چگونه IoT برای سرقت هویت استفاده می‌شه

مجرمان سایبری معمولاً سراغ کارگزاران داده، آژانس‌های گزارش اعتباری، مؤسسات مالی و کارفرماها می‌رن تا شماره‌های تأمین اجتماعی، اطلاعات حساب بانکی یا شماره‌های بیمه پزشکی رو بدزدن.
ولی چرا حالا دارن به IoT (اینترنت اشیاء) رو می‌آرن؟ این برای کاربرهای تکنولوژی هوشمند چی معنی می‌ده؟ بیاید با هم ببینیم و راه‌حل‌هاش رو پیدا کنیم.

آسیب‌پذیری‌های IoT

با اینکه سازنده‌های دستگاه‌ها با یه عالمه قانون حفظ حریم خصوصی و امنیت روبه‌رو هستن، خیلی از گره‌های IoT هنوز در برابر تهدیدات سایبری آسیب‌پذیرن.
احراز هویت ضعیف یکی از شایع‌ترین مشکلاته. خیلی از دستگاه‌ها با رمزهای پیش‌فرض عرضه می‌شن و کاربرها یا فراموش می‌کنن یا نمی‌دونن چطور عوضشون کنن.
مشکلات کلاسیک نرم‌افزار و فریمور هم هستن. اگه اینا به‌روز نشن، حتی آسیب‌پذیری‌های ساده می‌تونن خطرناک باشن. شاید فکر کنید اینا مهم نیستن، ولی نمی‌دونید هکرها چه اطلاعات شخصی‌ای (PII) از قبل دارن.
اونا ممکنه فقط به یه تاریخ تولد یا رمز حساب نیاز داشته باشن تا شما رو در معرض Identity Theft (سرقت هویت) قرار بدن. هرچه مشکلات بیشتر بدون پچ بمونن، ریسک بزرگ‌تر می‌شه.
حتی اگه آسیب‌پذیری به‌روزنشده‌ای وجود نداشته باشه، هکرهای حرفه‌ای می‌تونن مستقیم با سوءاستفاده‌ها چیزی رو هک کنن. از یه دستگاه متصل به اینترنت می‌تونن برای جاسوسی صوتی یا تصویری از صاحبش استفاده کنن، اطلاعات حساس رو بدزدن یا تو شبکه حرکت کنن و دستگاه‌های دیگه رو نفوذ کنن. به هر حال، اونا به PII می‌رسن.
ذخیره داده‌ها چه تو دستگاه محلی باشه چه تو Cloud (ابر)، ریسک داره، ولی انتقال به سرورهای ابری خطرناک‌تره. حفاظت ضعیف انتقال داده، حملاتی مثل Man-in-the-Middle (مرد میانی) رو ممکن می‌کنه که هکرها می‌تونن اطلاعات مالی، شخصی یا پزشکی رو ببینن و بدزدن و برای سرقت هویت کنار هم بذارن.

بهترین روش‌ها برای ایمن کردن دستگاه‌های IoT

با این روش‌ها می‌تونید هویتتون رو در برابر تهدیدات سایبری محافظت کنید:
دستگاه‌های IoT رو جدا کنید
باند 2.4 گیگاهرتز تقریباً توسط همه دستگاه‌های IoT پشتیبانی می‌شه، ولی خیلی‌ها به 5 گیگاهرتز وصل نمی‌شن. این خوبه، حتی عالیه! روترهای مدرن باندهای 2.4 و 5 گیگاهرتز رو ترکیب می‌کنن و دستگاه‌ها رو خودکار به یکی اختصاص می‌دن.
این قابلیت به شما اجازه می‌ده دستگاه‌های IoT رو تو یه شبکه 2.4 گیگاهرتزی جدا نگه دارید و جلوی حرکت جانبی هکرها رو بگیرید. یه مزیت دیگه اینه که ترکیب باندها می‌تونه شلوغی و تداخل ایجاد کنه و عملکرد رو پایین بیاره. با جداسازی، هم امنیت رو بالا می‌برید هم همه‌چیز روان‌تر کار می‌کنه.
به‌علاوه، چون 2.4 گیگاهرتز نرخ انتقال داده کمتری داره، ممکنه نشانه‌های اولیه نفوذ رو زودتر ببینید.

رمزها رو مرتب عوض کنید
آخرین باری که اطلاعات شخصتون تو یه نقض داده لو رفت کی بود؟ متأسفانه، تقریباً نمی‌شه فهمید. رعایت روش‌های امن رمزگذاری می‌تونه جلوی نقض داده رو بگیره.
رمزها باید حداقل 12 کاراکتر باشن و ترکیبی از حروف، اعداد و نمادهای خاص داشته باشن.

پایش شبکه رو خودکار کنید
Continuous Network Monitoring (پایش مداوم شبکه) خیلی مهمه و یکی از ضروری‌ترین کاراییه که می‌تونید انجام بدید. خودکارسازی کلیدیه، به‌خصوص اگه تو خونه دستگاه هوشمند دارید یا اونو سر کار می‌برید.
با این کار می‌تونید فعالیت مشکوک رو فوری پیدا کنید و جلوی دسترسی مهاجما به داده‌های حساسی که سرقت هویت رو ممکن می‌کنه بگیرید.

نرم‌افزار و فریمور رو به‌روز کنید
آسیب‌پذیری‌های پچ‌نشده، راه ورود رایج برای هکرهان. مرتب نرم‌افزار و فریمور دستگاه‌هاتون رو آپدیت کنید، حتی اگه فکر می‌کنید برای چیزایی مثل توستر هوشمند یا یخچال بی‌فایده‌ست. اینطوری ساده‌ترین راه‌های ورود رو می‌بندید.
اگه آپدیت‌ها از طریق هوا (Over-the-Air) می‌رسه، بدونید که ممکنه آسیب‌پذیری به یه محیط امن وارد کنه و حملات مرد میانی رو ممکن کنه. اگه بتونید، این قابلیت رو خاموش کنید و دستی آپدیت کنید. ریسکش زیاد نیست، ولی کم کردن سطح حمله عاقلانه‌ست.

آیا سرقت هویت واقعاً ریسک استفاده از IoT هست؟

اگه هکرها به PII شما دسترسی پیدا کنن، می‌تونن هویتتون رو بدزدن. فقط به اسم، آدرس و تاریخ تولدتون نیاز دارن.
گرفتن چیزایی مثل نام خانوادگی مادرتون، شماره تأمین اجتماعی یا رمز حساب بانکی سخت‌تره، ولی غیرممکن نیست، به‌خصوص اگه بتونن جاسوسی‌تون کنن.
دستگاه‌های IoT هر روز یه گنج داده جمع می‌کنن، حتی وقتی PII تو دارک وب فقط 8 دلار قیمت داره. اگه ساعت هوشمندتون پیام‌ها رو رمزنگاری نکنه یا وب‌کم سوم‌شخص حرفاتون رو بشنوه، افراد بد می‌تونن به جزئیات حساس برسن.
تازه، کلاهبردارها حالا فقط به شماره تأمین اجتماعی نیاز دارن. تو Synthetic Identity Theft (سرقت هویت ترکیبی)، اونا بقیه جزئیات مثل اسم و آدرس رو جعل می‌کنن و این باعث می‌شه مدت بیشتری زیر رادار بمونن.
با رشد Cybercrime-as-a-Service و تکنولوژی Machine Learning، گروه‌های سایبری احتمالاً بازار سرقت هویت رو گسترش می‌دن. IoT وقتی تو خونه همه جا بیفته، یه روش حمله جذاب‌تر می‌شه. همین حالا هم تو سال 2021، حدود یک نفر از هر پنج نفر تو آمریکا سرقت هویت رو تجربه کرده.

مواردی که IoT به سرقت هویت منجر شده

هنوز موارد بزرگ سرقت هویت مبتنی بر IoT گزارش نشده، ولی نقض‌های بی‌شماری PII رو به خطر انداخته و به هکرها اجازه سرقت هویت داده.
سازنده‌ها امنیت رو جدی نمی‌گیرن
تو سال 2023، Federal Trade Commission (FTC) فاش کرد که Ring، سازنده دستگاه‌های امنیتی خونه هوشمند، به افراد داخلی اجازه هک ویدئوهای خصوصی رو داده. امنیت ضعیفش به کارمنداش امکان جاسوسی از مشتری‌های بی‌خبر رو داد. بعضی‌ها حتی این ویدئوها رو عمومی کردن و هکرها قربانی‌ها رو اذیت کردن.

هکرها از IoT برای جمع‌آوری PII استفاده می‌کنن
دو دانشجوی هاروارد، AnhPhu Nguyen و Caine Ardayfio، نشون دادن چطور عینک‌های هوشمند، نرم‌افزار تشخیص چهره و AI می‌تونن سرقت هویت رو آسون کنن. تو فقط 1.5 دقیقه، اسم، آدرس خونه، شماره تلفن و فامیل یه غریبه رو پیدا کردن.
نگران‌کننده اینه که این سیستم به‌ظاهر پیچیده رو تو چهار روز کدنویسی کردن، یعنی هکرهای حرفه‌ای راحت می‌تونن تکرارش کنن. این روش حتی با گوشی، تبلت یا دوربین معمولی هم کار می‌کنه.

هکرها ضعف‌های امنیتی IoT رو سوءاستفاده می‌کنن
یه گروه تحقیقاتی تو کنفرانس Advancement in Computation & Computer Technologies نشون داد ساعت‌های هوشمند با Bluetooth Low Energy تقریباً هیچ امنیتی ندارن و در برابر حملات مرد میانی آسیب‌پذیرن. اگه یه wearable مثل ردیاب تناسب اندام دارید، فکر کنید چقدر باهاتونه—می‌تونه پیاماتون رو ببینه؟ صدا ضبط کنه؟ هر کاری که نزدیکش می‌کنید ممکنه دیده یا شنیده بشه.

ایمن کردن IoT برای جلوگیری از سرقت هویت

استفاده از تکنولوژی ریسک داره، ولی لازم نیست برای روشن کردن کولر از راه دور یا دستور دادن به اسپیکر، هویتتون رو به خطر بندازید.
قبل از اینکه همه دستگاه‌های هوشمند خونه‌تون رو دور بندازید، این روش‌های امنیتی IoT رو امتحان کنید. ایمن کردن سیستم‌های آسیب‌پذیر ممکنه – فقط یه کم زمان و تلاش می‌خواد!

منبع: iotforall