NooshDaroo | نوشدارو

لو رفتن ایمیل چه پیامدهایی دارد؟ برای همه‌ی ما پیش آمده که برای گرفتن کد تخفیف، عضویت در یک فروشگاه آنلاین یا نصب یک برنامه، ایمیل‌مان را وارد کنیم. به لطف همین موارد جزئی، آنقدر آدرس ایمیل‌مان را در پلتفرم‌های مختلف پخش کرده‌ایم که حسابش از دست‌مان در رفته است. اما تا حالا به این فکر کرده‌اید اگر این آدرس به دست هکرها یا آدم‌های اشتباه بیفتد، چه دردسرهایی می‌تواند برایتان درست کنند؟ ▪️ آدرس ایمیل چه چیزی راجع به شما می‌گوید؟ آدرس ایمیل در ظاهر فقط چند حرف و عدد است، اما گاهی حرف‌های زیادی برای گفتن دارد. اگر ایمیل شامل نام و نام خانوادگی، سال تولد یا شماره‌ی موبایل‌تان باشد، می‌شود هویت‌تان را تا حد زیادی حدس زد. برای نمونه، بین این دو آدرس تفاوت زیادی وجود دارد: • ali.ahmadi1375@gmail.com • blue.river.letters@gmail.com اولی از همان ابتدا نام، نام خانوادگی و سال تولد صاحبش را لو می‌دهد؛ اما دومی تقریباً هیچ چیز مشخصی درباره‌ی هویت فرد نمی‌گوید. پس آدرس ایمیل فقط راه ارتباطی نیست؛ گاهی اولین کارت شناسایی شما در اینترنت است. علاوه بر این، ایمیل معمولاً سال‌ها با ما می‌ماند. ممکن است یک بار آن را برای ثبت‌نام در یک فروشگاه وارد کرده باشید، یک بار برای ساخت حساب شبکه‌ی اجتماعی و یک بار هم در سایت کاریابی. بعد از مدتی همان ایمیل، تعداد زیادی از حساب‌های شما را مثل نخ تسبیح به هم وصل می‌کند. یک فرد بیش از حد کنجکاو می‌تواند با داشتن همین آدرس، حساب‌های شما را در شبکه‌های اجتماعی مختلف پیدا کند و به مرور، پازل ردپای دیجیتال‌تان را کنار هم بچیند! ▪️ اگر کسی فقط آدرس ایمیل شما را بداند، چه خطری دارد؟ شاید پیش خودتان بگویید «تا وقتی کسی رمز عبور من را نداشته باشد، هیچ خطری مرا تهدید نمی‌کند». درست است که بدون داشتن رمز عبور، خرابکاران نمی‌توانند مستقیم وارد صندوق پیام‌های شما شوند، اما می‌توانند آرامش دیجیتال‌تان را به هم بریزند. دسترسی به آدرس ایمیل، این قدرت را به افراد خرابکار می‌دهد که شما را هدف مستقیم حملات روانی و فریبکارانه قرار دهند. در ادامه تعدادی از دردسرهای احتمالی لو رفتن آدرس ایمیل را مرور می‌‌کنیم. ایمیل‌های فیشینگ دقیق‌تر می‌فرستند فیشینگ عمومی مثل تور ماهیگیری بزرگی است که در دریا می‌اندازند؛ شاید هر چیزی در آن گیر کند. اما اگر کلاهبردار درباره شما اطلاعات بیشتری داشته باشد، سراغ «فیشینگ هدفمند یا نیزه‌ای» (Spear Phishing) می‌رود. اسمش هم بی‌دلیل نیست؛ دیگر خبری از تور نیست، یک نیزه دقیق به سمت یک نفر خاص پرتاب می‌شود. فرض کنید مهاجم از طریق ایمیل فهمیده که شما به بازی‌های ویدیویی علاقه دارید. روز بعد ایمیلی دریافت می‌کنید که ظاهرش دقیقا شبیه به شرکت سازنده بازی محبوب شماست و به شما پیشنهاد دانلود زودهنگام بازی جدیدشان را برای تست می‌دهد. با کلیک روی آن لینک، بدافزارها وارد سیستم شما می‌شوند. صندوق ورودی را با هرزنامه پر می‌کنند «هرزنامه» یا «اسپم» (Spam) همان ایمیل مزاحمی است که معمولاً وعده تخفیف عجیب، قرعه‌کشی باورنکردنی، فرصت سرمایه‌گذاری طلایی یا داروی معجزه‌آسا می‌دهد. اگر ایمیل شما در فهرست‌های تبلیغاتی یا پایگاه‌های داده‌ی لو رفته قرار بگیرد، ناگهان حجم زیادی پیام مشکوک دریافت می‌کنید. خطر اصلی اسپم فقط شلوغی صندوق نیست؛ گاهی میان همین پیام‌ها لینک آلوده یا فایل مخرب پنهان شده است. درخواست بازیابی گذرواژه می‌فرستند کلاهبردار ممکن است نشانی ایمیل شما را در سایت‌های مختلف وارد کند و گزینه «گذرواژه را فراموش کرده‌ام» را بزند. اگر حسابی با آن ایمیل وجود داشته باشد، برای شما پیام بازیابی می‌آید. این کار چند هدف دارد. گاهی فقط می‌خواهند بفهمند شما در کدام سرویس‌ها حساب دارید. گاهی می‌خواهند شما را گیج و نگران کنند. گاهی هم امیدوارند روی لینک اشتباهی کلیک کنید یا اطلاعاتی بدهید که نباید بدهید. ▪️ اگر کسی ایمیل و گذرواژه شما را داشته باشد چه می‌شود؟ اینجا دیگر داستان از مزاحمت و حدس و گمان فراتر می‌رود. اگر کسی هم نشانی ایمیل و هم گذرواژه شما را داشته باشد، به‌خصوص اگر ورود دو مرحله‌ای فعال نباشد، وارد حساب ایمیل‌تان می‌شود. بعد از ورود، اولین کاری که معمولاً انجام می‌دهد تغییر گذرواژه و روش‌های بازیابی است. یعنی صاحب‌خانه را بیرون می‌اندازد و قفل را عوض می‌کند! پس از آن، چند خطر جدی پیش می‌آید: • ایمیل‌های خصوصی شما را می‌خواند. • می‌تواند از طرف شما برای دیگران پیام بفرستد. • می‌داند با این ایمیل در چه سرویس‌هایی عضو شده‌اید. • می‌تواند گذرواژه حساب‌های دیگر را از طریق ایمیل بازیابی کند. • از هویت شما برای فریب دوستان، همکاران یا خانواده استفاده می‌کند. • به فایل‌های ابری، مخاطبان، تقویم و اسناد متصل به ایمیل دسترسی می‌یابد. بخش بزرگی از سرویس‌های آنلاین، لینک تغییر رمز را به ایمیل شما می‌فرستند. بنابراین وقتی ایمیل از دست برود، بقیه‌ی حساب‌ها هم یکی‌یکی در خطر قرار می‌گیرند. اگر ایمیل شما به حساب‌های بانکی، سامانه‌های دولتی، بیمه، پرونده پزشکی یا فروشگاه‌های اینترنتی وصل باشد، خطر بیشتر می‌شود. در این حالت مهاجم ممکن است از میان پوشه‌ها و رسیدها و پیام‌ها، اطلاعاتی پیدا کند که برای کلاهبرداری مالی یا جعل هویت کافی‌اند. ▪️ هکرها ایمیل شما را از کجا پیدا می‌کنند؟ برای پیدا کردن ایمیل همیشه لازم نیست مهاجم نابغه رایانه باشد و در اتاقی تاریک با شش مانیتور بنشیند. همان‌قدر که پیدا کردن شماره تماس یک فروشگاه در اینترنت آسان است، پیدا کردن آدرس ایمیل شما هم در بسیاری از سایت‌های عمومی امکان‌پذیر است. با این حال، مجرمان سایبری معمولا به دنبال لقمه‌های بزرگ‌تر می‌گردند. وقتی یک شرکت بزرگ یا یک فروشگاه اینترنتی هک می‌شود، اطلاعات هزاران کاربر به سرقت می‌رود. این اطلاعات معمولاً شامل نام، آدرس ایمیل و گاهی رمزهای عبور است. مجرمان سایبری این اطلاعات خام را جمع‌آوری می‌کنند و در پایگاه‌های داده عظیم قرار می‌دهند تا در زمان مناسب، از آن‌ها برای ورود به حساب‌های شما استفاده کنند. اگر ایمیل‌تان در یک سایت لو رفته باشد و همان گذرواژه را در چند جای دیگر هم استفاده کرده باشید، کارشان خیلی راحت‌تر می‌شود. ▪️ نشانه‌هایی که می‌گویند ایمیل شما لو رفته است دریافت یک یا دو پیام تبلیغاتی به این معنی نیست که ایمیل شما به خطر افتاده؛ اما با دیدن این نشانه‌ها باید محتاط‌تر عمل کنید: • صندوق ورودی ناگهان پر از پیام‌های عجیب و غریب و ناشناس می‌شود. • پیام‌هایی از طرف شرکت‌های معروف دریافت می‌کنید که در آدرس فرستنده‌ی آن‌ها غلط‌های املایی وجود دارد. • در ایمیل از شما می‌خواهند روی یک لینک کلیک کنید تا حساب کاربری‌تان مسدود نشود. • پیامک‌ها یا ایمیل‌های متعددی برای تایید رمز عبور دریافت می‌کنید؛ در حالی که خودتان هیچ درخواستی نداده‌اید. • در شبکه‌های اجتماعی خود فعالیت‌های مشکوکی می‌بینید که خودتان آن‌ها را انجام نداده‌اید. • اعلان ورود ناموفق یا تلاش برای ورود از کشورها و دستگاه‌های ناشناس می‌بینید. • دوستان یا همکاران می‌گویند از طرف شما پیام عجیبی دریافت کرده‌اند. برای بررسی نشت اطلاعات، می‌توانید از سرویس‌های معتبر پایش نشت داده استفاده کنید. یکی از شناخته‌شده‌ترین نمونه‌ها سرویس «Have I Been Pwned» است که بررسی می‌کند ایمیل شما در نشت‌های شناخته‌شده دیده شده یا نه. البته هنگام استفاده از هر سرویس امنیتی، مطمئن شوید نشانی سایت درست است و اطلاعات حساس مانند گذرواژه‌ها را وارد نکنید. ▪️ ایمیل مشکوک را چطور تشخیص بدهیم؟ شناسایی پیام خطرناک کار پیچیده‌ای نیست و نیازی به ابزارهای تخصصی ندارد؛ گاهی با کمی دقت و ریزبینی می‌توانید دست کلاهبردارها را بخوانید. برای تشخیص ایمیل‌های مشکوک به این چند نشانه دقت کنید: • آدرس فرستنده را زیر ذره‌بین ببرید: فقط به نام فرستنده اعتماد نکنید و آدرس دقیق ایمیل را چک کنید؛ کلاهبردارها معمولاً از دامنه‌هایی شبیه به برندهای معتبر استفاده می‌کنند (مثلا عدد «0» را به جای حرف «O» می‌نویسند یا به جای حرف «m»، حروف «rn» را قرار می‌دهند). • فریب حس فوریت و ترس را نخورید: ایمیل‌های جعلی معمولاً شما را هول می‌کنند؛ پیام‌هایی با مضمون «حساب شما تا ۲۴ ساعت آینده مسدود می‌شود» منطق را از کار می‌اندازند تا سریع و بدون فکر واکنش نشان دهید. • پیش از کلیک کردن، لینک‌ها را بررسی کنید: نشانگر ماوس را روی دکمه‌ها یا لینک‌های داخل متن نگه دارید اما روی آن‌ها کلیک نکنید؛ اگر آدرس اینترنتی‌ به نمایش در‌آمده در گوشه پایین صفحه با آدرس سایت اصلی تفاوت داشت، پیام مورد نظر قطعاً یک تله است. • به غلط‌های املایی و نگارشی دقت کنید: وجود غلط‌های املایی، جمله‌بندی‌های عجیب یا ترجمه‌های ماشینی را جدی بگیرید؛ شرکت‌های معتبر پیش از ارسال پیام برای کاربران، متن‌ها را بارها ویرایش و بررسی می‌کنند. ▪️ چطور از ایمیل در اینترنت محافظت کنیم؟ امنیت در فضای دیجیتال هیچ‌وقت ۱۰۰ درصد تضمین شده نیست، اما با رعایت چند ترفند ساده می‌شود کار را برای مجرمان بسیار سخت کرد. • حساب‌های قدیمی را پاکسازی کنید: همه ما حساب‌هایی داریم که سال‌ها پیش ساخته‌ایم و دیگر به آن‌ها سر نمی‌زنیم. این حساب‌های رها شده، بهترین نقطه ضعف برای نفوذ مجرمان هستند. وقت بگذارید و حساب‌هایی که دیگر به آن‌ها نیازی ندارید را برای همیشه غیرفعال و حذف کنید. • قبل از ثبت‌نام، کمی مکث کنید: آدرس ایمیل خود را به راحتی در هر سایتی وارد نکنید. اگر فقط می‌خواهید یک مقاله بخوانید یا قیمت کالایی را چک کنید، نیازی نیست اطلاعات تماس خود را در اختیار آن سایت قرار دهید. بررسی کنید که آیا واقعاً به خدمات آن سایت نیاز دارید یا خیر. • ایمیل سایه بسازید: یک آدرس ایمیل اصلی برای موارد مهم مثل امور کاری و مالی بسازید و یک ایمیل ثانویه (ایمیل سایه) برای ثبت‌نام در سایت‌های سرگرمی، فروشگاه‌ها و خبرنامه‌ها ایجاد کنید. بدین ترتیب اگر ایمیل دوم شما پر از پیام‌های مزاحم شود، ایمیل اصلی و حیاتی در امان می‌ماند. • حساب ایمیل را دو قفله کنید: رمز عبور ایمیل باید طولانی، غیرقابل‌حدس و ترکیبی باشد. همچنین باید با همه گذرواژه‌های دیگر فرق داشته باشد. اگر از یک گذرواژه برای چند سایت استفاده کنید، لو رفتن یکی از آن‌ها می‌تواند بقیه را هم در معرض خطر بگذارد. مهم‌تر از همه، حتماً ورود دو مرحله‌ای یا احراز هویت چند عاملی را فعال کنید. با این کار حتی اگر کسی رمز عبور شما را هم پیدا کند، بدون دسترسی فیزیکی به گوشی موبایل نمی‌تواند وارد حساب‌تان شود. • از پیوست‌های ناشناس دوری کنید: اگر ایمیلی از یک فرد ناشناس دریافت کردید که فایلی ضمیمه آن بود، تحت هیچ شرایطی دانلودش نکنید. این فایل‌ها اغلب برنامه‌های مخربی‌اند که به محض اجرا شدن، کنترل سیستم را به دست می‌گیرند. • فیلترهای ایمیل و گزارش اسپم را جدی بگیرید: بیشتر سرویس‌های ایمیل از جمله «جیمیل» ابزارهایی برای تشخیص اسپم دارند. اگر ایمیلی مشکوک است، آن را به‌عنوان اسپم یا فیشینگ گزارش کنید. این کار هم صندوق شما را مرتب می‌کند و هم به سیستم ایمیل کمک می‌کند پیام‌های مشابه را بهتر شناسایی کند. ▪️ اگر ایمیل‌‌مان به خطر افتاده چه کنیم؟ اگر نشانه‌هایی از لو رفتن ایمیل دیدید یا مطمئن شدید کسی وارد حساب‌تان شده، در اولین فرصت این اقدامات را انجام دهید: • گذرواژه ایمیل را از روی یک دستگاه متفاوت و امن تغییر دهید. • ورود دو مرحله‌ای را فعال کنید. • شماره تلفن و ایمیل بازیابی حساب را کنترل کنید. • دستگاه‌ها و نشست‌های (Session) ناشناس را بررسی کنید و دسترسی‌های اضافه را ببندید. • گذرواژه حساب‌هایِ مهمِ متصلِ به آن ایمیل را تغییر دهید. • به دوستان و همکاران اطلاع دهید اگر پیام عجیبی از طرف شما گرفتند، روی لینک‌ها کلیک نکنند. • صندوق پیام‌های ارسالی و «قوانین خودکار» ایمیل را بررسی کنید؛ گاهی مهاجم، قانونی در تنظیمات می‌سازد که پیام‌ها را برای خودش بفرستد. ▪️ در آخر؛ هوشیاری محکم‌ترین سد در برابر نفوذ به حریم خصوصی مراقبت از ایمیل کار پیچیده‌ای نیست. کافی است روی هر لینک ناشناسی کلیک نکنید، یک قفل محکم مثل تایید دو مرحله‌ای روی آن بزنید و برای ثبت‌نام در سایت‌های موقت و نه‌چندان مهم، از ایمیل اصلی استفاده نکنید. با همین چند عادت ساده، دردسرهای بعدی را از خودتان دور می‌کنید و خیال‌تان از بابت امنیت اطلاعات شخصی‌ راحت می‌شود. حالا نوبت شماست. تا حالا نشانه‌ای از لو رفتن آدرس ایمیل‌تان را مشاهده کرده‌اید؟ از بین راهکارهایی که با هم مرور کردیم، کدام مورد را برای حفاظت از ایمیل فعال می‌کنید؟ ✍️ یونس مرادی #مبانی_امنیت #حریم_خصوصی

کودکان در دام اعتیاد به روتین‌های پوستی؛ هشدار درباره پدیده‌ی «کازمتیکورکسیا» تا حالا هنگام گشت‌ و گذار در اینستاگرام، چشم‌تان به ویدیوهای دختربچه‌هایی افتاده است که با مهارت یک آرایشگر حرفه‌ای، کرم‌ها و سرم‌های مختلف را به صورت‌شان می‌زنند؟ تصاویری که شاید در نگاه اول بامزه به نظر برسند، اما خبر از یک بحران جدی در دنیای امروز می‌دهند. چند سال پیش، دختری به نام Ellie-May که آن زمان فقط ۱۰ سال داشت، رو به دوربین لبخند می‌زد و روتین پیچیده و چندمرحله‌ایِ مراقبت از پوستش را برای صدها هزار دنبال‌کننده در شبکه‌های اجتماعی توضیح می‌داد. او تونر، سرم‌های براق‌کننده، کرم‌های گران‌قیمت، کانسیلر، رژگونه و هایلایتر را روی صورتش می‌مالید؛ سپس مژه‌هایش را فر می‌کرد، ریمل و برق لب می‌زد، موهایش را سشوار می‌کشید و اعلام می‌کرد که برای رفتن به بیرون آماده است. الی-مِی اکنون یک نوجوان ۱۳ ساله است. کاری که در دوران کرونا به عنوان یک سرگرمی ساده شروع شد، حالا به ماشین پول‌سازیِ خانواده‌اش تبدیل شده است. مادرش می‌گوید آن‌ها سالانه درآمدی قابل توجه (بیش از ۶۵ هزار دلار) از تولید همین محتواها به دست می‌آورند. ▪️ سونامیِ بیوتی‌بلاگرهای خردسال در شبکه‌های اجتماعی کافیست کمی در اینستاگرام یا تیک‌تاک بچرخید. ویدیوهای هزاران کودک دیگر را می‌بینید که با ذوق و شوق در حال ساختن کلیپ‌های آرایشی هستند. حتی بعضی از آن‌ها کودکان پنج یا شش ساله‌ای هستند که هنوز به سن مدرسه هم نرسیده‌اند، اما به بیوتی‌بلاگر تبدیل شده‌اند. شرکت‌های آرایشی که سال‌ها زنان بزرگسال را با ترس از پیری هدف قرار می‌دادند، حالا روی معدن طلای جدیدی دست گذاشته‌اند. در نتیجه، خردسالان و کودکانِ امروزی هم برای رسیدن به چهره‌ای بی‌نقص و پوستی صاف تلاش می‌کنند. ▪️ کازمتیکورکسیا زیر پوست کودکان! متخصصان پوست این روزها با پدیده‌ی ترسناکی روبه‌رو هستند که نام آن را «کازمتیکورکسیا» (Cosmeticorexia) گذاشته‌اند. این واژه به معنای وسواسی بیمارگونه برای داشتن پوستی بی‌نقص از سنین بسیار پایین است. کودکانی که درگیر این وسواس شده‌اند، رفتارهای نگران‌کننده‌ای از خود نشان می‌دهند، ازجمله: • به موبایل‌های هوشمند و شبکه‌های اجتماعی اعتیاد پیدا کرده‌اند. • روزانه درگیر امتحانِ ده‌ها محصول مختلف و گران‌قیمت روی صورت‌شان هستند. • حتی برای معاشرت ساده با اعضای خانواده در خانه هم حاضر نیستند بدون آرایش ظاهر شوند. پوست کودکان در حالت عادی در ایده‌آل‌ترین وضعیت ممکن قرار دارد و این روتین‌های سنگین عملاً در حال نابودی این سد دفاعیِ بی‌نظیرند. بسیاری از این کرم‌ها حاوی رتینول (Retinol) و ترکیبات فعال و قوی ضدپیری (مانند اسیدهای لایه‌بردار) هستند. استفاده از این ترکیبات قوی روی صورت حساس کودکان، باعث تخریب کامل «سد دفاعی پوست» می‌شود و سوختگی پوست، اگزما، و چین‌ و چروک زودرس در بزرگسالی را به همراه می‌آورد. ▪️ گیر افتادن در تله‌ی لایک و کامنت فاجعه فقط به آسیب‌های جسمی ختم نمی‌شود و آسیب‌های روانیِ این ماجرا بسیار عمیق‌تر است. روان‌شناسان دریافته‌اند این وسواس زودهنگام با «اختلال خودزشت‌انگاری» (BDD) ارتباط دارد؛ اختلالی که در آن فرد نسبت به یک نقص خیالی یا بسیار کوچک در ظاهر خود وسواس فکری پیدا می‌کند. کودکان، محتوای این بلاگرها را می‌بینند و فکر می‌کنند زندگی ایده‌آل و موفقیت یعنی داشتن همین چهره‌های بی‌نقص. بنابراین وقتی در دنیای واقعی نمی‌توانند به چنین ظاهری برسند، احساس سرخوردگی و شکست می‌کنند. هویت و عزت‌ نفس بسیاری از کودکان امروزی به تعداد لایک‌ها و نظرات فضای مجازی گره خورده و آن‌ها ارزش خود را با این اعداد می‌سنجند. ▪️ کلام آخر فیلترهای زیبایی و هوش مصنوعی در شبکه‌های اجتماعی، تعریف زیبایی را تحریف کرده‌اند. تصاویری که این کودکان در نمایشگر گوشی‌هایشان می‌بینند کاملاً ساختگی است. آن‌ها شبانه‌روز در حال تلاش و هزینه‌تراشی برای شبیه شدن به الگویی هستند که در دنیای واقعی اصلاً وجود خارجی ندارد. ✍️ آزاده رمضانی #راهنمای_والدین #خبر_و_تحلیل

دادگاه آلمانی: گوگل مسئول خطای هوش مصنوعی خودش است دادگاهی در آلمان رأیی داده که می‌تواند نگاه حقوقی به موتورهای جست‌وجو و چت‌بات‌های هوش مصنوعی را تغییر دهد. ماجرا از یک مشکل در جست‌وجوی گوگل شروع شد: هوش مصنوعی گوگل که خلاصه‌ای از مطالب را بالای نتایج جست‌وجو نشان می‌دهد، دو ناشر را به رفتارهای مشکوک، کلاهبرداری و سوءاستفاده‌های اشتراکی ربط داده بود؛ در حالی که در هیچ‌کدام از منابع اصلی، چنین اتهامی علیه این ناشران مطرح نشده بود. در جست‌وجوی عادی گوگل، مسئولیت محتوای هر سایت معمولاً برعهده گرداننده همان سایت است و گوگل فقط لینک‌های مرتبط را به کاربر نشان می‌دهد. اما وقتی پای هوش مصنوعی وسط می‌آید و با ترکیب چند منبع مختلف، جمله‌های تازه می‌سازد، پرسشی مهم مطرح می‌شود: اگر این جمله‌ها اشتباه باشند، چه کسی مسئول است؟ دادگاه منطقه‌ای مونیخ می‌گوید در چنین شرایطی، مسئولیت می‌تواند بر عهده شرکت سازنده و گرداننده هوش مصنوعی باشد. دادگاه می‌گوید در این پرونده، اطلاعات مربوط به چند شرکت دیگر با اطلاعات شاکیان مخلوط شده و هوش مصنوعی نتیجه‌ای ساخته که به آن شکل در هیچ‌کدام از منابع اصلی وجود نداشته است. به زبان ساده، هوش مصنوعی فقط یک متن را اشتباه نقل نکرده؛ بلکه با ترکیب اطلاعات مختلف، ادعایی تازه ساخته و همین ادعا به اعتبار دو شرکت آسیب زده است. گوگل در دفاع از خود گفته بود که با نمایش یک هشدار، به کاربران یادآوری می‌کند خلاصه‌های هوش مصنوعی ممکن است اشتباه باشند و باید جداگانه بررسی شوند؛ اما دادگاه این استدلال را کافی ندانسته است. در عوض منطق دادگاه این است: «اگر منبع اصلی اصلاً چنین حرفی نزده باشد، قربانی نمی‌تواند از آن منبع شکایت کند. از طرف دیگر، تنها نهادی که می‌تواند سازوکار تولید این خلاصه‌ها را تغییر دهد، خود گوگل است. بنابراین نمی‌شود مسئولیت خطا را به گردن کاربر یا سایت‌های دیگر انداخت.» اهمیت این رأی فقط به گوگل محدود نمی‌شود. بسیاری از ابزارهای هوش مصنوعی، از چت‌بات‌ها گرفته تا موتورهای جست‌وجوی هوشمند، در شرایط استفاده‌ی خود می‌نویسند که «پاسخ‌ها ممکن است نادرست باشند و کاربر باید آن‌ها را بررسی کند». اما این رأی می‌گوید چنین هشدارهایی همیشه برای رفع مسئولیت کافی نیست؛ مخصوصاً وقتی هوش مصنوعی ادعایی تازه می‌سازد که مستقیماً در هیچ منبعی نیامده است. #خبر_و_تحلیل #سواد_دیجیتال

بدافزارهایی که با ترساندن هوش مصنوعی پنهان می‌مانند! تصور کنید یک سارق بعد از دزدی، یادداشتی آنقدر وحشتناک جلوی در خانه بگذارد که مامور پلیس بعد از خواندنش، با خود بگوید «بیخیال…» و اصلاً بازرسی را ادامه ندهد! پژوهشگران متوجه شده‌اند در موج تازه‌ای از حملات نرم‌افزاری، هکرها از ترفندی مشابه برای فریب دادن هوش مصنوعی استفاده می‌کنند؛ آن‌ها بدافزارهایی می‌سازند که بخشی از متن‌شان طوری نوشته شده که هوش مصنوعی از بررسی هرچه بیشتر صرف نظر می‌کند! ابزارهای هوش مصنوعی کنونی، ترمزهایی از پیش تعریف‌شده دارند. برای مثال اگر از آن‌ها راجع به نحوه‌ی ساخت «بدافزار»، «تسلیحات شیمیایی» یا «تسلیحات اتمی» سوال کنید، فوراً ترمزشان کشیده می‌شود و از پاسخ دادن طفره می‌روند. حالا هکرها متوجه شده‌اند که با افزودن این نوع از متون ممنوعه به بدافزارها یا نرم‌افزارهای معتبری که آلوده شده‌اند، می‌توان فرایند بررسی امنیتی کدها از سوی هوش مصنوعی را هم مختل کرد. به زبان ساده، مهاجم سعی دارد کاری کند که ابزار امنیتی وقتی به بدافزار می‌رسد، به‌جای بررسی دقیق کدها با خود بگوید: «من اصلاً اجازه ندارم این را تحلیل کنم» و از آن رد شود. این نوع حمله نشانه‌ای است از ورود به مرحله تازه‌ای در امنیت سایبری؛ مهاجمان دیگر فقط انسان‌ها را فریب نمی‌دهند، بلکه رفتار هوش مصنوعی هم هدف قرار می‌گیرد و ترفندها در گذر زمان فقط پیچیده‌تر و خلاقانه‌تر خواهند شد. #سواد_دیجیتال #خبر_و_تحلیل

اگر برق برود، مک جدیدتان می‌تواند خودش روشن شود! اپل قابلیتی جدید به برخی مک‌های رومیزی اضافه کرده که برای خیلی‌ها، مخصوصاً در روزهای قطعی برق، کاربردی‌تر از چیزی است که به نظر می‌رسد. از «مک‌اواس تاهو» 26.5 به بعد، بعضی مدل‌های جدید مک می‌توانند بعد از اتصال دوباره‌ی برق و بدون نیاز به فشار دادن دکمه پاور، خودکار روشن شوند. این قابلیت فعلاً فقط روی این مدل‌ها کار می‌کند: مک مینی ۲۰۲۴ به بعد، مک استودیو ۲۰۲۵ به بعد و آی‌مک ۲۰۲۴ به بعد. برای فعال‌سازی باید وارد System Settings شوید، بخش Energy را باز کنید و گزینه Start up when power is connected را روی Always بگذارید. از این به بعد اگر مک خاموش باشد و برق دوباره وصل شود، دستگاه خودکار روشن می‌شود. کاربرد این قابلیت فقط راحتی بیشتر نیست. اگر مک را از راه دور کنترل می‌کنید (مثلاً در دفتر، استودیو، سرور خانگی یا حتی جایی که به دکمه پاور دسترسی ندارید) این قابلیت می‌تواند جلوی دردسرهای گوناگون را بگیرد. در ایران هم که قطعی برق برای خیلی‌ها مساله‌ای روزمره شده، اگر مک شما پشت میز یا در محل کار خاموش شده باشد، بعد از برگشت برق دوباره روشن می‌شود و می‌توانید با ابزارهای دسترسی از راه دور به آن وصل شوید. یک روش کاربردی‌تر هم استفاده از پریز هوشمند است. یعنی مک را به یک پریز هوشمند وصل کنید، این گزینه را روی Always بگذارید و بعد، هر وقت لازم شد، برق پریز را از راه دور قطع و وصل کنید تا مک روشن شود. البته این روند نباید جایگزین خاموش‌کردن امن سیستم شود. قطع ناگهانی برق همیشه می‌تواند برای فایل‌های باز، پروژه‌های ذخیره‌نشده یا دیسک‌ها دردسر ایجاد کند. اگر قرار است مرتب از این روش استفاده کنید، بهتر است اول مک را درست خاموش کنید و بعد برق را قطع کنید. ✍️ شایان ضیایی #خبر_و_تحلیل

توقف دسترسی کاربران به مدل Fable 5 کلاد به دستور دولت آمریکا! شرکت آنتروپیک چند روز قبل سرانجام مدل قدرتمند Fable 5 را ارائه کرد که با استقبال زیاد کاربران هم مواجه شد. اما از ساعاتی پیش در اقدامی بی‌سابقه با دستور مستقیم دولت آمریکا، دسترسی به‌ این مدل را با استناد به «نگرانی‌های امنیت ملی» متوقف کرده است. اصل ماجرا چیست؟ مدل هوش مصنوعی Mythos ابزاری بسیار قدرتمند و تخصصی در حوزه بررسی کدهای برنامه‌نویسی و امنیت سایبری است که آنتروپیک پیش از این آن را فقط در اختیار شرکای خاص و امنیتی خود قرار می‌داد و ما هم در نوشدارو در مورش صحبت کرده بودیم. اخیراً این شرکت تصمیم گرفت بخش بزرگی از قابلیت‌های شگفت‌انگیز این مدل را در قالب مدلی جدید به نام Fable 5 در دسترس عموم بگذارد. با وجود این‌که کدهای امنیتی سخت‌گیرانه‌ای برای جلوگیری از سوءاستفاده روی این ابزار اعمال شده بود، اما ظاهراً راهی برای «دور زدن فیلترها» (که در اصطلاح به آن Jailbreak می‌گویند) در این مدل پیدا شده است. دور زدن یا Jailbreak در هوش مصنوعی یعنی چه؟ یعنی کاربر با ترفندها و دستورات خاصی، هوش مصنوعی را فریب دهد تا کارهایی را که برایش ممنوع شده انجام دهد؛ مثلاً به‌جای راهنمایی علمی، کدهای مخرب بنویسد، راهنمای ساخت بدافزار تولید کند یا به یافتن حفره‌های امنیتی شبکه‌ها کمک کند. هیچ شرکتی نمی‌تواند تضمین کند که هوش مصنوعی‌اش صددرصد در برابر این فریب‌ها مقاوم است. موضوع شاید فقط جیل‌بریک نباشد… البته یک زاویه‌ی دیگر و مهم این ماجرا فراتر از یک مداخله موقت امنیتی است: این رویداد، پیش‌نمایشی شفاف و نگران‌کننده از آینده‌ای بسیار نزدیک است. تا پیش از این، تصور می‌شد هوش مصنوعی ابزاری دموکراتیک است که می‌تواند زمین بازی را برای همه انسان‌ها برابر کند و به هر کس، در هر کجای جهان، یک دستیار هوشمند و قدرتمند ارائه دهد. اما مداخله‌ی دولت‌ها «شکاف دیجیتالی» (Digital Divide) را وارد فاز خطرناک و بی‌سابقه‌ای می‌کند. اگر شکاف دیجیتالی در دهه‌های گذشته به معنای تفاوت کشورها در ضریب نفوذ اینترنت یا دسترسی به سخت‌افزار بود، شکاف دیجیتالیِ فردا، تفاوت در دستیابی به «ظرفیت تفکر و مدل‌های پیشرفته» است.

آیا کودکانی که زیاد بازی ویدیویی می‌کنند، در بزرگسالی بیشتر وابسته بازی می‌شوند؟ عصر جمعه است، شما از کار و روزمرگی خسته‌اید و کودکتان در خانه بی‌قراری می‌کند. چه راهی ساده‌تر از اینکه گوشی یا تبلت را به دستش بدهید تا برای چند ساعت در دنیای رنگارنگ بازی‌ها غرق شود؟ این روزها این «پرستارهای دیجیتال» در خانه‌ی بسیاری از ما حضور دارند؛ اما آیا این آرامش موقت، اگر به عادت روزانه و بدون‌مرز تبدیل شود، می‌تواند در آینده دردسرساز شود؟ بر اساس مطالعه‌ی جدیدی که در نشریه‌ی PLOS One منتشر شده است، انجام مداوم بازی‌های ویدیویی در سال‌های اولیه‌ی زندگی، به‌ویژه در دوران خردسالی، ارتباط نزدیکی با علائم شدیدترِ وابستگی به بازی در بزرگسالی دارد. ▪️ آیا بازی در سنین پایین، آینده‌ی فرزندمان را تغییر می‌دهد؟ «اختلال بازی اینترنتی» (Internet Gaming Disorder)، وضعیتی است که در آن فرد به‌شدت به بازی وابسته می‌شود، تا جایی که زندگی روزمره، تحصیل و کار او مختل می‌شود. با توجه به این‌که تحقیقاتِ اندکی درباره‌ی تأثیر بازی در دوران خردسالی و نوجوانی بر رفتارهای بزرگسالی انجام شده بود، پژوهشگران دانشگاه Western Ontario تصمیم گرفتند این موضوع را عمیق‌تر بررسی کنند. آن‌ها می‌خواستند بدانند آیا بازی زیاد در سال‌های اولیه زندگی، با علائم بازی مسئله‌ساز در بزرگسالی همراه است یا نه. 💡 نکته: پژوهشگران می‌گویند همان‌طور که در برخی اختلالات اعتیادی، سن شروع می‌تواند با شدت مشکلات بعدی ارتباط داشته باشد، در بازی‌های ویدیویی هم زمان شروع بازی ممکن است مهم باشد. البته میزان شباهت اختلال بازی اینترنتی با اعتیاد به مواد هنوز محل بحث علمی است و نباید این دو را کاملاً یکسان دانست. این پژوهشگران برای بررسی دقیق‌تر، یک ابزار اندازه‌گیری به نام «مقیاس استفاده‌ی مداوم از بازی‌های ویدیویی» (LVUS) طراحی کردند. آن‌ها با استفاده از مدل‌سازی‌های پیچیده‌ی آماری، افراد مختلف را بر اساس الگوی بازی کردن‌شان از سنین خردسالی تا امروز دسته‌بندی کردند. ▪️ خردسالی و نوجوانی؛ دوره‌های طلایی و حساس این پژوهش دو دوره‌ی خردسالی (زیر ۶ سال) و نوجوانی (بین ۱۰ تا ۱۹ سال) را حساس‌ترین مقاطع زندگی برای شکل‌گیری اختلال بازی اینترنتی معرفی می‌کند، اما چه عوامل مشخصی در این دوره‌ها تأثیرگذارند؟ در ادامه به مهم‌ترین یافته‌های این تحقیق اشاره می‌کنیم: • نقش پررنگ خردسالی: سال‌های پیش‌دبستانی، بیشترین ارتباط را با اختلال بازی اینترنتی در بزرگسالی دارند. البته پژوهشگران یادآور می‌شوند که نمی‌توان از نقش محیط نامناسب خانه یا نظارت ضعیف والدین چشم‌پوشی کرد؛ عواملی که نیازمند تحقیقات گسترده‌تری هستند. • نوجوانی و ترمزهایِ در حال رشدِ مغز: در نوجوانی، بخش‌های مربوط به کنترل تکانه و تصمیم‌گیری هنوز در حال رشد هستند. پژوهشگران می‌گویند بازی مداوم در این دوره ممکن است با الگوهای پاداش و کنترل رفتار ارتباط پیدا کند؛ اما هنوز روشن نیست این رابطه دقیقاً از چه مسیری شکل می‌گیرد. • بازی‌های آنلاین در برابر آفلاین: هر دو نوع بازی، آنلاین و آفلاین، در این مطالعه با علائم بازی مسئله‌ساز ارتباط داشتند؛ اما ارتباط بازی آنلاین قوی‌تر بود. ▪️ مهم است که با چه کسی بازی می‌کنیم نکته‌ی مهم دیگری که پژوهشگران دریافتند این است که تجربه‌یِ بازیِ انفرادی، ارتباط معناداری با بروز این اختلالِ رفتاری ندارد؛ بلکه بازی با دیگران است که پیش‌بینی‌کننده‌ی اختلال است. افزون بر این، مشخص شد بازی با غریبه‌های اینترنتی نسبت به بازی با افرادی در دنیای واقعی شناخته‌شده‌اند، خطر بیشتری برای ایجاد وابستگی به همراه دارد. به نظر می‌رسد افرادی که دچار نشانه‌های اختلال می‌شوند، تلاش می‌کنند کمبود حمایت‌های اجتماعیِ دنیای واقعی را با دوستی‌های مجازی پُر کنند. ▪️ کلام آخر در پایان، محققان تأکید می‌کنند این داده‌ها نشان‌دهنده‌ی «ارتباط» هستند و لزوماً «علت و معلول» قطعی را ثابت نمی‌کنند؛ چراکه عوامل پنهان فردی، روانی و محیطیِ بسیاری در این میان نقش دارند. با این وجود، نتایج این مطالعه هشدار روشنی برای والدین است تا در مورد زمان و نحوه‌ی ورود بازی‌های ویدیویی به زندگی فرزندان‌شان، به‌ویژه در سنین خردسالی، آگاهانه‌تر تصمیم بگیرند. ✍️ آزاده رمضانی #راهنمای_والدین

نیم میلیون کاربر و ۲۱ میلیارد دلار تراکنش؛ تلگرام میزبان یکی از بزرگ‌ترین بازار سیاه‌های اینترنت است؟ پیام‌رسان تلگرام به پناهگاهی امن برای بسیاری از کاربران تبدیل شده؛ اما این سطح بالای آزادی و تمرکز بر حریم خصوصی، روی تاریکی هم دارد. بررسی‌های جدید نشان می‌دهد که این پلتفرم در حال حاضر میزبان یکی از بزرگ‌ترین بازارهای سیاه اینترنتی به نام «شین‌بی گارانتی» (Xinbi Guarantee) است؛ شبکه‌ای بی‌قانون و چینی‌زبانی با گردش مالی خیره‌کننده ۲۱ میلیارد دلاری که خدماتی از پول‌شویی برای کلاهبرداران ارزهای دیجیتال تا مواردی مرتبط با بهره‌کشی جنسی از افراد کم‌سن را هم در بر می‌گیرد. ▪️ اعداد و ارقامی که زنگ خطر را به صدا درمی‌آورند بر اساس داده‌های منتشر شده توسط شرکت «الیپتیک» (Elliptic)، ابعاد فعالیت این شبکه بسیار فراتر از یک گروه مجرمانه ساده است. آمارها نشان می‌دهند که در کمتر از ۳ هفته، بیش از ۵۰۵ میلیون دلار تراکنش در این بستر انجام شده و تعداد کاربران آن به مرز ۵۰۰ هزار خریدار و فروشنده رسیده است. مجرمان در این بازار زیرزمینی دارایی‌های به‌ سرقت رفته را پول‌شویی کرده یا ابزارهای فیزیکی و دیجیتالی مورد نیاز برای فعالیت‌های غیرقانونی را به راحتی دادوستد می‌کنند. در ماه‌های اخیر آگهی‌هایی برای استخدام افراد زیر ۱۸ سال در صنعت جنسی نیز در این بازار منتشر شده که احتمالاً قربانیان قاچاق انسان هستند. هرچند در اوایل فروردین، دولت بریتانیا این شبکه را به دلیل تسهیل کلاهبرداری و قاچاق انسان تحریم کرد؛ اما با گذشت نزدیک به سه هفته از این تحریم‌ها، حساب‌های مرتبط با این بازار همچنان در تلگرام فعال بودند و به گفته الیپتیک، صدها میلیون دلار تراکنش تازه در این بستر ثبت شده بود. ▪️ دوراهی حریم خصوصی و امنیت پلتفرم‌ها تلگرام به پرسش‌های جدید وایرد درباره ادامه فعالیت Xinbi پاسخ نداده است. با این حال، این شرکت پیش‌تر در واکنش به انتقادها گفته بود با ممنوعیت‌های کلی مخالف است و این بازار به شهروندان چینی اجازه می‌دهد تا با وجود محدودیت‌های شدید مالی در چین، «راهی جایگزین برای انتقال پول بین‌المللی» پیدا کنند. با این حال، داده‌های الیپتیک نشان می‌دهد شین‌بی قرار نیست یک مسیر انتقالِ پول بی‌خطر باشد. زین‌بی (Xinbi) عمدتاً به‌عنوان سرویس پول‌شویی در خدمت صنعت عظیم کلاهبرداری رمزارزی کار می‌کند؛ از جمله باندهای سازمان‌یافته چینی که کمپ‌هایی را در میانمار، کامبوج و لائوس اداره و صدها هزار انسانِ قاچاق‌شده را مجبور به کار به‌عنوان کلاهبردار می‌کنند. آگهی‌های همین ماهِ گذشتهِ شین‌بی نشان می‌دهد که تجهیزاتی از جمله شوکر، باتوم‌های برقی و دستبند برای اداره همین عملیات‌های قاچاق انسان دادوستد می‌شود. جالب اینجاست که تلگرام سال گذشته در پی فشارهای رسانه‌ای، حساب‌های مرتبط با این بازار را موقتاً مسدود کرد؛ اما مجرمان به سادگی و در مدت کوتاهی توانستند شبکه خود را در همان پلتفرم بازسازی کرده و فعالیت‌های خود را از سر بگیرند. ▪️ چرا این موضوع برای ما اهمیت دارد؟ تلگرام بین کاربران ایرانی محبوبیت گسترده‌ای دارد و فقط برای گفت‌وگو استفاده نمی‌شود؛ بسیاری از کانال‌ها و گروه‌های مالی، رمزارزی، سرمایه‌گذاری، انتقال پول، ایردراپ و خریدوفروش هم در همین فضا فعال‌اند. همین محبوبیت باعث می‌شود کلاهبرداران بتوانند با ظاهر حرفه‌ای، اسم‌های خارجی، تعداد عضو بالا یا وعده سود سریع، اعتماد کاربران را جلب کنند. 💡 نکته‌ی مهم: در تلگرام، اعتبار یک کانال را از تعداد عضو، ظاهر حرفه‌ای، اسکرین‌شات سود یا اسم خارجی نسنجید. هر گروه مالی یا رمزارزی که وعده سود سریع، انتقال پول بی‌ ردپا یا سرمایه‌گذاری بدون ریسک می‌دهد، باید برای شما یک زنگ خطر جدی باشد. فعالیت بازارهایی مثل Xinbi نشان می‌دهد بعضی کلاهبرداری‌های رمزارزی و مالی، پشت‌صحنه‌ای بسیار بزرگ‌تر از چند پیام تبلیغاتی دارند؛ بنابراین در برخورد با کانال‌ها و گروه‌هایی که وعده سود تضمینی، نقدکردن دارایی مشکوک، انتقال پول ناشناس، سرمایه‌گذاری بی‌ریسک یا همکاری مالی بدون شفافیت می‌دهند، باید بسیار محتاط بود. ✍️ یونس مرادی #خبر_و_تحلیل

همکاری ویزا و OpenAI؛ وقتی هوش مصنوعی به‌جای شما خرید می‌کند تصور کنید به ChatGPT بگویید «بر اساس نظرات کاربران در فروشگاه‌های آنلاین، باکیفیت‌ترین هدفون را تا ۵ میلیون پیدا کن و برایم بخر.» این سناریو شاید غیرواقعی به نظر برسد، اما همکاری شرکت‌های ویزا و OpenAI آن را یک قدم جدی‌تر به واقعیت نزدیک می‌کند. این توافق بی‌سابقه پای پرداخت‌های امن و خودکار را به دنیای هوش مصنوعی باز می‌کند. به ‌این ترتیب «عامل‌های هوش مصنوعی» (AI Agents) در محصولات OpenAI، از جمله ChatGPT و مرورگر Atlas، به نیابت از کاربر کل مسیر خرید، از انتخاب کالا تا پرداخت هزینه و رزرو را برعهده می‌گیرند. ▪️ تضمین امنیت در خریدهای هوشمند شرکت ویزا برای اینکه خیال کاربران را راحت کند، ۲ راهکار اصلی را برای حفظ امنیت حساب بانکی در نظر گرفته است: • توکن‌سازی اطلاعات کارت: هوش مصنوعی هرگز شماره کارت، تاریخ انقضا و رمز شما را نمی‌بیند و ذخیره نمی‌کند. به جای آن برای هر خرید یک «کد موقت دیجیتال» ساخته می‌شود. (چیزی شبیه به امنیت پرداخت در Apple Pay). • ابزارهای کنترل دستیار هوشمند: کاربران کنترل کاملی بر خریدهای دستیار هوشمند خود دارند و می‌توانند سقف هزینه‌ها، دسته‌بندی فروشگاه‌های مجاز و الزامات تأیید نهایی برای هر پرداخت را تنظیم کنند. شرکت ویزا در این مسیر تنها نیست و «مسترکارت» (MasterCard) نیز سال گذشته با معرفی پلتفرمAgent Pay قدم در این مسیر گذاشته بود. ➕ نوشدارو پلاس: این همکاری فعلاً در چارچوب محصولات OpenAI مطرح شده است؛ یعنی ChatGPT و Atlas در مرکز این خبر قرار دارند. همین موضوع یک پرسش مهم ایجاد می‌کند: اگر پرداخت با عامل‌های هوش مصنوعی جدی شود، تکلیف دیگر اکوسیستم‌ها مثل Gemini گوگل یا Claude آنتروپیک چه می‌شود؟ ▪️ کاربران ایرانی تماشاگر قابلیت‌های جدید هرچند اکوسیستم پرداخت‌های هوشمند همچنان در مراحل ابتدایی است، اما نکته قابل‌تأمل محروم ماندن کاربران ایرانی از چنین سرویس‌هایی است. در‌حالی‌که جهان با سرعت به سمت خریدهای هوشمند، سریع و یکپارچه‌سازی‌ سرویس‌ها حرکت می‌کند، کاربران ایرانی به‌ دلیل تحریم‌های بین‌المللی از دسترسی به شبکه‌های پرداخت جهانی خدمات نوآورانه آنها دور مانده و صرفاً تماشاگر این تحولات بزرگ فناوری هستند. ✍️ یونس مرادی #خبر_و_تحلیل #ابزارها_و_افزونه‌ها

ایمیل یک‌بارمصرف چیست و کجا باید از آن استفاده کنیم؟ بعد از ساعت‌ها جست‌وجو در وب‌سایت‌های مختلف، بالاخره فایل موردنیازتان را پیدا کرده‌اید. روی دکمه دانلود کلیک می‌کنید، اما کادری بزرگ روی صفحه ظاهر می‌شود: «برای دانلود، ابتدا در سایت ثبت‌نام کنید». چاره‌ای نیست. آدرس ایمیل اصلی‌تان را که سال‌ها پیش ساخته‌اید و همه پیام‌های مهم‌تان به آن ارسال می‌شود، در کادر مربوطه می‌نویسید. چند روز بعد که ایمیل‌تان را باز می‌کنید، متوجه می‌شوید ده‌ها پیام تبلیغاتی درباره کاشت مو، تخفیف‌ فروشگاه‌های ناشناس یا حتی ایمیل‌های فریبکارانه ردیف شده‌اند. شما تنها نیستید؛ این یکی از هزینه‌های پنهان ثبت‌نام در سایت‌های ناشناس است. ▪️ ایمیل یک‌بارمصرف چیست؟ «ایمیل یک‌بارمصرف» (Burner Email) که گاهی به آن «ایمیل موقت» (Temporary Email) یا «ایمیل دورریختنی» (Disposable Email) هم گفته می‌شود، آدرسی است که برای ثبت‌نام کوتاه‌مدت، دانلود فایل، تست سرویس یا استفاده محدود ساخته می‌شود. بعضی از این آدرس‌ها بعد از چند دقیقه منقضی می‌شوند و بعضی دیگر تا زمانی که خودتان حذفشان کنید، فعال می‌مانند. ▪️ چرا باید از ایمیل یک‌بارمصرف استفاده کنیم؟ شاید با خودتان بگویید: «حالا چند تا ایمیل تبلیغاتی که این حرف‌ها را ندارد.»؛ اما ماجرا فقط به چند پیام مزاحم ختم نمی‌شود. طبق آمارهای شرکت امنیت سایبری NordVPN، تنها در سال ۲۰۲۵، بیش از ۵۰۱ میلیون آدرس ایمیل منحصربه‌فرد در پایگاه‌های داده هک شده در دارک‌وب پیدا شده است. وقتی آدرس ایمیل در چنین پایگاه‌هایی منتشر می‌شود، احتمال دریافت هرزنامه، ایمیل‌های فیشینگ و تلاش برای سوءاستفاده از حساب‌های مرتبط بیشتر می‌شود. 💡 نکته: ایمیل یک‌بارمصرف قرار نیست همه خطرها را حذف کند، اما مثل یک دیوار حائل عمل می‌کند؛ اگر جایی خراب شد، کل خانه آسیب نمی‌بیند. علاوه بر این وقتی از یک ایمیل در چند سرویس مختلف استفاده می‌کنید، مهاجمان راحت‌تر می‌توانند الگوی رفتاری شما را حدس بزنند، حساب‌ها را به هم ربط بدهند و اکانت‌های حساس شما را هدف بگیرند. ▪️ کجا از ایمیل یک‌بارمصرف استفاده کنیم؟ از ایمیل یک‌بارمصرف باید در مواردی استفاده کنید که نیازی به پشتیبانی دائمی، بازیابی رمز عبور یا ارتباط بلندمدت ندارید؛ فقط می‌خواهید کارتان در لحظه راه بیفتد و تمام، مثلاً: • ثبت‌نام در سایت‌های ناشناس برای یک‌بار استفاده • دانلود فایل، کتاب الکترونیکی یا دسترسی به محتوای محدود • تست سرویس آنلاینی که هنوز به آن اعتماد ندارید • شرکت در قرعه‌کشی‌ها، کمپین‌ها یا رویدادهای کوتاه‌مدت ▪️ چگونه ایمیل یک‌بارمصرف بسازیم و از آن استفاده کنیم؟ ساختن این ایمیل‌ها از دم کردن یک لیوان چای کیسه‌ای هم ساده‌تر است. قدم اول این است که یک ارائه‌دهنده رایج برای این کار پیدا کنید: • سرویس 10Minute Mail: یک صندوق ورودی سریع می‌سازد که پس از ده دقیقه کاملاً نابود می‌شود. • سرویس‌های TempMail و EmailOnDeck: پنل‌های ساده‌ای دارند و در نسخه‌های پولی، آدرس‌های بیشتر و امکانات مدیریتی بهتری ارائه می‌دهند. • سرویس Guerrilla Mail: یک پلتفرم قدیمی و محبوب برای دریافت ایمیل‌های دورریختنی است، بدون نیاز به ثبت‌نام. هرکدام از این وب‌سایت‌ها در چند ثانیه یک آدرس ایمیل یک‌بارمصرف (و معمولاً عجیب و غریب) برای شما تولید می‌کنند. بعد می‌توانید این آدرس را کپی کرده و در سایت مورد نظرتان وارد کنید. اگر سایت برای تأیید ثبت‌نام لینکی فرستاد، کافی است به همان صفحه ارائه‌دهنده ایمیل یک‌بارمصرف برگردید و صندوق ورودی (Inbox) را چک کنید. ▪️ چه زمانی نباید سراغ ایمیل یک‌بارمصرف رفت؟ همان‌قدر که ایمیل یک‌بارمصرف مفید است، استفاده نادرست از آن می‌تواند دردسرساز شود. هر جایی که پای اطلاعات حساس در میان است، باید دور آن را خط قرمز بکشید: • حساب‌های بانکی و مالی • خدمات درمانی و سلامت • سرویس‌های کاری و حرفه‌ای • صرافی‌های ارز دیجیتال • شبکه‌هایی که قرار است هویت دیجیتال شما باشند • برای حساب‌هایی که بعداً ممکن است نیاز به بازیابی رمز عبور، دریافت رسید، پیگیری سفارش یا پشتیبانی داشته باشند ⚠️ هشدار: بسیاری از سرویس‌های ایمیل یک‌بارمصرف، فاقد استانداردهای اولیه رمزنگاری و کنترل‌های امنیتی هستند. از این‌رو پیام‌های دریافتی شما در این پلتفرم‌ها امن نمی‌مانند و ممکن است توسط شخص ثالث رصد شوند. علاوه بر این به دلیل استفاده گسترده مجرمان سایبری از این آدرس‌ها برای کلاهبرداری، بسیاری از وب‌سایت‌های معتبر سیستم‌های فیلترینگی پیاده‌سازی کرده‌اند که دامنه‌های ایمیل یک‌بارمصرف را مسدود می‌کنند. بنابراین ممکن است در برخی سایت‌ها و سرویس‌ها به درستی کار نکنند. ▪️ جایگزین‌های امن‌تر، برای زمانی که موقت بودن کافی نیست گاهی به یک حساب کاربری برای دسترسی طولانی‌مدت، اما با ریسک پایین نیاز دارید. در این شرایط ایمیل یک‌بارمصرف راهکار مناسبی نیست و باید سراغ تکنیک‌های امن‌تری مانند «ایمیل مستعار» یا «پوشش ایمیل» بروید. جایگزین اول: پوشش ایمیل سرویس‌های «پوشش ایمیل» (Email Masking) به شما اجازه می‌دهند یک آدرس ایمیل واسطه بسازید. هر پیامی که به این آدرس واسطه فرستاده شود، به صورت خودکار به ایمیل اصلی شما فوروارد می‌شود. اگر روزی متوجه شدید این آدرس واسطه پر از هرزنامه شده، به سادگی آن را مسدود می‌کنید، در حالی که ایمیل اصلی‌ هنوز امن و دست‌نخورده باقی مانده است. جایگزین دوم: ایمیل مستعار راهکار دوم پناه بردن به « ایمیل مستعار» (Email Alias) است. این یکی مثل یک شاخه فرعی از ایمیل اصلی شماست که هر وقت آفت زد، می‌توانید آن را قطع کنید؛ بدون اینکه به ایمیل اصلی آسیبی برسد. ▪️ کدام ایمیل را کجا استفاده کنیم؟ • برای دانلود یک فایل از سایت ناشناس: ایمیل یک‌بارمصرف • برای خبرنامه‌ها و فروشگاه‌های کم‌اهمیت: پوشش ایمیل یا ایمیل مستعار • برای حساب‌های بانکی، درمانی، کاری و ارز دیجیتال: ایمیل اصلی امن با رمز قوی و تأیید دومرحله‌ای • برای تست یک سرویس ناشناس: ایمیل یک‌بارمصرف، بدون وارد کردن اطلاعات حساس ▪️ در آخر ایمیل اصلی شما حکم شماره موبایل شخصی‌تان را دارد و نباید آن را بی‌محابا در اختیار هر وب‌سایت ناشناسی قرار دهید. در عوض، با استفاده از ایمیل‌ یک‌بارمصرف برای نیازهای موقت و سرویس‌های «پوشش ایمیل» برای حساب‌های دائمی، می‌توانید سد دفاعی مستحکمی در برابر هرزنامه‌ها بسازید. البته فراموش نکنید که پلتفرم‌های ایمیل یک‌بارمصرف، راحتی و سرعت را به امنیت بلندمدت ترجیح می‌دهند؛ بنابراین از این ابزارها هوشمندانه و با احتیاط استفاده کنید. ✍️ یونس مرادی #سواد_دیجیتال #ابزارها_و_افزونه‌ها

خطر سرقت اطلاعات و رمزهای عبور؛ مراقب نسخه جعلی X-VPN باشید محققان شرکت «سایدرز» (Cyderes) کمپینی فعال را شناسایی کرده‌اند که در آن نسخه‌های جعلی چند برنامه محبوب برای انتشار بدافزار استفاده شده‌اند. یکی از مهم‌ترین نمونه‌ها، نسخه جعلی اپلیکیشن «ایکس وی‌پی‌ان» (X-VPN) است که برای نصب بدافزاری به نام STX RAT روی سیستم قربانیان استفاده شده است. این بدافزار می‌تواند رمزهای ذخیره‌شده، نشست‌های فعال و اطلاعات سیستم را سرقت کند و به مهاجم امکان اجرای دستور از راه دور بدهد. در این حمله سرویس ایکس وی‌پی‌ان هک نشده و کانال‌های رسمی دانلود این برنامه سالم هستند. خطر اصلی متوجه کاربرانی است که نسخه آلوده را از منابع غیررسمی (در این مورد، یک مخزن ناشناس در سرویس Bitbucket) دانلود کرده‌اند. در پاسخ به این تهدید، ایکس وی‌پی‌ان به‌سرعت آپدیت نسخه ۷۷.۵.۳ ویندوز را با کنترل‌های سخت‌گیرانه‌تر منتشر کرد. ➕ نوشدارو پلاس: این هشدار مشخصاً به نسخه ویندوز X-VPN مربوط است، آن هم زمانی که کاربر نسخه جعلی و دست‌کاری‌شده را از منابع غیررسمی دانلود کرده باشد. طبق اعلام X-VPN، نسخه‌های رسمی دریافت‌شده از وب‌سایت X-VPN یا Microsoft Store تحت تأثیر این سناریو نیستند. ▪️ روش زیرکانه هکرها برای اجرای حمله این کمپین ابتدا با نسخه‌های جعلی برنامه‌هایی مانند «بایننس» (Binance)، «بای‌بیت» (Bybit)، متاتریدر ۵ (MetaTrader 5) و کیف پول اکسودوس (Exodus)، معامله‌گران را هدف قرار داد. آن‌ها حتی به سراغ پلتفرم بازی استیم نیز رفتند و در نهایت تمرکز خود را روی کاربرانی گذاشتند که از ابزار تغییر آی‌پی ایکس وی‌پی‌ان برای حفظ حریم خصوصی بهره می‌برند. 💡 نکته: بد نیست بدانید شرکت Kaspersky (کسپرسکی) پیش‌تر متوجه شده بود که همین بدافزار با نفوذ به سایت CPUID، بیش از ۱۵۰ قربانی را در صنایع و کشورهای مختلف آلوده کرده بود. بر اساس یافته‌های شرکت سایدرز، مهاجمان در فایل نصبی اپ‌های معتبر یک فایل مخرب به نام CRYPTBASE.dll جاسازی می‌کنند؛ تکنیکی که به آن «بارگذاری جانبی» (DLL Sideloading) می‌گویند. به دلیل ساختار سیستم‌عامل ویندوز، فرایند نصب برنامه در ظاهر کاملاً عادی پیش می‌رود، اما فایل پنهان‌شده، بدافزار را مستقیماً به حافظه دستگاه تزریق می‌کند تا آنتی‌ویروس‌ها متوجه ردپای آن نشوند. پس از فعال‌سازی، بدافزار می‌تواند ارتباطات خود را در قالب ترافیک عادی و قفل‌گذاری‌شده وب پنهان سازد. ▪️ چطور قربانی برنامه‌های جعلی نشویم؟ دفاع در برابر این نوع حملات بسیار ساده است و نیازی به دانش فنی ندارد: • دانلود از منابع رسمی: برنامه‌ها را فقط از وب‌سایت اصلی شرکت یا فروشگاه‌های رسمی دانلود کنید. این هشدار برای ما کاربران ایرانی که اغلب ناچار به دانلود از منابع واسطه هستیم، اهمیتی دوچندان دارد. • تایپ مستقیم آدرس: برای جلوگیری از ورود به سایت‌های مشابه و جعلی، آدرس را مستقیم تایپ کنید و روی تبلیغات کلیک نکنید. • استفاده از نرم‌افزارهای امنیتی: داشتن یک آنتی‌ویروس قدرتمند و به‌روز در کنار رعایت اصول دانلود امن، لایه محافظتی محکمی ایجاد می‌کند. اگر گمان می‌کنید نسخه جعلی را نصب کرده‌اید، فرض را بر لو رفتن اطلاعاتتان بگذارید. فوراً رمزهای عبور خود را از یک دستگاه امن تغییر دهید، از حساب‌ها خارج شده و احراز هویت دومرحله‌ای را فعال کنید. ✍️ یونس مرادی #خبر_و_تحلیل #ابزارها_و_افزونه‌ها

آپدیت جدید اینستاگرام: قابلیت شخصی‌سازی الگوریتم به فید اصلی رسید اینستاگرام قابلیتی به‌نام «الگوریتم شما» (Your Algorithm) را به فید اصلی اضافه کرده است که به کاربران اجازه می‌دهد محتوای پیشنهادی را مطابق سلیقه‌شان تنظیم کنند. به لطف این قابلیت می‌توانید از یک فهرست مشخص تعیین کنید که دوست دارید در فید اصلی برنامه چه موضوعاتی را بیشتر ببینید و از چه محتوایی گریزان هستید. ▪️ الگوریتم جدید چطور کار می‌کند؟ تا پیش از این اینستاگرام علایق شما را بیشتر از روی رفتارتان (مثل لایک‌ها، تماشای کامل ویدیوها، ذخیره یا ارسال پست‌ها) حدس می‌زد؛ اما با تغییرات جدید، می‌توانید مستقیماً به این پلتفرم بگویید چه می‌خواهید. روند کار به این شکل است که اینستاگرام ابتدا بر اساس فعالیت‌های قبلی شما، فهرستی اولیه از علاقه‌مندی‌هایتان می‌سازد. سپس می‌توانید این فهرست را ویرایش کنید؛ مثلاً سهم موضوعاتی مانند سفر، آشپزی، فناوری یا طنز را افزایش دهید و موضوعاتی که برایتان جذابیتی ندارند را حذف کنید. ➕ نوشدارو پلاس: این تغییر به معنی پایان کار الگوریتم نیست؛ فقط کمی کنترل بیشتری به کاربر می‌دهد. همچنان اینستاگرام تصمیم می‌گیرد چه محتوایی را پیشنهاد کند، اما حالا شما می‌توانید بخشی از علایقی را که الگوریتم برایتان حدس زده، اصلاح کنید. این قابلیت پیش‌تر برای ریلز و اکسپلور معرفی شده بود و حالا به فید اصلی اینستاگرام هم رسیده است. «آدام موسری»، مدیر اینستاگرام در این باره می‌گوید: «کاربران باید روی محصولاتی که زمان زیادی را در آن‌ها سپری می‌کنند، کنترل و اختیار معناداری داشته باشند.» ▪️ چطور قابلیت Your Algorithm اینستاگرام را فعال کنیم؟ اگر این قابلیت برای حساب شما فعال شده باشد، می‌توانید از داخل تنظیمات اینستاگرام به آن دسترسی پیدا کنید. قبل از شروع، اپلیکیشن را به آخرین نسخه به‌روزرسانی کنید و سپس مراحل زیر را انجام دهید. ۱. وارد اپلیکیشن اینستاگرام شوید و به صفحه پروفایل خود بروید؛ ۲. روی منوی سه‌خط در بالای صفحه بزنید؛ ۳. وارد بخش Settings and activity شوید؛ ۴. گزینه Content preferences را پیدا کنید و وارد آن شوید؛ ۵. اگر قابلیت برای حساب شما فعال شده باشد، گزینه Your algorithm را می‌بینید؛ ۶. وارد این بخش شوید و موضوعاتی را که دوست دارید بیشتر یا کمتر در فید ببینید، ویرایش کنید. اگر این گزینه را نمی‌بینید، الزاماً مشکل از گوشی یا نسخه اپ نیست. طبق راهنمای اینستاگرام، این قابلیت هنوز ممکن است برای همه کاربران در دسترس نباشد و مثل بسیاری از قابلیت‌های جدید، مرحله‌ای فعال شود. ▪️ یک محدودیت مهم با وجود این تغییر جذاب، یک محدودیت وجود دارد: این سیستم فعلاً فقط برای دسته‌بندی‌های کلی (موضوعات) طراحی شده و کمکی به بیشتر دیده شدن حساب‌هایی که دنبال می‌کنید (مثل دوستان و صفحات موردعلاقه) نمی‌کند. موسری دلیل این امر را تغییر رفتار کاربران می‌داند. به گفته او، مدت‌هاست که ارتباطات شخصی کاربران به استوری‌ها و پیام‌های دایرکت منتقل شده است. آمارها نشان می‌دهد که در فید اصلی، شاید از هر ۵۰ دوست شما تنها یک نفر پست جدیدی منتشر کند؛ بنابراین اینستاگرام ناچار است این فضای خالی را با پیشنهادهای الگوریتمی پر کند. موسری تأکید می‌کند که این سطح از شخصی‌سازی به لطف «مدل‌های زبانی بزرگ» فراهم شده است. او پیش‌بینی می‌کند که در آینده‌ای نه‌چندان دور، هر کاربر نسخه‌ای کاملاً منحصربه‌فرد و سفارشی از اینستاگرام را تجربه خواهد کرد. ✍️ یونس مرادی #خبر_و_تحلیل #ابزارها_و_افزونه‌ها

🔗 مطالعه کامل مطلب در نوشدارو: nooshdaroo.ir/news-opinion/t…

پیام‌رسان دولتی فرانسه هدف حمله قرار گرفت: ادعای سرقت هزاران پیام و فایل دولت فرانسه سال گذشته برای کاهش وابستگی به پیام‌رسان‌های خارجی، استفاده از ابزارهایی مثل واتساپ و سیگنال را برای کارمندان دولتی ممنوع کرد و پیام‌رسان بومی و رمزنگاری‌شده «تی چپ» (Tchap) را جایگزین آن‌ها کرد؛ پلتفرمی که ثبت‌نام در آن فقط با ایمیل‌های دولتی ممکن است و بیش از ۳۰۰ هزار کاربر فعال دارد. حالا مقام‌های فرانسوی از رخنه‌ای امنیتی در همین پیام‌رسان خبر داده‌اند؛ رخدادی که ممکن است داده‌های بخشی از کاربران و محتوای برخی گفت‌وگوهای عمومی را در معرض دسترسی مهاجم قرار داده باشد. «آژانس امنیت سایبری فرانسه» (ANSSI) وقوع این رخنه را تأیید کرده و هم‌زمان یک هکر در دارک‌وب مدعی شده ۱۳.۵ گیگابایت داده از این پلتفرم سرقت کرده است. طبق ادعای او، این داده‌ها شامل اطلاعات بیش از ۷۳ هزار حساب کاربری، حدود ۶۴۳ هزار پیام، ۸۷۶ اتاق گفت‌وگو (از جمله اتاق‌های چندین وزارتخانه کلیدی فرانسه) است؛ هرچند تحقیقات رسمی هنوز ادامه دارد. تا اینجا نشانه‌ای از شکسته‌شدن رمزنگاری یا نفوذ مستقیم به زیرساخت اصلی اعلام نشده است. ماجرا بیشتر شبیه تصاحب یک حساب معتبر و سوءاستفاده از دسترسی‌های همان حساب به نظر می‌رسد؛ مسیری که خود مهاجم هم آن را نتیجه مهندسی اجتماعی دانسته است. نکته مهم اینجاست که اگرچه پیام‌های خصوصی تی چپ رمزنگاری سرتاسری دارند، اما اتاق‌های گفت‌وگوی عمومی چنین محافظتی ندارند. این رخداد یادآوری می‌کند که بومی بودن یا اختصاصی بودن یک پلتفرم، به‌تنهایی ضامن امنیت نیست. حتی اگر زیرساخت فنی امن باشد، خطای انسانی، مهندسی اجتماعی و ضعف در مدیریت دسترسی‌ها می‌تواند راه نفوذ را باز کند. برای سازمان‌ها، امنیت فقط انتخاب ابزار نیست؛ آموزش کاربران، محدودکردن دسترسی‌ها و جدی گرفتن سواد دیجیتال هم بخش اصلی ماجراست. ✍️ یونس مرادی #خبر_و_تحلیل #حریم_خصوصی

مرورگر کروم را همین حالا آپدیت کنید؛ گوگل یک آسیب‌پذیری روز صفر فعال را وصله کرد گوگل یک به‌روزرسانی امنیتی مهم برای مرورگر کروم منتشر کرده که ۷۴ آسیب‌پذیری امنیتی را برطرف می‌کند. از میان این موارد، ۱۷ آسیب‌پذیری با درجه اهمیت بحرانی (Critical) ثبت شده‌اند؛ اما مهم‌ترین مورد، یک آسیب‌پذیری «روز صفر» (Zero-Day) در موتور جاوااسکریپت کروم است؛ نقصی که گوگل تأیید کرده مهاجمان سایبری پیش از انتشار این وصله، در دنیای واقعی از آن سوءاستفاده کرده‌اند. اگر از کروم استفاده می‌کنید، آپدیت را عقب نیندازید. این آسیب‌پذیری می‌تواند از طریق یک صفحه مخرب، به مهاجم اجازه دهد کد دلخواه خود را در محیط محدودشده مرورگر یا همان «سندباکس» (Sandbox) اجرا کند. این به معنی کنترل قطعی کل دستگاه نیست، اما می‌تواند امنیت مرورگر، نشست‌های کاربری و داده‌های داخل آن را به خطر بیندازد. برای دریافت این آپدیت و ارتقا به نسخه‌های ایمن (149.0.7827.102 یا 149.0.7827.103 در ویندوز و مک، و نسخه 149.0.7827.102 در لینوکس) این مراحل را طی کنید: ۱. روی علامت سه‌نقطه در گوشه سمت‌ راست و بالای کروم کلیک کنید؛ ۲. وارد بخش Help و سپس About Google Chrome شوید؛ ۳. در اینجا کروم به‌طور خودکار آخرین نسخه را بررسی و دانلود می‌کند. (اگر از قبل نصب شده باشد، پیام به‌روز بودن را می‌بینید)؛ ۴. پس از پایان دانلود، روی دکمه Relaunch کلیک کنید تا مرورگر دوباره راه‌اندازی شده و وصله امنیتی فعال شود. 💡 نکته: مرورگرهای مبتنی بر کرومیوم، مثل مایکروسافت اج، بریو، اپرا و ویوالدی هم باید جداگانه بررسی شوند. چون این مرورگرها از پایه کرومیوم استفاده می‌کنند، ممکن است برای دریافت همین اصلاحات امنیتی به آپدیت جداگانه از سوی سازنده خود نیاز داشته باشند؛ بنابراین طی روزهای آینده بخش به‌روزرسانی آن‌ها را هم چک کنید. #خبر_و_تحلیل #ابزارها_و_افزونه‌ها

جهت مشاهده‌ی مطلب با چیدمان مناسب‌تر همراه با تصاویر تکمیلی، به لینک زیر در سایت نوشدارو مراجعه کنید: nooshdaroo.ir/cybersecurity-…

بدافزار ریموس: سارق جدیدی که تلگرام و رمزارزهایتان را بی‌صدا می‌دزدد صبح از خواب بیدار می‌شوید و می‌بینید تلگرام‌تان از دسترس خارج شده و کیف پول رمزارزی‌تان خالی است. با خودتان می‌گویید: «من که 2FA داشتم؛ پس چطور هک شدم؟» و پاسخ ممکن است بدافزار جدیدی به نام ریموس (Remus) باشد. گزارش‌ها می‌گویند جرایم سایبری در سال‌های اخیر ده‌ها میلیارد دلار خسارت به‌جا گذاشته‌اند. در این مقاله قرار است به بررسی یکی از پیچیده‌ترین و جدیدترین بدافزارهای حال حاضر دنیا یعنی ریموس بپردازیم؛ بدافزاری که حتی قوی‌ترین سدهای امنیتی مرورگر شما را به بازی می‌گیرد. ▪️ ظهور نسل جدیدی از سرویس‌های بدافزار؛ ریموس از کجا آمد؟ برای شناخت ریموس، اول باید پدرخوانده آن یعنی بدافزار معروف لوما (Lumma) را بشناسیم. اواخر سال ۲۰۲۵، هویت سازندگان لوما، یعنی گروه بدنام Doxxing، توسط محققان امنیتی فاش شد و شبکه آن‌ها ضربه سنگینی خورد. اما هکرها بیکار ننشستند. طولی نکشید که در فوریه ۲۰۲۶، شرکت امنیتی Gen Digital از ظهور نسخه تکامل‌یافته و ۶۴ بیتی این بدافزار با نام ریموس پرده برداشت. ریموس صرفاً یک کپی ساده از بدافزار قبلی نیست، بلکه مثل سارقی است که به جای دیلم و شاه‌کلید، حالا با ابزارهای هک الکترونیکی به سراغ ماشین‌های مدرن می‌آید. این بدافزار با معماری ۶۴ بیتی به‌راحتی در سیستم‌عامل‌های امروزی می‌تازد و شناسایی‌اش به شدت دشوار است. ▪️ ریموس چگونه قفل مرورگرها را می‌شکند؟ مرورگرهای اینترنتی (مثل کروم یا اج) برای محافظت از رمزهای عبور و کوکی‌های شما از یک گاوصندوق دیجیتال استفاده می‌کنند که کلید رمزگشایی آن، فقط در اختیار همان فرایند و محیطی قرار می‌گیرد که مرورگر به آن اعتماد دارد. به این ترفند امنیتی «رمزنگاری مقید به برنامه» (App-Bound Encryption یا ABE) گفته می‌شود. ریموس به جای اینکه تلاش کند در گاوصندوق را با زور بشکند، از یک ترفند فوق‌العاده موذیانه استفاده می‌کند: این بدافزار یک کد بسیار کوچک (تنها ۵۱ بایت) را مستقیماً به داخل مغز مرورگر شما (حافظه‌ی در حال اجرا) تزریق می‌کند. ریموس به‌جای شکستن رمزنگاری مرورگر، خودش را به‌عنوان بخشی از مرورگر جا می‌زند! با این حرکت، ریموس به‌جای شکستن قفل مرورگر، خودش را به‌جای مرورگر جا می‌زند تا کلید اصلی (معروف به v20_master_key) را بردارد. با این روش، مرورگر فریب می‌خورد و فکر می‌کند که در حال خواندن اطلاعات است، درحالی‌که ریموس می‌تواند به بخش بزرگی از داده‌های ذخیره‌شده مرورگر دسترسی پیدا کند. اگر مرورگرتان بسته باشد چطور؟ ریموس یک دسکتاپ مخفی در پس‌زمینه سیستم شما می‌سازد و مرورگر را آنجا بی‌صدا باز می‌کند تا شما هیچ پنجره مزاحمی نبینید! ▪️ پنهان‌کاری روی بلاکچین؛ تکنیک عجیب اترهایدینگ چیست؟ بدافزارهای قدیمی برای دریافت دستور از هکرها، به سرورها یا کانال‌های تلگرامی وابسته بودند. مشکل این روش برای هکرها این بود که شرکت‌های امنیتی می‌توانستند به سرعت سرورها را مسدود کنند تا ارتباط بدافزار با هکرها قطع شود. ریموس برای حل این مشکل، از تکنولوژی بلاکچین و مفهومی به نام اترهایدینگ (EtherHiding) استفاده می‌کند. اترهایدینگ به زبان ساده فرض کنید هکرها نقشه گنج و دستورالعمل‌های خود را روی قراردادهای هوشمند (Smart Contracts) در شبکه‌هایی مثل اتریوم یا زنجیره هوشمند بایننس می‌نویسند. از آنجا که بلاکچین غیرمتمرکز است و کسی نمی‌تواند اطلاعات آن را پاک کند، این دستورالعمل‌ها همیشه در دسترس بدافزار باقی می‌مانند. سیستم آلوده‌شده با یک درخواست ساده و بی‌خطر، کد مخرب را از دل بلاکچین بیرون می‌کشد و اجرا می‌کند. این روش، مقابله و مسدودسازی زیرساخت مهاجمان را بسیار دشوارتر می‌کند. ▪️ کسب‌وکار کثیف هکرها: خرید اشتراک دزدی وب‌سایت BleepingComputer در یک گزارش اختصاصی، ۱۲۸ پست در انجمن‌های مخفی هکرها را بین فوریه تا مِی ۲۰۲۶ بررسی کرده است. این گزارش نشان می‌دهد که ریموس صرفاً یک برنامه‌ی ساده نیست، بلکه «بدافزار به‌عنوان سرویس» (MaaS) است؛ یعنی سازندگان ریموس، پنل کاربری آن را با قیمت‌های مختلف به هکرهای تازه‌کار اجاره می‌دهند و خدمات پس از فروش هم ارائه می‌کنند! تبلیغات ریموس در این انجمن‌ها، ظاهری کاملاً حرفه‌ای و سازمان‌یافته دارند. آن‌ها ادعا می‌کنند که کار با این پنل آنقدر ساده است که «حتی یک کودک هم می‌تواند با آن کار کند» و به مشتریان پشتیبانی فنی ۲۴ ساعته ارائه می‌دهند. سرویس ریموس ویژگی‌های هولناکی دارد که برخی از آنها را مرور می‌کنیم: • بازیابی توکن (Restore-token): خطرناک‌ترین قابلیت ریموس، این است که حتی اگر شما متوجه هک شدن خود بشوید و رمز عبورتان را تغییر دهید، ریموس با استفاده از کوکی‌های سرقت‌شده، دوباره می‌تواند نشست (Session) شما را فعال کند. با این کار، ریموس، تایید دو مرحله‌ای (2FA) را دور می‌زند. • حمله به نرم‌افزارهای مدیریت رمز عبور (Password Managers): از آوریل ۲۰۲۶، ریموس قابلیت جدیدی اضافه کرد که پایگاه داده برنامه‌هایی مثل Bitwarden ،1Password و LastPass را از طریق دستکاری فایل‌های پایگاه داده محلی مرورگر موسوم به IndexedDB مرورگر، به سرقت می‌برد. • هدف‌گیری گیمرها و کاربران شبکه‌های اجتماعی: ریموس به‌صورت تخصصی برای ربودن اکانت‌های تلگرام، دیسکورد، استیم و بازی‌های شرکتRiot Games طراحی شده است. سازندگان این بدافزار، داشبوردهایی را به خریداران خود ارائه می‌دهند که اطلاعات دزدیده شده را مانند یک مدیر فروش سازمانی تحلیل کنند! ▪️ چرا کاربران ایرانی طعمه‌های ایده‌آلی‌اند؟ اگر فکر می‌کنید این خطرات فقط برای شرکت‌های خارجی است، سخت اشتباه می‌کنید. شرایط خاص اینترنت در ایران، ما را به یکی از جذاب‌ترین اهداف این بدافزارها تبدیل کرده است. نخست، وابستگی شدید ما به پلتفرم تلگرام برای ارتباطات روزمره و کسب‌وکارها، باعث می‌شود تا ربات‌ها و مینی‌اپلیکیشن‌های جعلی (با نام‌هایی شبیه پروژه‌های ایردراپ مثل پروژه‌های کلاهبرداری FEMITBOT) به‌راحتی بدافزارهایی شبیه به ریموس را تحت پوشش بازی‌های رمزارز یا ابزارهای دور زدن فیلترینگ روی سیستم نصب کنند. دوم، به‌دلیل شرایط اقتصادی، بسیاری از ایرانیان سرمایه‌های خود را به شکل تتر یا رمزارزهای دیگر، در کیف پول‌هایی مثل متامسک یا تراست‌ولت و با استفاده از افزونه‌ی مرورگر کامپیوتر نگهداری می‌کنند. ریموس دقیقاً همین افزونه‌ها را هدف می‌گیرد و در کسری از ثانیه دارایی را به یغما می‌برد. در نهایت، استفاده گسترده از نرم‌افزارهای کرک‌شده و ویندوزهای غیررسمی هم راه را برای ورود ریموس بدون هیچ‌گونه مزاحمتی باز می‌گذارد. ▪️ چطور از خودمان محافظت کنیم؟ به‌رغم پیچیدگی‌های ریموس، هنوز هم رعایت چند نکته ساده می‌تواند سیستم شما را در برابر آن ایمن کند: • رمزها را در مرورگر ذخیره نکنید: قابلیت ذخیره رمز عبور در گوگل کروم یا فایرفاکس را غیرفعال کنید. با توجه به تکنیک ABE Bypass در ریموس، مرورگرها دیگر به اندازه گذشته، محل مطمئنی برای نگهداری رمزها محسوب نمی‌شوند. در عوض، از یک مدیر رمز عبور مستقل و آفلاین (مانند KeePassXC) استفاده کنید که پایگاه داده‌ی آن خارج از مرورگر و با یک رمز اصلی قدرتمند محافظت می‌شود. • مراقب فایل‌های تلگرامی باشید: هر فایل ناشناسی که در گروه‌ها یا کانال‌های تلگرامی با عنوان «نسخه پریمیوم رایگان»، «فیلترشکن پرسرعت» یا «بازی‌های ایردراپ جدید» می‌بینید، می‌تواند یک ریموسِ تغییرشکل‌یافته باشد. • توکن‌های فعال خود را مرتب چک کنید: هر از گاهی به بخش Devices (دستگاه‌های فعال) در تلگرام یا اینستاگرام خود بروید و نشست‌های ناشناس را پاک کنید تا ویژگی Restore-token ریموس نتواند از آن‌ها سوءاستفاده کند. ✍️ هوشیار ذوالفقارنسب #مبانی_امنیت #ارزهای_دیجیتال

«کلود فیبل ۵» عرضه شد؛ نسخه‌ی ایمن هوش مصنوعی خطرناک آنتروپیک! شرکت «آنتروپیک» نسخه‌ی عمومی یکی از قدرتمندترین مدل‌های هوش مصنوعی خود را منتشر کرد؛ مدلی به نام «کلود فیبل ۵» (Claude Fable 5) که از همان خانواده‌ای می‌آید که چند ماه پیش خود شرکت گفته بود انتشار عمومی آن می‌تواند خطرناک باشد! نگرانی اصلی، توانایی‌های پیشرفته این مدل در حوزه‌هایی مثل امنیت سایبری، زیست‌شناسی و شیمی بود؛ حوزه‌هایی که پاسخ‌های دقیق و قدرتمند در آن‌ها می‌تواند هم به پژوهشگران و مدافعان امنیت کمک کند، هم در دست افراد خرابکار خطرساز شود. داستان از هوش مصنوعی دیگری به نام «کلاود میتوس» (Claude Mythos) شروع شد؛ مدلی که آنتروپیک آن را عرضه‌ی عمومی نکرد و فقط در اختیار گروه محدودی از متخصصان امنیت و شرکای مورد اعتماد (مانند گوگل و انویدیا) گذاشت. دلیل این محدودیت روشن بود: چنین مدلی می‌توانست در پیدا کردن آسیب‌پذیری‌های نرم‌افزاری، تحلیل حملات و رسیدگی به امور پیچیده امنیتی بسیار قدرتمند ظاهر شود. حالا آنتروپیک می‌گوید نسخه عمومی همین خانواده، یعنی فیبل ۵، با لایه‌های محافظتی تازه از راه رسیده و به اندازه کافی برای استفاده عمومی ایمن شده است. اگر کاربر درخواست‌های حساسی راجع به حمله سایبری، زیست‌شناسی پرخطر، شیمی یا تلاش برای استخراج توانایی‌های مدل برای فیبل ۵ بفرستد، سیستم اجازه نمی‌دهد خود مدل اصلی پاسخ بدهد. در این موارد، درخواست به مدلی محدودتر و امن‌تر منتقل می‌شود یا اصلاً کل پاسخ مسدود می‌شود. خود آنتروپیک می‌گوید این تدابیر محافظتی محتاطانه تنظیم شده‌اند و ممکن است بعضی درخواست‌های بی‌خطر را هم به اشتباه حساس تشخیص دهند. از طرف دیگر، همیشه این پرسش باقی می‌ماند که آیا می‌توان جلوی دور زدن چنین تدابیری را کاملاً گرفت یا نه. ابزارهای AI بسیار قدرتمند کم‌کم دارند در اختیار عموم قرار می‌گیرند، اما شرکت‌ها هنوز مشغول پیدا کردن پاسخ این پرسش‌اند که چطور می‌شود توانایی‌های هوش مصنوعی را به دست عموم رساند، بدون اینکه همان توانایی‌ها به ابزار سوءاستفاده تبدیل شوند… #خبر_و_تحلیل #ابزارها_و_افزونه‌ها

تغییر مهم در لتس‌انکریپت؛ گواهی‌های رایگان SSL به تحریم‌های آمریکا گره خورد بسیاری از وب‌سایت‌های ایرانی برای صدور گواهینامه‌ی SSL از خدمات رایگان شرکت «لتس‌انکریپت» (Let’s Encrypt)، استفاده می‌کنند که یکی از مهم‌ترین صادرکنندگان گواهی‌های امنیتی است. حالا این شرکت در سکوت خبری، یک بند جدید به توافق‌نامه کاربری خود اضافه کرده است که زنگ خطر را برای وب‌مسترها و کسب‌وکارهای ایرانی به صدا درمی‌آورد. بر اساس این تغییر، صدور و استفاده از این گواهی‌ها برای افراد و نهادهای حاضر در کشورهای تحت تحریم‌های جامع آمریکا محدود می‌شود. جزئیات بند جدید مهم است. طبق متن تازه، کسی که از لتس‌انکریپت گواهی می‌گیرد، باید تضمین کند که در کشور یا قلمرویی که هدف «تحریم‌های فراگیر آمریکا» است مستقر، ثبت‌شده یا حتی ساکن عادی نیست! علاوه بر این، گیرنده گواهی نباید در فهرست اشخاص و نهادهای ممنوع یا محدود براساس قوانین تحریم آمریکا باشد و نباید تحت مالکیت یا کنترل چنین افراد و نهادهایی فعالیت یا به جای آن‌ها عمل کند. به بیان ساده‌تر، موضوع فقط محل سرور یا آی‌پی نیست؛ جایگاه حقوقی صاحب سایت، شرکت، سازمان یا فردی که گواهی می‌گیرد هم مهم است. بخش حساس ماجرا همین «تحریم‌های فراگیر» است. این نوع تحریم با تحریم‌های موردی فرق دارد؛ یعنی فقط چند فرد یا شرکت خاص را هدف نمی‌گیرد، بلکه تقریباً کل رابطه اقتصادی و ارائه برخی خدمات به آن کشور یا منطقه را محدود می‌کند. ایران، کوبا، کره شمالی و همچنین مناطقی مثل کریمه، دونتسک و لوهانسک اوکراین در دسته تحریم‌های فراگیر آمریکا قرار دارند. بنابراین اگر وب‌سایت‌ها، شرکت‌های میزبانی یا سرویس‌دهندگان در این مناطق به تمدید خودکار گواهی‌های لتس‌انکریپت وابسته باشند، ممکن است در دریافت یا تمدید گواهی به مشکل بخورند. از این سند نمی‌توان نتیجه گرفت که لتس‌انکریپت همین حالا همه گواهی‌های موجود در ایران یا دیگر مناطق تحریمی را یک‌جا باطل می‌کند. متن بیشتر شبیه یک تعهد قراردادی جدید است: اگر کاربر یا سازمانی مشمول این محدودیت باشد، از نظر لتس‌انکریپت نباید از این گواهی‌ها استفاده کند و اگر شرایطش با تعهدات قرارداد سازگار نباشد، باید برای ابطال گواهی‌ها اقدام کند. پیامد عملی این تغییر، خود را در زمان صدور اولیه یا تمدید خودکار (از طریق پروتکل‌هایی مثل ACME) نشان می‌دهد. از نظر فنی سایت شما حذف نخواهد شد، اما پس از انقضای گواهی، مرورگرها با نمایش خطای امنیتی، مانع ورود کاربران می‌شوند. مسئله زمانی بحرانی‌تر می‌شود که سایت شما از مکانیزم HSTS استفاده کند. در این حالت، مرورگر به کاربر اجازه نادیده گرفتن هشدار را نمی‌دهد و وب‌سایت عملاً از دسترس خارج خواهد شد. اگرچه هنوز ابعاد فنی اجرای این تحریم از سوی لتس‌انکریپت مشخص نیست (مثلاً اینکه آیا صرفاً آی‌پی‌های ایران در زمان درخواست تمدید مسدود می‌شوند یا خیر)، اما احتمالا وب‌مسترها باید به فکر جایگزین باشند. استفاده از ارائه‌دهندگان گواهی رایگان دیگر مانند ZeroSSL، بهره‌گیری از گواهی‌های ارائه‌شده توسط کلودفلر (Cloudflare) یا شبکه‌های توزیع محتوای (CDN) داخلی و در نهایت خرید گواهی‌های SSL تجاری از شرکت‌های غیرآمریکایی، از جمله راهکارهایی است که می‌تواند مانع از قطعی سرویس‌ها در آینده شود. نظر شما در این مورد چیست؟ ✍️ شایان ضیایی #کسب_و_کار_آنلاین #خبر_و_تحلیل

وکلای هر دو طرف پرونده از هوش مصنوعی کمک گرفتند؛ قاضی همه را جریمه کرد! در یک دادگاه فدرال در ایالت می‌سی‌سی‌پی آمریکا، اتفاقی افتاد که بیشتر شبیه یک شوخی تلخ در دنیای فناوری بود: وکلای هر دو طرف پرونده از هوش مصنوعی کمک گرفتند و نتیجه این شد که انگار دو ابزار AI، به جای آدم‌ها داشتند علیه یکدیگر بحث حقوقی می‌کردند! البته مشکل فقط استفاده از هوش مصنوعی نبود؛ مشکل این بود که وکلا خروجی را هم درست بررسی نکرده بودند و در متن‌های حقوقی خود به پرونده‌هایی استناد کرده بودند که اصلاً وجود خارجی نداشتند؛ همان چیزی که به آن «توهم هوش مصنوعی» (AI Hallucination) می‌گویند. پرونده اصلی درباره اختلاف یک وکیل با نمایندگان شهر اَبِردین بر سر حق‌الوکاله‌های پرداخت‌نشده بود، اما خودِ پرونده خیلی زود به حاشیه رفت و رفتار وکلا تبدیل شد به موضوع اصلی دادگاه. قاضی با لحنی تند نوشت «دادگاه دوباره مجبور شده وقتش را صرف رسیدگی به پرونده‌های ساختگیِ تولیدشده با هوش مصنوعی کند». نتیجه هم کم‌هزینه نبود: جلسه دادگاه لغو شد، چهار وکیل پرونده از ادامه کار کنار گذاشته شدند، همه جریمه شدند و دو نفرشان اجازه‌ی حضور در این دادگاه را به مدت دو سال از دست دادند! نکته بامزه و در عین حال ترسناک ماجرا اینجاست که بعضی وکلا گفتند یا خودشان از ابزار هوش مصنوعی برای تحقیق و نوشتن متن استفاده کرده‌اند، یا متنی را که با هوش مصنوعی آماده شده بود بدون بررسی دقیق تایید کرده‌اند. یکی حتی گفته بود نمی‌دانسته هوش مصنوعی ممکن است پرونده حقوقی خیالی بسازد. این ماجرا یادآوری می‌کند که هوش مصنوعی می‌تواند دستیار خوبی باشد، اما جای قضاوت، مسئولیت و بررسی انسانی را نمی‌گیرد؛ مخصوصاً وقتی پای دادگاه، قانون و سرنوشت آدم‌ها وسط است. آیا شما هم تجربه‌ای از مشاهده‌ی ردپای هوش مصنوعی در جایی که نباید داشته‌اید؟! برای ما بنویسید. #خبر_و_تحلیل