر من 30 صفر). عشان كدة كل ما الباسورد أطول كل ما الأمان يبقى أعلى
طيب أكيد انت مش هتقدر تحفظ باسورد مختلف لكل موقع ويكون 16 حرف وفيه حروف وأرقام وكل الشقلباظات دى. الحل للمشكلة دى إنك تستعمل حاجة اسمها password manager.
الباسورد ماناجر دة موقع/أبليكيشن بتسجل فيه باسورداتك وهو بيشفرها ، وإنت بتحفظ باسورد واحدة بس دى اللى بتدخلك عالباسورد ماناجر وبتفك تشفير الباسوردات اللى جوة. الميزة فى الموضوع دة إنك تقدر تعمل باسورد مختلفة تماما لكل موقع ومش محتاج تحفظ غير باسورد واحدة بتاعة الباسورد ماناجر.
كل ما تعوز تدخل على موقع مثلا انستاجرام هتفتح الباسورد ماناجر وتدخل الباسورد بتاعتك يقوم هو فاكك التشغير بتاع الباسورد بتاعة انستاجرام تاخدها كوبى وتدخلها على انستاجرام.
فى باسورد ماناجرز كتير بعضها مجانى وبعضها بفلوس ، دى ليستة فيها شوية منهم cnet.com
طيب نفترض إنك عملت كل دة وفى الآخر الهاكر عرف برضو يوصل للباسورد بتاعتك؟ دة ياخدنا للنقطة التانية وهى إنك لازم تفعل الtwo factor authentication (2FA) على حساباتك
ال2FA ببساطة إنك بتخلى تسجيل تجيل الدخول مش بس بكلمة السر لأ بحاجة زيادة زى مثلا كود يتبعت عالموبايل. الموضوع بسيط هتخش عالسيتنج بتاع أى تطبيق وتقولو activate two factor authentication هيسألك عايز تعمله ازاى؟ أسهل طريقة إنك تخليه يبعتلك رسالة فيها كود عالموبايل.
كدة انت زودت طبقة كمان من الحماية لأن اللى عايز يدخل على حسابك محتاج يبقى معاه الباسورد + الموبايل عشان يعرف يدخل الكود اللى الموقع بعتهولك.
فى طرق تانية للtwo factor authentication غير الSMS فبدل ما الكود يجيلك رسالة يجيلك على تطبيق عالموبايل. دة أأمن وبينفع لو فى حتة مافهاش شبكة. وانت بتفعل ال2FA تقدر تختار عايز SMS ولا تستخدم أبليكيشن على حسب التطبيق بيدعم إيه. انستاجرام مثلا بيدعم الاتنين.
نيجى بقى لتالت نقطة ، عمر ما حد من فيسبوك أو البنك هيكلمك يقولك ادينى الكود اللى جالك عالموبايل أو إلحق حسابك هيتسرق لو معملتش الخطوات دى. دة غالبا حد بيحاول يعمل ريسيت باسورد لحسابك ومحتاج الكود عشان يغير الباسورد. متديلوش حاجة واقفل فى وشه.
إوعى تدى بياناتك عالتليفون. حتى لو اضطريت تعمل كدة ماتعملش دة مع رقم اتصل بيك ، كلم انت رقم خدمة العملا بتاع البنك/المكان وقولهم فى حد اتصل بيا واسألهم هل فعلا فى مشكلة فى حسابك ولا لأ.
نفس الشئ ينطبق عاللينكات ، لو مثلا جالك رسالة شكلها يبدو كأنها من البنك أو انستاجرام أو أى موقع وبتدعى إن حسابك بيتسرق وطلب منك تغير الباسورد ، نادرا ما دة هيحصل وحتى لو حصل ماتدوسش عاللينك اللى فى الرسالة/الإيميل.
ليه؟ عادة اللينك اللى الهاكرز باعتينه بيوديك على موقع شبه انستاجرام/البنك بالظبط وانت مابتاخدش بالك وبيطلب منك تدخل الباسورد الحالية عشان تغيرها تقوم انت بكل سذاجة مدخلها ومدي الهاكر الباسورد بتاعتك. التكنيك دة اسمه phishing لو حد عايز يقرا عنه وهو من أكثر التكنيكز سذاجة وفعالية.
عشان كدة حتى لو شاكك إن اتعملك هاك أو جاتلك رسالة بكدة شوف هل فى حاجة الأخبار اتكلمت عن إن الموقع دة حصل له هاك؟ ولو قلقان أوى وعايز تغير الباسورد خش عالموقع بنفسك مش من اللينك اللى فى الرسالة.
نيجى بقى للنقطة الرابعة والأخيرة: متشيرش معلومات عن نفسك مالهاش لازمة أونلاين. كل معلومة زيادة بتتعرف عنك بتسهل عالهاكر إنه يأكسس حساباتك.
مرة مثلا شوفت حد مشير سكرينشوت لmemory طالعالها عالموبايل ، المشكلة إن كان فى widget من maps طالعة فى السكرينشوت وفيها عنوان البيت. مرة تانية شوفت واحدة مشيرة وصل حاجة دفعتها والوصل فيه آخر 4 أرقام من الكريديت كارد. متشيرش تاريخ الميلاد .. رقم الأوردر .. بتستعمل بنك إيه..إلخ
ليه منشيرش معلومات زى دى؟ لأن ببساطة لو فى هاكر مستهدفك ممكن يوصل لبياناتك عن طريق مثلا إنه يكلم خدمة العملا بتاعة البنك/الموقع اللى بتستعمله وينتحل شخصيتك ، وهيعرف يأكد بياناتك لأنه معاه المعلومات اللى محتاجها.
من الحاجات اللى مثلا بتجننى فى مصر لما بكلم مطعم وبقوله الأوردر على رقم تانى ، كتير من الagents أول ما أديله الرقم يقوم قايلى الأوردر على عنوان 20 شارع..... دة معناه إنى لو معايا رقم تليفون حد ممكن أجرب عشوائى أكلم كذا مطعم وأعمل نفسى هأوردر على رقمه على أمل إن حد يدينى عنوانه.
كدة بقى معايا رقم الشخص وعنوانه وغالبا إسمه بالكامل ولو حبيت مثلا أنتحل شخصيته فى خدمة تانية ممكن أكلم خدمة عملائها بكل ثقة ومش هيعرفو إنى مش هو.
متشيروش حاجة أونلاين مالهاش لازمة. ولو مثلا اللى بيحاول يهاكك كان حد مرتبط بيكى مثلا ومعاه معلومات زى العنوان الخطوات اللى عملناها فى 1 و 2 و 3 هيصعبو الدنيا حبتين.
بس كدة. لا تكتفى بقرائة الثريد عزيزى وعزيزتى. خش فعل الtwo factor authentication على حساباتك ونزل باسورد ماناجر. قاعد بتعمل إيه؟
جدير بالذكر: توقعى إن البنك محصلوش هاك ولا حاجة ، دة غالبا حد نصاب معاه رقم العميل بيحاول يغير الباسورد بتاعة العملا وبيبقى محتاج الكود اللى بيجي عالموبايل فبيتصل بالعميل ويعمل نفسه البنك. ومجرد إنه عمل reset بيعرف يحول فلوس لنفسه.
كذا حد سأل السؤال المهم دة: طب يحصل إيه لو الباسورد ماناجر اتهاك واتسربت الباسوردات بتاعتى؟
- أولا صعب جدا فك تشفير الباسورد ماناجر من غير الباسورد اللى انت حافظها.
- بما إن كل باسورد قوية ومختلفة بما فيهم اللى انت حافظها فالهاكر عشان يفك كل واحدة قدامه سنين تكون لحقت تغيرهم كلهم
- أولا صعب جدا فك تشفير الباسورد ماناجر من غير الباسورد اللى انت حافظها.
- بما إن كل باسورد قوية ومختلفة بما فيهم اللى انت حافظها فالهاكر عشان يفك كل واحدة قدامه سنين تكون لحقت تغيرهم كلهم
جاري تحميل الاقتراحات...