خارج کردن «موارد» از پر کردن اعتبار

ما فقط انسان هستیم. شما قبلاً این عبارت را شنیده اید. درست؟! ما فقط انسان هستیم عبارتی است که به آسانی در مورد خطاها و کاستی های جهانی به کار می رود – عبارتی که نشان می دهد چگونه وجود موقت ما اغلب از انتظارات خارج می شود. یک راه دیگر بخوانید، ما فقط می توانیم خیلی کار کنیم. و این دقیقاً همان چیزی است که مجرمان سایبری برای سوء استفاده از میل ما برای بدون پیچیدگی زندگی خود به آن وابسته هستند. بیایید متوقف شویم و موارد زیر را در نظر بگیریم: هر چند وقت یکبار از یک آدرس ایمیل یا نام کاربری و رمز عبور برای ورود به وب سایت های مختلف استفاده می کنید؟ من اینطور فکر کردم. همه ما این کار را انجام می دهیم. با توجه به اینکه چند بار در طول روز وارد حساب کاری، رسانه‌های اجتماعی، خرید و سایر ویژگی‌های دیجیتال (بدون ذکر تلفن‌هایمان) می‌شویم، این یک عادت جهانی است. اجازه دهید یک سوال دیگر بپرسم: چند نفر از شما از همان پین چهار رقمی برای دسترسی به تلفن همراه خود استفاده می کنید که حساب بانکی خود را انجام می دهید؟ من به پرونده ام استراحت می دهم.

پر کردن اعتبار چیست؟

اینترنت در هر گوشه زندگی ما نفوذ کرده است – نحوه بانکداری، خرید و در دوران کووید-19، نحوه سفارش مواد غذایی، تحویل غذا، ارتباط، شرکت در وبینارها، ملحق شدن به تماس های ویدیویی و موارد دیگر است. بیشتر. همانطور که می دانید، هر یک از این اقدامات نیاز به ورود به سیستم دارند. مانند یک سرآشپز خوب، که از تمام قسمت های یک حیوان (تا استخوان ها) برای تولید یک انبار غنی استفاده می کند، بازیگران بد از تک تک داده های استخراج شده از یک نقض داده برای انجام حمله بعدی خود استفاده می کنند. گنجینه ای از اطلاعات کاربران فقط برای کارت های اعتباری جمع آوری نمی شود تا از آنها برای خرید کالاهای غیرقانونی یا پرداخت هزینه خدمات استفاده شود، نام کاربری و رمز عبور اغلب برای ورود به وب سایت ها و پلتفرم های دیگر به صورت خودکار استفاده می شود. این همان چیزی است که یک حمله پر کردن اعتبار در ساده ترین و ابتدایی ترین شکل آن است.

با این حال، کسب اعتبار کاربری نیازی به سرقت ندارد. بازارهایی در وب تاریک وجود دارند که به طور معمول اطلاعات کاربری سرقت شده را تردد می کنند. تشبیه یک سرآشپز را به خاطر بسپارید، آن تکه‌های داده‌های دزدیده شده از هم جدا می‌شوند و بارها و بارها فروخته می‌شوند، زیرا هر کدام دارای ارزشی در تاریک وب هستند. آنها علاوه بر ارزش، دارای ابزاری برای یک بازیگر بد هستند که آنها را برای ایجاد هرج و مرج و خرابی بیشتر که منجر به سازش سایر پلتفرم‌ها می‌شود – که همیشه منجر به سرقت هویت و به طور بالقوه بسیار بدتر می‌شود، به کار می‌گیرد.

تصاحب حساب

همه می‌توانیم موافق باشیم که سرقت هویت بلای جان اینترنت است، منبع مشترکی که در عصر حاضر ضروری می‌دانیم. با این حال، سرقت هویت تنها کاری است که هکرها می توانند انجام دهند. زمانی که مهاجمان حساب توییتر باشگاه فوتبال بارسلونا اسپانیا را تصاحب کردند، از آن برای ارسال توییت های جعلی استفاده کردند. حملات مشابهی علیه Statefarm و Dunkin Donuts انجام شده است. جدیدترین گزارش بررسی‌های نقض داده‌های Verizon نشان می‌دهد که 80 درصد از نقض‌هایی که شامل هک می‌شوند، حملات brute force یا اهرم اعتبار از دست رفته یا سرقت شده (یعنی پر کردن اعتبار) هستند. پروژه Open Web Application Security، پر کردن اعتبارنامه را به عنوان زیرمجموعه ای از حملات brute force طبقه بندی می کند. تفاوت این است که یک حمله brute force از هیچ زمینه ای استفاده نمی کند و فقط سعی می کند رمز عبور و اعتبار ورود را حدس بزند. گاهی اوقات به این حملات لغت نامه نیز گفته می شود. با این حال، Credential stuffing از ترکیب رمز عبور شناخته شده و اعتبار ورود به سیستم استفاده می کند تا فرآیند را بسیار هدفمندتر کند و احتمالاً موفق شود.

احساس ناراحتی می کنید؟ تو باید. قصدم کم اهمیت جلوه دادن اهمیت سرقت هویت نیست – این وحشتناک است و ممکن است ماه ها طول بکشد تا پاکسازی شود – می دانم، مجبور بودم این کار را برای حساب های همسرم انجام دهم. با این حال، تصاحب حساب‌ها می‌تواند عواقب بزرگی داشته باشد – تصور کنید اگر مهاجمی بتواند حساب ایمیل شخصی یک مقام دولتی را در اختیار بگیرد. به اطلاعات و اسرار آنها و آسیبی که در صورت شروع به ارسال ایمیل به عنوان آن مقام دولتی می توانند وارد کنند فکر کنید.

حفاظت از زیرساخت های مشترک ما با درک این موضوع آغاز می شود که همه ما CISO شخصی خود هستیم و بنابراین مسئول ایمن سازی تک تک حساب هایی هستیم که در برابر حملات استفاده می کنیم. و حدس بزنید چه چیز دیگری؟ بازاریابان می توانند کمک کنند زیرا آنها نوک برند شرکت خود هستند – بازاریابان مباشر تجربه برند و نحوه درک یک محصول یا خدمات در صنعت هستند. همه – از جمله بازاریابان – در اطمینان از رونق اینترنت نقش دارند.

امنیت سایبری اساسی برای بازاریابان

اکنون که ما با نیاز به حفظ امنیت سایبری شخصی خود هماهنگ شده‌ایم، بنابراین به شرکت‌های خود کمک می‌کنیم تا از ورود خود به سیستم خود مراقبت کنیم، بیایید در مورد چگونگی انجام آن صحبت کنیم.

• از یک نام ورود و رمز عبور در چندین سایت استفاده مجدد نکنید. از رمزهای عبور مختلف در ارتباط با نام ورود استفاده کنید. اگر یکی از گذرواژه‌ها به خطر بیفتد، بعید است که حساب‌های دیگر در نتیجه در معرض خطر قرار گیرند.
• از گذرواژه های پیچیده استفاده کنید . و بله، نام حیوان خانگی شما یک رمز عبور پیچیده نیست، حتی اگر هر حرف دیگری را با حروف بزرگ بنویسید و یک علامت تعجب در پایان قرار دهید. صبر کن، آیا من فقط رمزم را به تو دادم!؟
• از یک مدیر رمز عبور استفاده کنید. وقتی این مقاله را شروع کردم به این اشاره کردم که چگونه همه ما خطاپذیر هستیم و انسان بودن در دنیای دیجیتال سخت است. درسته. به یاد داشته باشید که بسیاری از رمزهای عبور تقریبا غیرممکن هستند مگر اینکه حافظه عکاسی داشته باشید.
• تا جایی که می توانید رمزهای عبور خود را بچرخانید. این فقط بهداشت رمز عبور خوب است. اگر در 10 سال گذشته از یک رمز عبور ساده در یک وب سایت استفاده کرده اید، وقت آن رسیده است که آن را به روز کنید و عادت کنید هر چند وقت یکبار آن را تغییر دهید. هرچه سایت مهم تر باشد (مانند وب سایت بانکی شما)، بیشتر اوقات باید آن رمز عبور را به روز رسانی و تغییر دهید. برای آن دسته از شما که در شرکت‌هایی با سیاست‌های رمز عبور سخت‌گیرانه کار می‌کنید که شما را مجبور می‌کند هر 30، 60 یا 90 روز یکبار آن را به‌روزرسانی کنید، این کار به دلایلی انجام می‌شود. این فقط برای دشوارتر کردن زندگی شما نیست، بلکه برای ایجاد امنیت بیشتر شرکت است. آن را به عنوان یک صف در نظر بگیرید و آن را در زندگی خود اعمال کنید. همچنین، آن را برای تجربه مشتری اعمال کنید، برنامه‌های کاربردی و فروشگاه‌های تجارت الکترونیکی که منتظر مشتریان شما هستند.
  • از مشتریان خود بخواهید رمزهای عبور طولانی و پیچیده با کاراکترهای خاص، اعداد و ترکیبی از حروف بزرگ را انتخاب کنند.
  • از مشتریان خود بخواهید حداقل یک بار در سال رمز عبور خود را تغییر دهند، اگر نه بیشتر، یا اگر مدت زیادی است که وارد سیستم نشده اند.
• تنها موثرترین راه برای ایمن سازی حساب های شما استفاده از احراز هویت چند عاملی (MFA) است. احراز هویت چند عاملی استفاده از یک دستگاه ثانویه برای دسترسی به حساب آنلاین است – مانند دریافت پیامک به تلفن همراه هنگام تلاش برای ورود به سیستم، یا نیاز به باز کردن یک برنامه احراز هویت که کدی را برای دسترسی به یک سایت صادر می کند. به گفته مایکروسافت، استفاده از MFA 99.9 درصد از حملات حساب کاربری را مسدود می کند! علاوه بر این، بر اساس مقاله اخیر برایان کربس، گزارشگر امنیت سایبری، اگر MFA حساب خود را روشن نکنید، احتمال زیادی وجود دارد که مهاجمان آن را برای شما روشن کنند و بازیابی آن را دشوارتر کنند. بله، این یک مرحله اضافی است، اما مرحله ای است که می تواند توانایی مهاجم را برای دسترسی به پلتفرم شما یا بدتر از آن، تجربه مشتری در پلتفرم یا خدمات شما را به شدت کاهش دهد.

به همان اندازه که اینترنت برای ما شادی می‌آورد، اگر حساب‌های انتقادی ما به دست مجرمان بیفتد، می‌تواند به همان اندازه – اگر نه بیشتر – اضطراب و درد به همراه داشته باشد. اگر اقدامات احتیاطی جزئی لازم برای ایمن نگه داشتن هویت و دارایی های حیاتی خود را انجام دهیم، مهم است که مکث کنیم و در نظر بگیریم که زندگی آنلاین ما چقدر می تواند ساده باشد. چون به شما اطمینان می‌دهم، آدم‌های بد در حال تماشای ما هستند و دائماً دفاع ما را بررسی می‌کنند – این دقیقاً نحوه عملکرد آنهاست.

بازاریابان می‌توانند با اصرار به ایجاد عادات خوب در سایت‌هایشان به مواردی مانند MFA و گذرواژه‌های پیچیده که چرخانده می‌شوند، کمک کنند. زیرا اگر تجربه تجارت الکترونیک ما تکامل یابد، ممکن است همه ما به احتمال زیاد عادات امنیتی شخصی خود را برای مواردی مانند ایمیل و بانکداری تغییر دهیم. همه ما مخلوق عادات هستیم – زمان آن رسیده است که درگیر عادات امنیتی بهتری باشیم.

نظرات بیان شده در این مقاله نظرات نویسنده مهمان است و لزوماً MarTech نیست. نویسندگان کارکنان اینجا فهرست شده‌اند.

درباره نویسنده

لن اشنایدر 15 سال کهنه کار ایمیل و پیام های دیجیتال و معاون روابط صنعتی در Twilio SendGrid است. . لن به عنوان یک مبشر و حامی بهترین شیوه ها عمل می کند و رهبری فکری و بینش های مبتنی بر داده را در مورد روندهای صنعت هدایت می کند. Len نماینده Twilio SendGrid در هیئت مدیره M3AAWG (گروه کاری پیام‌رسانی، بدافزار، موبایل ضد سوء استفاده) به‌عنوان نایب رئیس علاوه بر ریاست مشترک کمیته برنامه است. او همچنین بخشی از MAC (کمیته مشورتی اعضا) شورای تجربه ایمیل است که در آنجا به عنوان نایب رئیس سازمان خدمت می کند. EEC متعلق به انجمن بازاریابی مستقیم آمریکا است، یک سازمان تقریباً 100 ساله که او در کمیته اخلاق نیز حضور دارد. علاوه بر این، لن از نزدیک با ائتلاف ارسال کننده و ارائه دهنده ایمیل در مورد مسائل مربوط به حریم خصوصی داده ها و قابلیت تحویل ایمیل کار کرده است.