لیست ترکیبی چیست؟ انواع و روش های آن برای محافظت از شبکه و سایت در برابر آن

نوشته شده در

همه چیز از قبل در فضای ابری وجود دارد، از جمله اعتبارنامه یا رمزهای عبور شما، که توسط مجرمان سایبری مبتکر و هکرهای حرفه ای مورد سوء استفاده قرار می گیرند. این منجر به معرفی لیست های ترکیبی به عنوان یک سرویس (CaaS) شده است، که در آن مجرمان سایبری از یک مدل اشتراک برای فروش اعتبار دزدیده شده به سایر هکرها استفاده می کنند.

Combolists برای مدت طولانی به اعتبارنامه های دزدیده شده دسترسی داشته اند، اما CaaS راه جدیدی برای مجرمان سایبری است تا به سرعت و به راحتی از داده های سرقت شده درآمد کسب کنند. خریداران علاقه مند برای دسترسی به داده ها، حق عضویت ماهانه می پردازند. قرار دادن داده ها در فضای ابری به مجرمان سایبری یا هکرها امکان دسترسی سریع و آسان به اطلاعات و داده های افراد بیشتری را می دهد. پیش از این، اعتبار شناسایی شده در دارک وب معامله می شد، اما با ظهور CaaS، اکنون می توان اطلاعات را در اینترنت عمومی پیدا کرد.

مدل اشتراک به مجرمان سایبری امکان دسترسی آسان به طیف گسترده ای از اعتبارنامه های سرقت شده را می دهد. سپس می توان از این داده ها در کمپین های دسترسی هدفمند به حساب استفاده کرد. همانطور که استفاده از CaaS بیشتر می شود، لیست ها پیچیده تر می شوند.

اگر نمی‌خواهید قربانی این موارد شوید و اطلاعات شما و مشتریانتان در لیست ing قرار نگیرد، بهتر است اولین درس‌های نفوذ به سایت را ببینید. این آموزش ها به شما کمک می کند تا باگ های سایت خود را شناسایی کرده و راه هایی برای رفع آنها بیابید. در زیر یکی از بهترین آموزش های تست نفوذ است که می توانید استفاده کنید.

لیست ترکیبی چیست؟

لیست ترکیبی

Combo به معنای ترکیب است. فهرست ترکیبی یک فایل متنی است که حاوی لیستی از نام‌های کاربری و رمزهای عبور فاش شده یا آدرس‌های ایمیل و رمزهای عبور است که می‌توان از آنها برای شکستن استفاده کرد.

لیست ترکیبی یک فایل متنی است که حاوی لیستی از نام‌های کاربری و رمزهای عبور است که در قالب خاصی آشکار شده‌اند. رمزهای عبور معمولا از هک های مختلف به دست می آیند و با هم در یک فایل ذخیره می شوند. این فایل‌ها را می‌توان به ابزارهای brute force ارسال کرد که چندین اعتبار را در حساب‌های مختلف بررسی می‌کنند یا زمانی که وارد یک وب‌سایت می‌شوید تا زمانی که مطابقت پیدا شود.

انواع ترکیبی از لیست ها

لیست های ترکیبی معمولا به دو صورت منتشر می شوند، اولی به صورت ایمیل و رمز عبور و دیگری به صورت نام کاربری و رمز عبور. به همین دلیل، لیست های ترکیبی را می توان به دو نوع مختلف طبقه بندی کرد.

لیست ایمیل / رمز عبور ترکیبی

این یک نوع لیست ترکیبی است که به طور گسترده مورد استفاده قرار می گیرد، زیرا اکثر سایت ها از ورود ایمیل و رمز عبور استفاده می کنند و این لیست ترکیبی نیز برای هک اطلاعات چنین سایت هایی در اختیار هکرها قرار می گیرد.

این لیست های ترکیبی از خطوطی مانند email: pass تشکیل شده اند و به راحتی قابل استفاده هستند.

لیست ترکیبی کاربر / رمز عبور

بر خلاف نوع بالا، لیست رمزهای ترکیبی از ایمیل مشتریان استفاده نمی کند و فقط نام کاربری و رمز عبور مخاطب را در لیست ها قرار می دهد. که به صورت خطوط به صورت User: pass هستند.

نحوه استفاده از لیست های ترکیبی

لیست ترکیبی

استفاده از لیست های ترکیبی به ابزارها و سایت های خود نیاز دارد. به دلیل عدم کمک به روش های هک، نام این سایت ها و ابزارها را ارائه نمی کنیم. اما سایت‌ها و ابزارهای زیادی وجود دارند که این لیست‌های ترکیبی را در سایت‌ها و شبکه‌های اجتماعی مختلف مانند جی‌میل، ایمیل، توییتر، اینستاگرام و و امتحان می‌کنند و اطلاعات درستی را در چندین سایت در اختیار شما قرار می‌دهند. .

استفاده از این لیست های ترکیبی کار سختی نیست، اما اگر سایت یا سیستمی را به صورت غیرقانونی هک کنید، ممکن است با مشکلات قانونی مواجه شوید. به همین دلیل بهتر است از این عناصر برای ارتقای امنیت شبکه و سایت خود استفاده کنید. در زیر یکی از بهترین آموزش های هک در سایت فرادرس قرار داده شده است که با مشاهده آن می توانید احتمال هک شدن شبکه خود را کاملا به صفر برسانید.

اطلاعات کاربر را پر کنید و یک حساب کاربری را هک کنید

مسیر رشد دوباره پر کردن حساب و حملات توقیف حساب نتیجه مستقیم استفاده مجدد افراد از رمزهای عبور در چندین حساب است. به عنوان مثال، استفاده از یک رمز عبور خاص و چند بار استفاده از یک رمز عبور را در نظر بگیرید.

هنگامی که یک نقض امنیتی در شبکه های کامپیوتری مانند ماریوت یا Equifax رخ می دهد، بیشتر اعتبار مصرف کننده در معرض هکرها قرار می گیرد. سپس مجرمان سایبری از یک ربات با لیستی از اعتبارنامه‌های افشا شده در صفحه ورود به وب‌سایت برای دسترسی به آن استفاده می‌کنند. این یک حمله برای پر کردن وام است. هنگامی که ربات موفق می شود، وارد سیستم می شود و کلاهبردار می تواند مستقیماً به حساب کاربری دسترسی پیدا کند یا داده های حساب را به مجرمان دیگر بفروشد.

پس از آن یک کمپین شناسایی موفق به حملات توقیف تبدیل می شود، و توقیف حساب زمانی است که یک مجرم سایبری به طور غیرقانونی به یک حساب آنلاین دسترسی پیدا می کند. یک حمله موفقیت آمیز منجر به سوء استفاده از حساب کاربری و افشای اطلاعات شخصی در مورد سایر اشکال کلاهبرداری می شود. با ظهور CaaS، این نوع حملات همچنان افزایش می‌یابد، زیرا هکرها راحت‌تر می‌توانند درآمد حاصل از اعتبارنامه‌های به خطر افتاده را تضمین کنند.

طبق مطالعه Juniper Research (از طریق مجله Infosecurity) پرداخت های آنلاین تقلبی جهانی تا سال 2020 به 25.6 میلیارد دلار تخمین زده می شود. این حوادث می تواند اعتماد مشتری به برند آسیب دیده را تضعیف کند و ممکن است منجر به تحریم های قانونی احتمالی شود. در همین حال، مطالعه Javelin نشان داد که زیان ATO در سال 2018 به 4 میلیارد دلار رسیده است.

چگونه بفهمیم که اطلاعات ما در لیست های ترکیبی است؟

اگر می خواهید ببینید اعتبار شما در این لیست های ترکیبی قرار دارد یا خیر، می توانید یک حساب شخصی رایگان در وب سایت SpyCloud فعال کنید. SpyCloud یک اشتراک رایگان، کاملا خودکار و ایمن برای افراد فراهم می کند که به شما امکان می دهد لیست های ترکیبی را مشاهده کنید و با مرور این لیست های ترکیبی و جستجوی ایمیل خود، می توانید متوجه شوید که آیا اعتبار شما به سرقت رفته است یا خیر. هست یا نه.

بهترین راه برای محافظت از رمزهای عبور چیست؟

لیست ترکیبی

ما قویاً توصیه می کنیم که از یک برنامه مدیریت رمز عبور استفاده کنید تا مطمئن شوید که همه رمزهای عبور شما منحصر به فرد هستند و مدیریت آن آسان است. همچنین توصیه می کنیم 2FA را برای همه حساب های کاربری خود، چه حرفه ای و چه شخصی فعال کنید تا در صورت هک شدن حساب کاربری، هکرها نتوانند به راحتی به اطلاعات شما دسترسی داشته باشند.

برای آشنایی بهتر و کاربردی تر با این موارد می توانید از آموزش امنیت شبکه در سایت فرادرس استفاده کنید. این آموزش یکی از کامل ترین آموزش های امنیت شبکه در ایران می باشد.

سازمان ها برای مبارزه با لیست های ترکیبی چه کاری می توانند انجام دهند؟

طبق تجربه من، شرکت ها باید احراز هویت بیشتری را برای کاهش خطر افشای اطلاعات انجام دهند. در زیر مجموعه ای از مراحل اضافی آمده است:

  • صدور گواهینامه اجباری در دو مرحله این ممکن است به شکل ارائه شواهدی از یک عنصر اضافی مانند تلفن هوشمند باشد، یا ممکن است مبتنی بر دانش باشد که در آن کاربر باید به یک سوال امنیتی پاسخ دهد. افزودن این لایه امنیتی به ورودی می تواند باعث خستگی و فرسایش مشتری شود، بنابراین باید آن را به صورت انتخابی یا به عنوان یک گزینه کاربرپسند اعمال کنید.
  • احراز هویت مقایسه ای : این رویکرد برای آدرس IP، موقعیت جغرافیایی، نوع دستگاه و سایر رفتارها اعمال می شود.
  • CAPTCHA را اضافه کنید : تعیین می کند که آیا یک انسان یا یک ربات به حساب کاربری دسترسی دارد. برای جلوگیری از هرزنامه و بازیابی خودکار داده ها استفاده می شود. باز هم خستگی کاربر را افزایش می دهد، بنابراین باید به صورت انتخابی استفاده شود. علاوه بر این، برخی از ربات ها می توانند CAPTCHA را مدیریت کنند، بنابراین این گزینه 100٪ قابل اعتماد نیست.
  • احراز هویت بیومتریک : این گزینه دیگری است که از اثر انگشت یا چهره کاربر برای احراز هویت استفاده می کند. با این حال، بسیاری از کاربران دستگاه‌های بیومتریک ندارند (اگرچه گوشی‌های هوشمند جدیدتر دارای اثر انگشت و تشخیص چهره هستند)، بنابراین این گزینه در حال حاضر تأثیر محدودی دارد. علاوه بر این، اگر داده های بیومتریک شکسته یا غیرقابل دسترسی باشد، احراز هویت مبتنی بر رمز عبور معمولاً به طور پیش فرض بازیابی می شود.

همه این رویکردهای احراز هویت از روش های مختلفی برای احراز هویت کاربران برای کاهش خطر افشای اطلاعات استفاده می کنند. با این حال، آنها دشواری بیشتری را به تجربه کاربری اضافه می کنند که می تواند باعث نارضایتی برخی از مشتریان شود. بنابراین باید از روش های تشویقی استفاده کنید تا کاربر بتواند از این تایید دو مرحله ای استفاده کند.

منبع

fun-net

دیدگاه‌ها

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *