دِیوی ویندر، همکار ارشد. همکاران فوربس تحلیلها و بینشهای تخصصی مستقلی را منتشر میکنند. دیوی ویندر یک نویسنده، هکر و تحلیلگر باتجربه در حوزه امنیت سایبری است.
بهروزرسانی ۲۸ نوامبر با توصیههای CISA درباره استفاده از VPNها بر روی گوشیهای هوشمند، مشاورههای اضافی از مرکز ملی امنیت سایبری بریتانیا (NCSC) برای کاربران آیفون و اندروید، و هشدار عمومی منتشرشده پیشین از آژانس امنیت سایبری و زیرساختهای ایالات متحده.
در پی گزارشهای اخیر درباره استفاده از نرمافزار جاسوسی Sturnus برای عبور مؤثر از رمزنگاری و خواندن پیامهای خصوصی ارسالشده از Signal، Telegram و WhatsApp به گوشی هوشمند شما، آژانس امنیت سایبری و زیرساختهای ایالات متحده هشدار اضطراری صادر کرد که «چندین عامل تهدید سایبری» «بهصورت فعال از نرمافزار جاسوسی تجاری برای هدفگیری کاربران برنامههای پیامرسان موبایلی استفاده میکنند». اکنون CISA راهنمای اضطراری دیگری منتشر کرده که به افراد در معرض هدفگذاری توصیه میکند «فورا بازنگری و اجرا کنند». در ادامه دستورالعملهای گام به گام برای ایمنسازی گوشی هوشمند شما، همراه با راهنماییهای مخصوص آیفون و اندروید، برای مقابله با حملات نرمافزار جاسوسی، بر مبنای آژانس دفاع سایبری آمریکا ارائه میشود.
حملات سایبری به کاربران آیفون و اندروید
حملات سایبری در قالبها و اندازههای مختلفی رخ میدهند. از حملات تازه گزارششده به شوراهای لندن، تا حملات به کاربران آمازون، نتفلیکس و پیپل، و تهدیدهای نرمافزار جاسوسی بسیار هدفمند و پیوسته در حال تحول که کاربران گوشیهای هوشمند را هدفگیری میکنند. این دسته از تهدیدها است که برای CISA نگرانی بههمراه دارد و باید برای شما نیز مهم باشد، بهویژه اگر در دسته افراد با ریسک بالا قرار داشته باشید. به عبارت دیگر، خواننده گرامی، این شامل گروه گستردهای است: روزنامهنگاران، فعالان سیاسی، کارمندان دولتی، نظامیان و … همینطور لیست ادامه دارد. بهتر است فرض کنید ممکن است هدفی باشید، حتی اگر تنها بهعنوان خسارت جانبی برای رسیدن به هدف بزرگتر باشد و گوشیهای هوشمند خود را تا حداکثر حد ایمن کنید.
سند راهنمای بهترین روشهای ارتباطات موبایلی CISA، که تحت پروتکل رنگ‑چراغ با طبقهبندی واضح (clear) منتشر شده است و بهدلیل این طبقهبندی میتوان اطلاعات موجود در آن را بهصورت آزاد به اشتراک گذاشت، بهتازگی بهروزرسانی شده و علاوه بر شامل توصیههای امنیتی برای ارتباطات انتها‑به‑انتها، راهنماییهای گامبه‑گام برای تقویت امنیت و حریم خصوصی هر دو گوشی آیفون و اندروید را ارائه میدهد.
توصیههای آیفون:
- حالت Lockdown Mode را فعال کنید تا دسترسی به برنامهها، وبسایتها و ویژگیها محدود شود و بهطور مؤثری سطح حمله کاهش یابد.
- گزینه «ارسال بهعنوان پیام متنی» را غیرفعال کنید؛ این کار مانع استفاده از پیامک در صورتی میشود که iMessage رمزگذاری انتها‑به‑انتها در دسترس نباشد.
- از ویژگی Private Relay در iCloud اپل برای افزایش امنیت و حریم خصوصی استفاده کنید؛ این سرویس پرسوجوی DNS را محافظت میکند.
- مجوزهای برنامهها را بازنگری و محدود کنید؛ مجوزهای غیرضروری، بهویژه دسترسی به موقعیت، دوربین و میکروفون، را لغو نمایید.
توصیههای اندروید:
- از دستگاههای هوشمند تولیدکنندگانی استفاده کنید که تعهد به بهروزرسانیهای امنیتی بلندمدت داشته باشند و از ویژگیهای امنیتی سطح سختافزاری پشتیبانی کنند.
- فقط در صورتی که رمزنگاری انتها‑به‑انتها فعال باشد، از پیامرسانی RCS استفاده کنید.
- گزینه DNS خصوصی (Private DNS) اندروید را طوری تنظیم کنید که از یک حلکننده با حفظ حریم خصوصی بالا مثل ۱.۱.۱.۱ کلادفلیر، ۸.۸.۸.۸ گوگل یا ۹.۹.۹.۹ کواد۹ استفاده کند.
- در مرورگر Chrome اندروید، گزینه «همیشه از اتصال امن استفاده کنید» را فعال کنید.
- در مرورگر Chrome اندروید، گزینه «حفاظت پیشرفته برای مرور امن» را فعال کنید.
- ویژگی Google Play Protect را فعال کنید تا دانلود برنامههای مخرب شناسایی و پیشگیری شود.
- مجوزهای برنامهها را بازنگری و محدود کنید؛ همانند توصیههای آیفون، مجوزهای غیرضروری را لغو کنید.
راهنمای مرکز ملی امنیت سایبری (NCSC) برای کاربران آیفون و اندروید
مرکز ملی امنیت سایبری، بخشی از سازمان ارتباطات دولت بریتانیا (GCHQ) است که استراتژی مبتنی بر مأموریت دارد تا «بریتانیا را ایمنترین مکان برای زندگی و کار آنلاین کند». بنابراین تعجبی نیست که این مرجع نیز توصیههایی برای کاربران گوشیهای هوشمند منتشر کرده تا آنها و دادههای ذخیرهشده در آنها ایمن بمانند.
نکته اول، همانطور که مشاوره NCSC بیان میکند، اطمینان حاصل کنید که از رمز یا PIN امن برای قفل صفحهنمایش استفاده میکنید، نه «رمز سادهای که بهراحتی قابل حدس یا استخراج از پروفایلهای شبکههای اجتماعی شما باشد». این نکتهای بسیار محکم است و میتوانید درباره نکات مربوط به PINهای قفلصفحهنمایش بیشتر بخوانید.
در ادامه، فعالسازی قابلیت «پیدا کردن من» یا ردیاب داخلی گوشی است، بهطوری که در صورت گم شدن یا دزدیده شدن دستگاه، بتوان آن را ردیابی کرد و مهمتر اینکه در صورت لزوم، قفل و حذف دادهها صورت گیرد.
گوشی هوشمند خود را با آخرین بهروزرسانیهای امنیتی همراه کنید؛ این کار رایگان است، عمدتاً بهصورت خودکار انجام میشود و میتواند شما را از آسیبپذیری در برابر حملات هکری نجات دهد.
همینچنین برای برنامههایتان نیز اینکار را انجام دهید.
در نهایت، و بهنظر من که هرگز خودخواه نیستم، نکتهای است که بیشترین جنجال را ایجاد میکند: «به نقطه دسترسی Wi‑Fi ناشناسی متصل نشوید». در حالی که درست است ممکن است فردی در یک کافیشاپ یا فرودگاه یک نقطه دسترسی مخرب راهاندازی کند، واقعیت این است که چنین چیزی بهصورت بسیار کمتر رخ میدهد و با توجه به فراوانی تقریباً کامل رمزنگاری HTTPS در ارتباطات، خطر برای اکثر نفوذگران بهطور چشمگیری کاهش مییابد. بله، اگر شما جز افراد با ارزش بالایی باشید، ممکن است هدف قرار بگیرید، اما کسی که بهدنبال یافتن هدفی سودآور در کل یک کافیشاپ باشد، احتمالاً کمتر این کار را میکند. در واقع، اکثر متخصصان امنیت سایبری که میشناسم میگویند بدون ترس به چنین شبکههایی متصل میشوند. اگر نگران هستید، استفاده از شبکه موبایلی 4G یا 5G (در صورت موجود بودن) توصیه میشود، همانطور که از یک نقطه دسترسی رایگان استفاده میکنید.
آژانس دفاع سایبری ایالات متحده به کاربران آیفون و اندروید هشدار میدهد: از VPN استفاده نکنید
راهنمای بهروزشده جدید CISA برای بهترین روشهای ارتباطات موبایلی فراتر از راهنماییهای پیشین برای کاربران آیفون و اندروید رفت تا استراتژی امنیتی آنها را در تنظیمات گوشیهای هوشمندشان محکمتر کند؛ همچنین شامل یک سیاست سختگیرانه «عدم استفاده» شد که ممکن است بسیاری از خوانندگان را شگفتزده کند.
«از VPN شخصی استفاده نکنید». بله، درست خواندید. آژانس دفاع سایبری آمریکا، که بخشی عملیاتی مستقل در وزارت امنیت داخلی ایالات متحده است، به کاربران گوشیهای هوشمند میگوید از VPN استفاده نکنند. دلیل این توصیه هم ساده و هم قانعکننده است، از منظر یک نهاد امنیتی که مأمور حفاظت از زیرساختهای حیاتی کشور در برابر حملات سایبری است: «VPNهای شخصی بهسادگی خطرات باقیمانده را از ارائهدهنده خدمات اینترنت (ISP) به ارائهدهنده VPN منتقل میکنند و اغلب سطح حمله را افزایش میدهند». واضح است که برای سازمانها و شرکتها یک استثناء وجود دارد: استفاده از کلاینت VPN شرکتی برای دسترسی به دادهها یک مورد استفاده قابل قبول است. این نکته برای مصرفکنندگان نیز کاربرد دارد و هشدار مشابهی برای برخی از خوانندگان من است: «بسیاری از ارائهدهندگان VPN رایگان و تجاری سیاستهای امنیتی و حریم خصوصی مشکوکی دارند»، CISA گفت.
این پیام با هشدار اخیر و بسیار بهموقع Google در خصوص تهدید VPN همصداست؛ پس از تصویب قانون ایمنی آنلاین در بریتانیا و قوانین ایالتی در ایالات متحده که بهطور مؤثری دسترسی به محتوای بزرگسالان آنلاین را دشوار کردهاند. به جای تمرکز بر جنبهٔ مشکوک سیاستها همانگونه که CISA انجام داده است، معاون رئیس بخش اعتماد و ایمنی Google، لوری ریچاردسون، بهصورت واضح به «برنامههای مخرب که بهعنوان سرویسهای VPN قانونی شناخته میشوند در بسترهای مختلف برای به خطر انداختن امنیت و حریم خصوصی کاربران» پرداخته است.
به گفته ریچاردسون، عوامل تهدیدی پشت این برنامهها نه تنها هویت برندهای محبوب VPN مصرفکننده را جعل میکنند، بلکه از مهندسی اجتماعی، فیشینگ و سایر روشها برای هدفگیری کاربران آسیبپذیر که بهدنبال اطلاعات دربارهٔ رویدادهای ژئوپولیتیک هستند یا با استفاده از محتوای جنسی جذاب بهعنوان طعمه، بهره میبرند.
ریچاردسون گفت: «این برنامهها بهعنوان وسیلهای برای انتقال بدافزارهای خطرناک از جمله سرقتگرهای اطلاعات، تروجانهای دسترسی از راه دور و تروجانهای بانکی عمل میکنند»، که «دادههای حساسی مانند تاریخچه مرور، پیامهای خصوصی، اعتبارهای مالی و اطلاعات کیف پولهای رمزارزی را استخراج میسازند».
راهحل پیشنهادی، علاوه بر عدم استفاده از VPN، این است که برنامههای خود را فقط از منابع معتبر، تأییدشده و رسمی بارگیری کنید. بهعنوان مثال، Google توصیه میکند برای برنامههایی که نشانگر VPN را در فروشگاه Google Play دارند، بررسی کنید. قطعاً از نصب برنامههای VPN بهصورت سفارشی (sideload) خودداری کنید یا بهسختی نپذیرید که برنامهٔ «رایگان» VPN درخواست دسترسی به تمام موارد از جمله دوربین، میکروفون، مخاطبین و پیامهای خصوصی شما را بدهد. کاربران آیفون و اندروید حداقل باید نسبت به این خطر هوشیار باشند.