چطور حملات هکرها و کلاهبرداران اینترنتی را متوجه بشویم؟

بسیاری از آسیب پذیری های کامپیوتر می تواند از طریق راه های مختلفی مورد استفاده و بهره برداری دیگران قرار گیرد. حملات هکرها ممکن است یک سواستفاده خاص، چندین سواستفاده در یک زمان مشابه و یکسان یا پیکربندی اشتباه در یکی از اجزای سیستم باشد.

به همین خاطر، دیدن و متوجه شدن حملات هکرها کار آسانی نمی باشد بخصوص برای کاربرانی که نسبت به این موارد بی تجربه هستند. این مقاله چند دستورالعمل اساسی برای کمک به متوجه شدن و فهمیدن این موارد به شما ارائه خوهد کرد که اگر سیستم شما در معرض خطرات و حملات هکرها قرار دارد یا امنیت سیستم شما به خطر افتاده است از این راهکارها استفاده کنید. به خاطر داشته باشید هیچ ضمانت صد در صدی برای دیدن حملات هکرها وجود ندارد. اگرچه این شانس برای شما وجود دارد که اگر سیستم شما مورد حمله قرار گرفت یک یا چند مورد از رفتارهای زیر را مشاهده کنید.

دستگاه های با سیستم عامل ویندوز:

  • نحوه اتصال رایانه به اینترنت و ترافیک شبکه محل ظن و گمان است. اگر شما با Dial-up یا ADSL به اینترنت وصل می شوید و متوجه خروج حجم غیر منتظره و بالای اطلاعات از رایانه خود می شوید ( به ویژه زمانیکه سیستم شما خاموش است یا زمانی که لزوما اطلاعاتی را آپلود نمی کنید) پس ممکن است سیستم شما به خطر افتاده باشد. رایانه شما ممکن است مورد استفاده قرار گرفته باشد که این استفاده ممکن است به شکل فرستادن فایل های هرز و ویروس (Spam) یا به وسیله ویروس های اینترنتی (Worm) که با تکثیر و انتشار آن ها انجام می شود. در مورد اتصال سیستم به اینترنت با کابل این اتفاق کمتر پیش خواهد آمد در این موارد معمولا ترافیک ورود و خروج اطلاعات از سیستم یکسان است حتی در زمانیکه کارهایی بیشتر از معمول انجام می دهید یا در هنگام دانلود کردن اطلاعات از اینترنت این برابری در ورود و خروج دیتا از سیستم قابل مشاهده است.
  • افزایش فعالیت هارد یا دیدن فایل های مشکوک در درایوها و پوشه های اصلی. پس از هک کردن یک سیستم، بساری از هکرها جستجوی گسترده ای را در بین تمام فایل های جالب ، شامل پسورد ، صفحات ورود به بانک ها یا اکانت پرداخت های اینترنتی مانند سایت پی پال انجام می دهند. به طور مشابه، بسیاری از ویروس های اینترنتی پوشه هایی که شامل آدرس ایمیل ها هستند را جستجو می کنند تا برای پخش شدن از آن ها استفاده کنند. اگر شما متوجه فعالیت زیاد و اصلی هارد حتی در هنگام عدم استفاده از سیستم شدید که این فعالیت با تشکیل شدن یک پوشه با نام مشکوک در یک مکان غیر عادی و غیر معمول همراه بود ممکن است نشانه ای از هک شدن سیستم شما با یک ویروس مخرب باشد!
  • تعداد زیادی از بسته های کوچک که از یک آدرس یکسان می آیند توسط فایروال شخصی سیستم شما متوقف می شوند. پس از تعیین مکان هدف مورد نظر ( به عنون مثال تمام IP های یک شرکتی) هکرها و کلاهبرداران ایترنتی تمام تلاش خود را برای سوء استفاده های مختلف از اطلاعات مکان مورد نظر بکار می برند که بتوانند به آن سیستم داخل شوند. اگر شما فایروال شخصی خود را اجرا کنید (منظور اجرا کردن بخش های اصلی و اساسی جهت محافظت سیستم در مقابل حمله هکرها می باشد) و متوجه ورود تعداد قابل توجه و غیرعادی از بسته های کوچکی شدید که همه از یک آدرس آمده باشند می تواند نشانه بسیار خوبی از این باشدکه سیستم شما در معرض خطر و حمله هکرها و کلاهبرداران اینترنتی قرار گرفته است. این خبر خیلی خوبی برای شما ست که اگر فایروال شخصی شما این حملات سایبری را به شما گزارش می دهد، سیستم شما تقریبا در امنیت به سر می برد. با این حال، بسته به اینکه چه مقدار سیستم شما و برنامه های آن در معرض اینترنت بوده و شما چقدر از خدمات اینترنتی استفاده کرده اید، فایروال شخصی شما ممکن است در محافظت از سیستم در مقابل خطرات و حمله های سایبری برنامه هایی که در سیستم در حال اجراست به طور کامل موفق نباشد. در چنین شرایطی، راه حل برای دوری از این مشکل این است که IP مخرب را به طور موقت مسدود کنید تا زمانیکه تلاش های هکر برای اتصال به کامپیوتر شما متوقف شود. بسیاری از فایروال های شخصی با چنین ویژگی های ساخته شده اند.
  • آنتی ویروس سیستم شما به طور ناگهانی شروع به دادن گزارش هایی مبنی بر ورود ویروس و تروجان به سیستم شما می کند در صورتیکه شما کاری به غیر از کارهای روزمره خودتان را انجام نمی دهید. اگرچه حملات هکرها و کلاهبردارن اینترنتی می تواند پیچیده و کاملا خلاقانه باشد، اما بسیاری از آن ها به این ویروس ها و تروجان های شناخته شده برای دسترسی کامل به سیستم ها تکیه می کنند. اگر آنتی ویروس شما گزارشی حاکی از ورود ویروس ها و بدافزارها به سیستم شما را اطلاع داد می تواند نشانه ای از کنترل سیستم شما توسط شخصی دیگر از بیرون باشد.

دستگاه هایی با سیستم عامل یونیکس

  • وجود فایل هایی در پوشه /tmp که نام مشکوکی نیز دارند. بسیاری از سوء استفاده ها در دنیای دستگاه های با سیستم عامل یونیکس وابسته به ایجاد فایل های موقتی در پوشه استاندارد /tmp می باشد که همیشه بعد از اینکه سیسستمی مورد حمله سایبری هکرها قرار گرفت نمی توان آن را پاک کرد. همین موضوع در مورد ویروس های شناخته شده برای آسیب زدن به سیستم های یونیکس هم صادق است. آن ها در پوشه /tmp مجددا جمع می شوند و به عنوان فایل خانه (home) مورد استفاده قرار می گیرند.
  • کدهای باینری اصلاح شده مانند ‘login’, ‘telnet’, ‘ftp’, ‘finger’ یا پیچیده تر و مشکل تر آن ها مانند ‘sshd’, ‘ftpd’ و کدهایی مانند این ها. پس از شکستن قفل های امنیتی و وارد شدن به سیستم، هکرها معمولا برای دست یابی به سیستم با وارد کردن انواع ویروس ها به کدهایی که مستقیما به اینترنت وصل خواهند شد اقدام خواهند کرد حتی برای اصلاح کردن آن ها و وارد کردن ویروس به قسمت های استاندارد که برای اتصال به اینترنت به آنها نیاز است نیز بسیار تلاش خواهد کرد. کدهای باینری اصلاح شده معمولا قسمتی از یک روتکیت (rootkit) هستند و به طور کلی در مقابل بازرسی های ساده و مستقیم ‘stealthed’ هستند. در تمام موارد این یک پیشنهاد و ایده ای خوب برای حفظ و نگهداری از اطلاعات هر سیستم کاربردی می باشد که به طور دوره ای و معین و به طور آفلاین به آن ها رسیدگی شود البته در حالت تک کاربره.
  • اصلاح کردن فایل های سیستم در بخش /etc مانند /etc/passwd و /etc/shadow. گاهی اوقات هکرها و کلاهبرداران اینترنتی یک کاربر جدید در بخش /etc/passwd ایجاد می کند که به آن ها این امکان را می دهد که از راه دور به اطلاعات قبلی شما دسترسی پیدا کنند و وارد آن قسمت ها شوند. هر نام کاربری مشکوک در قسمت پسوردها را جستجو کنید و تمام قسمت های اضافی آن را به خوبی ببینید به خصوص در مورد سیستم های چند کاربره.

سرویس های خدماتی مشکوک معمولا در قسمت /etc/services اضافه می شوند. باز کردن ویروس ها در دستگاه های با سیستم عامل یونیکس گاهی اوقات با اضافه شدن دو خط متن همراه است. این با اصلاح کردن /etc/services به عنوان /etc/ined.conf انجام می شود. نظارت نزدیک و دقیق این دو فایل از لحاظ اضافه شدن هر چیزی به آن ها می تواند ورود ویروس های مختلف به قسمت های استفاده نشده و مشکوک را به ما نشان دهد.

Top