گوگل باگ خطرناک جیمیل را رفع کرد اما چگونه از حساب کاربری خود در برابر حملات فیشینگ محافظت کنیم؟
گوگل باگ امنیتی بزرگ اخیرا یافته شده روی جیمیل و مجموعه نرمافزارهای G-Suite را برطرف کرد.
جیمیل با میلیونها کاربر، کوچکترین اشکال و باگی روی آن میتواند یک دردسر بزرگ برای کل اینترنت باشد؛ چون دیگر سرویسها و برنامههای گوگل را هم تحت تاثیر قرار میدهد.
باگ امنیتی اخیر به هکرها اجازه میداد ایمیلهایی برای کاربران با ظاهر و ارسالکننده مشابه دیگر کاربران جیمیل بفرستند تا از این طریق آنها را فریب دهند.
این باگ امنیتی نامعمول که باعث میشود هر هکری خود را به جای یک کاربر جیمیل جا بزند؛ اولین بار توسط محقق امنیتی به نام «آلیسون حسین» (Allison Husain) کشف شد.
این باگ ترکیبی از ضعفها و اکسپلویتهای G-Suite در بک اند است که اجازه میدهد هکرها اطلاعات مسیریابی ایمیل را دستکاری کنند. این ترفند میتوانست دستاویزی برای حملات و کمپینهای فیشینگ بر ضد کاربران جیمیل و جی سوئیت باشد.
در نتیجه این دستکاری، ویژگیهای امنیتی داخلی جیمیل و جی سوئیت این ایمیلها را آلوده و مخرب تشخیص نداده و به راحتی نمیتوان به عنوان یک ایمیل اسپم و تبلیغاتی دستهبندی کرد.
«آلیسیون» در اوایل ماه آوریل این آسیبپذیری را به گوگل گزارش داد ولی ظاهرا گوگل بعد از ۱۳۷ روز این مسئله را جدی و حاد تلقی و برای رفع باگ اقدام کرد.
گوگل برنامهریزی کرده بود در ماه سپتامبر و به یک بهروزرسانی این ایراد را رفع کند ولی انتشار کدهای اکسپلویت مشکل در وبلاگ آلسیون باعث شد گوگل ۷ ساعت بعد واکنش نشان دهد.
این موضوع دوباره ثابت میکند هکرهای سفید و محققان امنیتی چقدر در امنسازی اینترنت و فضای آنلاین موثر و مفید هستند و شرکتهای بزرگی مانند گوگل را وادار به واکنش و امن کردن پلتفرم و نرمافزارهای خود میکنند.
سه ترفند اساسی محافظت از حساب کاربری جیمیل
اما به طور کلی برای محافظت از حساب کاربری جیمیل خود در برابر حملات فیشینگ یا باگهای امنیتی که هنوز شناسایی نشدند؛ بهتر است برخی نکات ایمنی و پیشگیری را رعایت کنید. سه کار اساسی که باید هر کاربر جیمیل انجام دهد را در زیر اشاره کردیم:
از احرازهویت دو مرحلهای برای مقابله با لاگینهای نامعتبر
احرازهویت دو مرحلهای (2FA) یک لایه امنیتی قوی به حساب کاربری گوگل شما اضافه میکند. حتی اگر اکانت گوگل شما به خطر بیفتد یا توسط هکرها مورد حمله قرار بگیرد؛ برای ورود کامل به حساب کاربری شما باید دسترسیهای بالاتر و هوشمندتری داشته باشد.
برای فعال کردن تایید هویت دو مرحلهای مراحل زیر را طی کنید:
۱- از طریق لینک https://myaccount.google.com وارد تنظیمات حساب کاربری گوگل خود شوید.
۲- از منوی سمت چپ روی گزینه Security بزنید.
۳- در بخش Signing in to Google روی گزینه 2-Step Verification بزنید.
۴- روی Get started کلیک کنید.
۵- مراحل کار را تا پایان پیش ببرید تا تایید هویت دو مرحلهای برای شما فعال شود.
پیکربندی گزینههای بازیابی اگر حساب کاربری شما از دست رفت
اگر خوش شانس باشید؛ برخی هکرها اجازه میدهند دوباره به حساب کاربری خود دسترسی پیدا کنید و راهی برای بازگشت آن وجود داشته باشد. گوگل روشهای مختلفی برای بازیابی اکانتها از طریق ایمیلهای ثانویه و جایگزین یا شماره موبایل فراهم کرده است:
۱- از طریق لینک https://myaccount.google.com وارد تنظیمات حساب کاربری گوگل خود شوید.
۲- از منوی سمت چپ روی Personal info بزنید.
۳- از بخش Contact info گزینه Add a recovery phone را انتخاب کنید.
۴- در این بخش میتوانید یک شماره موبایل جدید بدهید یا شماره موبایل قبلی خود را ویرایش کنید. با زدن روی گزینه Edit میتوانید یک شماره موبایل را پاک و شماره موبایل دیگری وارد کنید.
۵- تمام مراحلی که گفته شده را طی کرده و به پایان برسانید.
۶- دوباره میتوانید به بخش تنظیمات اکانت خود برگردید و از بخش Personal info»Contact info روی گزینه Email بزنید.
۷- باز هم در این بخش با زدن روی گزینه Edit میتوانید یک آدرس ایمیل قدیمی را ویرایش یا پاک کنید و آدرس ایمیل جدیدی بزنید.
نکات مهم ضد فیشینگ را رعایت کنید
هرچقدر سطح امنیت حساب کاربری گوگل و جیمیل خود را افزایش دهید؛ باز هم امکان دارد در معرض حملات فیشینگ قرار بگیرید. بنابراین، باید برای مقابله با فیشینگ هوشیار باشید و نکات مهمی را مدنظر قرار دهید:
۱- همیشه به بخش فرستنده ایمیلها دقت کنید و مطمئن شوید از یک فرستنده تایید شده و آشنا است. اگر ایمیلی از سوی شرکت و نهادی برای شما ارسال شده است؛ به آن مشکوک باشید و سعی کنید اطلاعات دیگر در بخش فرستنده ایمیل را بررسی کنید.
۲- روی لینکها، عکسها، فایلهای ضمیمه و هر چیز مشکوکی در ایمیلها کلیک نکنید.
۳- هرگز ایمیلی که با فرستنده آن آشنا نیستید را باز نکنید.
۴- هرگز یک ضمیمه ایمیل ناشناس را دانلود نکنید.
۵- اگر ایمیلی از شما میخواهد هرگونه اطلاعات شخصی را در یک سیستم یا صفحه وارد کنید؛ این ایمیل را نادیده بگیرید.