کمبو لیست یک روش کشف نام کاربری و رمزعبور وبسایتها و اپلیکیشنها است. هکرها و نفوذگران کلاه سفید و سیاه به خوبی با کمبو لیست آشنایی دارند و از آن برای عبور سپرهای امنیتی وبسایتها استفاده میکنند.
درباره کمبو لیستها گفتنیهای زیادی هست؛ اینکه کمبو لیست چیست؟ کمبو لیست چه کاربردهایی دارد؟ آیا کمبو لیستها فقط برای مصارف خرابکاری و نفذ و دسترسی غیر مجاز به سایتها است؟ آیا کمبو لیستهای خارجی برای وبسایتهای ایرانی کاربرد دارند؟ چگونه بهترین کمبو لیست مورد نیاز خودمان را بسازیم؟ اصلا چگونه کمبو لیستها ساخته میشوند؟ داشتن یک کمبو لیست چقدر موفقیت هک پسورد یک سایت را افزایش میدهد؟
ما اینجا هستیم تا در این مطلب درباره همهچیز کمبو لیست (Combolist) صحبت کنیم و هر چیزی که باید درباره یکی از مهمترین مفاهیم و مسایل دنیای امنیت اطلاعات بدانید؛ را بیان کنیم.
انواع روش های هک پسورد
هکرها از روشهای مختلفی برای یافتن یا شکستن یک رمزعبور وبسایت و حساب کاربری آنلاین استفاده میکنند. شاید باور نکنید ولی نزدیک به ۱۵ روش برای هک پسورد در دنیای امنیت وجود دارد.
یک روش معروف Brute Force یا حمله جستوجوی فراگیر است که در آن شما یک نرمافزار مینویسید یا استفاده میکنید که تمام حالتهای مختلف ممکن برای رمزعبور یک وبسایت را مورد بررسی قرار میدهد. هکر سعی میکند تمام ترکیبهای ممکن از کارکترها را روی یک وبسایت تست کند تا سرانجام یکی از آنها، رمزعبور مورد نظر آن وبسایت باشد.
روش Brute Force یکی از موفقترین ترفندها برای شکستن رمزعبور وبسایتها است ولی این روزها دیگر کمتر مورد استفاده قرار میگیرد؛ چون وبسایتها طوری برنامهنویسی میشوند که اجازه تست هزاران کلمه عبور پشت سر هم را نمیدهند و پس از چند بار تست ناموفق، وبسایت قفل شده و دیگر Brute Force کار نمیکند. ضمن اینکه اگر شما برای وبسایت خود یک رمزعبور طولانی و پیچیده شامل حروف و کارکترهای خاص و اعداد انتخاب کرده باشید؛ مثلا یک رمزعبور ۱۵ کارکتری، تقریبا حمله Brute Force پسورد با شکست روبرو میشود؛ چون میلیاردها میلیارد ترکیب از این کارکترها باید تست شود.
روش بعدی هک پسورد، استفاده از ترفندهای مهندسی اجتماعی و فیشینگ است. یک ایمیل یا لینک جعلی برای شما ارسال میشود و شما فریب خورده و رمزعبور و نام کاربری وبسایت یا حساب کاربری آنلاین خود را در آن وارد میکنید و دو دستی به هکرها تقدیم خواهید کرد. در سالهای اخیر، حملات فیشینگ بخش عظیمی از هکهای حسابهای کاربری آنلاین و شنود و سرقت اطلاعات حساس کاربران را شامل میشدند ولی باز هم همیشه جوابگو نیستند و فقط بخشی از کاربران نسبت به حملات فیشینگ، آسیبپذیر هستند.
روشهای دیگری مانند نصب بدافزار یا ارسال کدهای آلوده به یک دستگاه و شنود اطلاعات وارد شده در یک سامانه برای هک پسورد وجود دارد اما یکی از مهمترین روشهای امروزی عبور از سد نام کاربری و رمزعبور وبسایتها و اپلیکیشنهای آنلاین، «کومبو لیست» است. کومبو لیستها روشی هوشمندانهتر و هدفمندتر از حملات Brute Force هستند و یک هکر یا نفوذکر یا مهندس امنیت اطلاعات را زودتر به نتیجه میرسانند. حتما برایتان جالب خواهد بود که بدانید کومبو لیست چیست و چه کاربردهایی دارد.
روشهای بسیار متنوع دیگر و البته کمتر شناخته شدهتری برای دور زدن اکانت و پسورد وبسایتها وجود دارد که معمولا در دورههای آموزشی اکانتینگ شبکه بحث میشوند. اگر خواستید یکی از این دورهها را آموزش ببینید؛ پیشنهاد ما دوره آموزشی فرادرس در لینک زیر است:
معرفی انواع کمبو لیست
کومبو لیست (Combolist) به زبان ساده شامل فهرستی از نام کاربری و پسوردهای معتبر و معروفی است که در وبسایتهای دیگر استفاده شده است. شما در روش کومبو لیست به جای اینکه تمام حالتهای ترکیبی ممکن برای یک رمزعبور وبسایت را به صورت تصادفی تست کنید؛ پسوردهای وبسایتهای مشابه دیگر را امتحان کرده؛ چون شانس بسیار بالاتری وجود دارد که یک نفر دیگر هم از این پسوردها برای وبسایت خود استفاده کرده باشد.
نکته بسیار مهمی که باید توجه کنیم؛ پسوردهایی که در یک کمبو لیست وجود دارد؛ پسوردهای واقعی و استفاده شده در دیگر وبسایتها است نه پسوردهای حدسی و احتمالی تولید شده توسط نرمافزار یا ماشین.
در کومبو لیست، فهرستی از Username و Password معتبر یا آدرس ایمیل و پسورد دارید که میتوانید به ابزارهای امنیتی برای تست روی یک وبسایت و سامانه آنلاین بدهید. معمولا فرمت یوزر و پسورد در یک کمبو لیست به شکل username:password یا email:password است. برای نمونه به یک کمبو لیست زیر نگاه کنید:
Usernam:Password --------------------- alphaman2015:kimbatoo joellagriffin:96529652 ۸angeloblu2:orione beeredup:traxxas bianka.bruemmer:123456789 driver2351:n6amjefhh5sr butter_ball_11288:love cemil_ende:123456 sumthingrandom06:6rustee gearyc:sarahdavid erik.nieman:stryker web4:basket00 sman1:aleunam david:david@pierceandthorn
در کمبو لیست بالا، کلمه اول، نام کاربری و کلمه دوم رمزعبور استفاده شده در تعدادی وبسایت و اپلیکیشن تحت وب است. عمدتا شما کمبو لیستها را نمیسازید؛ بلکه روی اینترنت و دارک وب هستند و باید به دستشان بیاورید. برای هر حوزه و مجموعهای از وبسایتهای مشابه میتوان یک کمبو لیست ساخت یا دانلود کرد.
کومبو لیستها به صورت یک فایل متنی هستند و چیز خاصی جز همین نام کاربری و پسورد ندارند. نرمافزارهای امنیتی و تست لاگین وبسایتها به طور خودکار میتوانند یک کومبو لیست را تشخیص داده و نیازی نیست مثلا شما خط به خط به آنها نام کاربری و پسورد را بدهید.
انواع کمبو لیست چیست؟
به طور کلی شما میتوانید دو نوع کمبو لیست داشته باشید؛ یک کمبو لیست شامل نام کاربری و رمزعبور (user/pass) وبسایتها و کمبو لیست دیگر شامل آدرس ایمیل و رمزعبور (email/pass).
مثالی از یک خط از کمبو لیست user/pass به شکل زیر است:
gearyc:sarahdavid
مثال یک خط از کمبو لیست email/pass نیز به صورت زیر خواهد بود:
mattbetea@wowway.com:3nipples
دلیل این تفاوت نیز از اینجا سرچشمه میگیرد که در برخی وبسایتها از آدرس ایمیل مدیر سیستم یا کاربر به عنوان نام کاربری استفاده میشود. تشخیص هر نوع کمبولیست بسیار ساده است. اگر در عبارت نخست این فهرست، از علامت ایمیل یا @ استفاده شده باشد؛ پس یک کمبو لیست email/pass است و در غیر این صورت با یک کمبو لیست user/pass روبرو هستیم.
کمبو لیست ها چگونه ساخته می شوند؟
وقتی صحبت از یک کمبو لیست میکنیم؛ فرضیه تصادفی بودن نام کاربری و رمزعبور کاملا منتفی میشود و قطعا هر خط از user/pass یک جایی روی اینترنت و وب به صورت واقعی استفاده شده است. اما یک کمبو لیست چگونه ساخته میشود؟
در دنیای شبکه و امنیت، هر روز و هر ساعت، خبرهایی مبنی بر لو رفتن پایگاه داده نام کاربری و پسوردهای یک وبسایت یا سرویس منتشر میشود. مثلا، چند وقت پیش اعلام شد بخشی از اطلاعات کاربران سایت فیسبوک لو رفته است یا پیشتر از آن حدود ۲۰۰ هزار اکانت سایت لینکدین منتشر شد. همینطور، روزانه شاهد انتشار اطلاعات وبسایتهای معتبر دنیا هستیم.
وقتی این اطلاعات لو میروند یا وبسایتهایی هک میشوند؛ اطلاعات نام کاربری و پسورد به همراه آدرس ایمیل آنها به کمبو لیستها اضافه میشوند و به این ترتیب مرتبا کمبو لیستها بهروز شده یا شاهد کمبو لیستهایی جدید هستیم. مثلا، کمبو لیست وبسایت مالی و اعتباری در سال ۲۰۲۱، کمبو لیست وبسایتهای شخصی در سال ۲۰۲۱، کمبو لیست رمزهای عبور سایتهای وردپرسی و …
این کمبو لیستها در سایتهای امنیتی و هکری، سایتهای فروشنده اطلاعات کاربران در وب تاریک و تالارهای هکر و نفوذگران خرابکار یافت میشوند و قابل دانلود هستند. برخی از این کمبو لیستها رایگان و برخی دیگر که جدیدتر و مهمتر و بهروزتر هستند؛ پولی بوده و باید شما آنها را خریداری کنید.
بنابراین ایده ساخت یک کمبو لیست چندان ایده خوبی نیست و معمولا مهندسان امنیت شبکه یا کارشناسان امنیت اطلاعات از کمبو لیستهای آماده استفاده میکنند؛ جز اینکه بخواهید یک کمبو لیست بسیار خاص و سفارشی برای خودتان بسازید که متعلق به یک نوع از وبسایتها یا کاربران باشد و معمولا در یک منطقه استفاده میشود. برای آموزش ساخت کمبو لیست میتوانید سراغ آموزش شبکههای کامپیوتری بروید:
کاربردهای کمبو لیست چیست؟
شاید تصور کنید یک کمبو لیست فقط برای شکستن رمزعبور یک وبسایت و نفوذ به آن و بعد سرقت اطلاعات یا پول و دسترسی به یک سری اسناد محرمانه است. اگر اینطور فکر میکنید؛ باید گفت در اشتباه هستید و کمبو لیستها طیف گستردهای از کاربردهایی دارند که اتفاقا به افزایش امنیت یک وبسایت یا سرویس و سامانه کمک میکنند.
وقتی یک کارشناس امنیت شبکه میخواهد بررسی کند آیا وبسایت سازمان آنها در برابر حملات شکستن رمزعبور چقدر مقاوم است؛ از کمبو لیستها استفاده میکند. یک کاربرد دیگر کمبو لیستها، حذف پسوردهایی است که احتمالا مشابهت یا نزدیکی به پسوردهای لو رفته در دنیای وب دارند.
اگر یک توسعهدهنده وبسایت یا مدیر یک پورتال با چندین پسورد باشید؛ باز هم کمبو لیستها برای شما جذاب و کاربردی خواهند بود؛ چون میتوانید بررسی کنید آیا رمزهای شما در این فهرست هستند یا خیر و چگونه رمزعبورهایی بسیار قوی و مستحکم تعریف کنید که هیچ کمبو لیستی نتواند آنها را لو بدهند.
برای بررسی نرمافزارهای Brute Force و شکستن پسورد و اینکه کدامیک بهتر است؛ باز هم از کمبو لیستها استفاده میشود. بنابراین، اینکه تصور کنید استفاده از کمبو لیستها فقط برای مصارف هک و نفوذ و خرابکاری است و افراد شرور دنبال آنها هستند؛ درست نیست. در بسیاری از مهارتهای پن تست شبکه و وبسایت از این کمبو لیستها استفاده میشود.
یکی از بهترین مصارف کمبو لیستها، گشتن دنبال رمزعبور وبسایتها یا سرویسهای آنلاین شخصی در آنها است. اینکه آیا رمزعبور وبسایت شما در این کمبو لیستها هست یا خیر و چقدر احتمال دارد یک رمزعبور نزدیک به پسورد شما در آنها یافت شود.
کمبو لیست ها و کشور ها؛ آیا هر کمبو لیستی در ایران قابل استفاده است؟
نکته مهمی که باید در ارتباط با کمبو لیستها بدانید؛ کمبو لیست هر کشوری برای استفاده در ایران مناسب نیست. در واقع، بالای ۹۰ درصد اوقات یک کمبو لیست غیر ایرانی برای وبسایتهای ایرانی جواب نمیدهد و باید برای وبسایتهای همان کشور استفاده شود. دلیل این امر واضح است: کاربران در ساخت پسوردها یا نام کاربری و ایمیلها از نامها و کلماتی استفاده میکنند که بومی همان کشور هستند و در کشور دیگری بیمعنی خواهند بود.
شما نمیتوانید از یک کمبو لیست ایرانی برای شکستن رمزعبور وبسایتهای خارجی استفاده کنید و برعکس آن هم صادق است؛ درصد موفقیت یک کمبو لیست خارجی برای وبسایتهای ایرانی بسیار پایین میآید.
در برخی کاربردها، مانند کمبو لیست کالاف دیوتی یا کمبو لیست پلیاستیشن شاید بتوانید یک کمبو لیست واحد و خارجی را برای کاربران کشورهای مختلف استفاده کرد ولی در وبسایتها باید سعی کنید از کمبو لیستهای همان کشور استفاده شود. مثلا، وقتی گفته میشود یک کمبو لیست از رمزهای عبور کاربران کشور ایالات متحده منتشر شده است؛ میتوان از این کمبو لیست برای هک وبسایتهای همان کشور سود برد.
اگر میخواهید درصد موفقیت یک کمبو لیست افزایش پیدا کند؛ باید سعی کنید کمبو لیستهای خارجی و بینالمللی را برای سرویسها و وبسایتهایی استفاده کنید که کاربرانی از سراسر جهان در آنها عضو هستند. معمولا سرورهای بازیها این شرایط را دارند و شما یک کمبو لیست از بازی Clash Of Clans داشته باشید؛ میتوانید برای سرورهای بازی League Of Legends نیز استفاده کنید. چون معمولا فردی که دارد کلس اف کلنز را بازی میکند؛ در سرورهای League Of Legends نیز اکانت دارد.
اما اگر میخواهید حساب کاربری یک ایرانی در اینستاگرام یا فیسبوک را بکشنید؛ قطعا یک کمبو لیست از کاربران اینستاگرام کشورهای دیگر به درد شما نخواهد خورد و درصد موفقیت بسیار پایین میآید.
مثالی دیگر بزنیم: اگر یک کمبو لیست از دانشجویان سیسکو در یک کشور به دست آوردید؛ احتمالا با درصد موفقیت بالایی میتوانید برای وبسایتهای آموزشی و دانشگاهی در همان کشور مورد استفاده قرار دهید؛ چون با قانون احتمالات باید ۱۰ الی ۲۰ درصد این دانشجویان در وبسایتهای مورد نظر شما نیز اکانت داشته باشند. در دوره آموزش نتورک پلاس فرادرس نیز روشهایی برای هک پسورد شبکههای کامپیوتری و همینطور افزایش امنیت شبکهها مرور میشود.
با یک جستوجوی ساده میتوانید کمبو لیستهای اختصاصی برای گیمینگ، اینستاگرام، پیپال، اکتیویژن، استیم، پیاسنان و غیره پیدا کنید که دقیقا به خاطر افزایش درصد موفقیت در شکستن رمزعبور تهیه شدند.
کمبو لیست پرایویت چیست؟
از نظر دسترسی عموم مردم به یک کمبو لیست و اینکه به طور عمومی روی اینترنت منتشر شده است یا خیر؛ کمبو لیستها به دو نوع پابلیک و پرایویت تقسیم میشوند.
یک کمبو لیست پابلیک، کمبو لیستی است که روی اینترنت منتشر شده و کاربران و وبسایتها مختلف به آن دسترسی دارند و چیز پنهانی ندارد ولی کمبو لیست پرایویت که ارزش بالاتری داشته و معمولا در سایتهای خرید و فروش کمبو لیست، گرانتر است؛ فهرستی از اکانتها و پسوردهایی است که به صورت عمومی منتشر نشدند.
ممکن است رمزعبور وبسایت شما برای سالهای طولانی لو رفته باشد و در یک یا چند کمبو لیست پرایویت موجود بوده ولی شما بیاطلاع باشید. هکرهای حرفهای، وقتی به چندین هزار اکانت یک وبسایت دسترسی پیدا میکنند؛ ابتدا یک کمبولیست پرایویت ساخته و سالها از آن استفاده کرده و هنگامی که دیگر نیازی به آن نداشتند؛ به صورت عمومی منتشر میکنند.
البته، نباشد گول پرایویت بودن هر کمبو لیست را خورد. بسیاری از وبسایتهای فروشنده کمبو لیست، صرفا برای فروش بیشتر یا گرانتر یک کمبو لیست، تیکت پرایویت را به آن میچسبانند. هکرهای حرفهای، کمبو لیستها را از دارک وب و مسیرهای مشخص و مطمئنی تهیه میکنند؛ نه اینکه در اینترنت سرچ کرده و با دیدن چند آگهی، اقدام به خرید کمبو لیست کنند.
هنوز میتوان نکات بسیار مهمی درباره کمبو لیستها و کلا هک پسورد وبسایتها بیان کرد ولی شاید این مقاله را بیش از حد طولانی کنند. ما در این مقاله سعی کردیم به زبان ساده بگوییم کمبو لیست چیست و انواع و کاربردهای آن را بیان کنیم ولی اگر واقعا یک علاقهمند این مباحث هستید؛ دعوت میکنیم سراغ آموزشهای امنیت شبکه فرادرس در لینک زیر بروید و براساس نیاز و علاقه خود، یک یا چند آموزش را انتخاب و پای درس اساتید امنیت شبکه و اطلاعات بنشینید:
اگر برای خرید مودم، اینترنت و تجهیزات شبکه سوال داشتید یا نیاز به راهنمایی و کمک دارید؛ کانال تلگرام شبکهچی به آیدی shabakehchi@ را فالو و پرسش خود را برای مدیر کانال بفرستید تا جواب دهیم.