کمبو لیست چیست – همه چیز درباره Combolist به زبان ساده

کمبو لیست یک روش کشف نام کاربری و رمزعبور وب‌سایت‌ها و اپلیکیشن‌ها است. هکرها و نفوذگران کلاه سفید و سیاه به خوبی با کمبو لیست آشنایی دارند و از آن برای عبور سپرهای امنیتی وب‌سایت‌ها استفاده می‌کنند.

درباره کمبو لیست‌ها گفتنی‌های زیادی هست؛ اینکه کمبو لیست چیست؟ کمبو لیست چه کاربردهایی دارد؟ آیا کمبو لیست‌ها فقط برای مصارف خرابکاری و نفذ و دسترسی غیر مجاز به سایت‌ها است؟ آیا کمبو لیست‌های خارجی برای وب‌سایت‌های ایرانی کاربرد دارند؟ چگونه بهترین کمبو لیست مورد نیاز خودمان را بسازیم؟ اصلا چگونه کمبو لیست‌ها ساخته می‌شوند؟ داشتن یک کمبو لیست چقدر موفقیت هک پسورد یک سایت را افزایش می‌دهد؟

ما اینجا هستیم تا در این مطلب درباره همه‌چیز کمبو لیست (Combolist) صحبت کنیم و هر چیزی که باید درباره یکی از مهم‌ترین مفاهیم و مسایل دنیای امنیت اطلاعات بدانید؛ را بیان کنیم.

انواع روش های هک پسورد

هکرها از روش‌های مختلفی برای یافتن یا شکستن یک رمزعبور وب‌سایت و حساب کاربری آنلاین استفاده می‌کنند. شاید باور نکنید ولی نزدیک به ۱۵ روش برای هک پسورد در دنیای امنیت وجود دارد.

یک روش معروف Brute Force یا حمله جست‌وجوی فراگیر است که در آن شما یک نرم‌افزار می‌نویسید یا استفاده می‌کنید که تمام حالت‌های مختلف ممکن برای رمزعبور یک وب‌سایت را مورد بررسی قرار می‌دهد. هکر سعی می‌کند تمام ترکیب‌های ممکن از کارکترها را روی یک وب‌سایت تست کند تا سرانجام یکی از آن‌ها، رمزعبور مورد نظر آن وب‌سایت باشد.

روش Brute Force یکی از موفق‌ترین ترفندها برای شکستن رمزعبور وب‌سایت‌ها است ولی این روزها دیگر کمتر مورد استفاده قرار می‌گیرد؛ چون وب‌سایت‌ها طوری برنامه‌نویسی می‌شوند که اجازه تست هزاران کلمه عبور پشت سر هم را نمی‌دهند و پس از چند بار تست ناموفق، وب‌سایت قفل شده و دیگر Brute Force کار نمی‌کند. ضمن اینکه اگر شما برای وب‌سایت خود یک رمزعبور طولانی و پیچیده شامل حروف و کارکترهای خاص و اعداد انتخاب کرده باشید؛ مثلا یک رمزعبور ۱۵ کارکتری، تقریبا حمله Brute Force پسورد با شکست روبرو می‌شود؛ چون میلیاردها میلیارد ترکیب از این کارکترها باید تست شود.

روش بعدی هک پسورد، استفاده از ترفندهای مهندسی اجتماعی و فیشینگ است. یک ایمیل یا لینک جعلی برای شما ارسال می‌شود و شما فریب خورده و رمزعبور و نام کاربری وب‌سایت یا حساب کاربری آنلاین خود را در آن وارد می‌کنید و دو دستی به هکرها تقدیم خواهید کرد. در سال‌های اخیر، حملات فیشینگ بخش عظیمی از هک‌های حساب‌های کاربری آنلاین و شنود و سرقت اطلاعات حساس کاربران را شامل می‌شدند ولی باز هم همیشه جوابگو نیستند و فقط بخشی از کاربران نسبت به حملات فیشینگ، آسیب‌پذیر هستند.

روش‌های دیگری مانند نصب بدافزار یا ارسال کدهای آلوده به یک دستگاه و شنود اطلاعات وارد شده در یک سامانه برای هک پسورد وجود دارد اما یکی از مهم‌ترین روش‌های امروزی عبور از سد نام کاربری و رمزعبور وب‌سایت‌ها و اپلیکیشن‌های آنلاین، «کومبو لیست» است. کومبو لیست‌ها روشی هوشمندانه‌تر و هدفمندتر از حملات Brute Force هستند و یک هکر یا نفوذکر یا مهندس امنیت اطلاعات را زودتر به نتیجه می‌رسانند. حتما برایتان جالب خواهد بود که بدانید کومبو لیست چیست و چه کاربردهایی دارد.

روش‌های بسیار متنوع دیگر و البته کمتر شناخته شده‌تری برای دور زدن اکانت و پسورد وب‌سایت‌ها وجود دارد که معمولا در دوره‌های آموزشی اکانتینگ شبکه بحث می‌شوند. اگر خواستید یکی از این دوره‌ها را آموزش ببینید؛ پیشنهاد ما دوره آموزشی فرادرس در لینک زیر است:

• آموزش اکانتینگ شبکه فرادرس – کلیک کنید

معرفی انواع کمبو لیست

کومبو لیست (Combolist) به زبان ساده شامل فهرستی از نام کاربری و پسوردهای معتبر و معروفی است که در وب‌سایت‌های دیگر استفاده شده است. شما در روش کومبو لیست به جای اینکه تمام حالت‌های ترکیبی ممکن برای یک رمزعبور وب‌سایت را به صورت تصادفی تست کنید؛ پسوردهای وب‌سایت‌های مشابه دیگر را امتحان کرده؛ چون شانس بسیار بالاتری وجود دارد که یک نفر دیگر هم از این پسوردها برای وب‌سایت خود استفاده کرده باشد.

نکته بسیار مهمی که باید توجه کنیم؛ پسوردهایی که در یک کمبو لیست وجود دارد؛ پسوردهای واقعی و استفاده شده در دیگر وب‌سایت‌ها است نه پسوردهای حدسی و احتمالی تولید شده توسط نرم‌افزار یا ماشین.

در کومبو لیست، فهرستی از Username و Password معتبر یا آدرس ایمیل و پسورد دارید که می‌توانید به ابزارهای امنیتی برای تست روی یک وب‌سایت و سامانه آنلاین بدهید. معمولا فرمت یوزر و پسورد در یک کمبو لیست به شکل username:password یا email:password است. برای نمونه به یک کمبو لیست زیر نگاه کنید:

Usernam:Password
---------------------
alphaman2015:kimbatoo
joellagriffin:96529652
۸angeloblu2:orione
beeredup:traxxas
bianka.bruemmer:123456789
driver2351:n6amjefhh5sr
butter_ball_11288:love
cemil_ende:123456
sumthingrandom06:6rustee
gearyc:sarahdavid
erik.nieman:stryker
web4:basket00
sman1:aleunam
david:david@pierceandthorn

در کمبو لیست بالا، کلمه اول، نام کاربری و کلمه دوم رمزعبور استفاده شده در تعدادی وب‌سایت و اپلیکیشن تحت وب است. عمدتا شما کمبو لیست‌ها را نمی‌سازید؛ بلکه روی اینترنت و دارک وب هستند و باید به دست‌شان بیاورید. برای هر حوزه و مجموعه‌ای از وب‌سایت‌های مشابه می‌توان یک کمبو لیست ساخت یا دانلود کرد.

کومبو لیست‌ها به صورت یک فایل متنی هستند و چیز خاصی جز همین نام کاربری و پسورد ندارند. نرم‌افزارهای امنیتی و تست لاگین وب‌سایت‌ها به طور خودکار می‌توانند یک کومبو لیست را تشخیص داده و نیازی نیست مثلا شما خط به خط به آن‌ها نام کاربری و پسورد را بدهید.

انواع کمبو لیست چیست؟

به طور کلی شما می‌توانید دو نوع کمبو لیست داشته باشید؛ یک کمبو لیست شامل نام کاربری و رمزعبور (user/pass) وب‌سایت‌ها و کمبو لیست دیگر شامل آدرس ایمیل و رمزعبور (email/pass).

مثالی از یک خط از کمبو لیست user/pass به شکل زیر است:

gearyc:sarahdavid

مثال یک خط از کمبو لیست email/pass نیز به صورت زیر خواهد بود:

mattbetea@wowway.com:3nipples

دلیل این تفاوت نیز از اینجا سرچشمه می‌گیرد که در برخی وب‌سایت‌ها از آدرس ایمیل مدیر سیستم یا کاربر به عنوان نام کاربری استفاده می‌شود. تشخیص هر نوع کمبولیست بسیار ساده است. اگر در عبارت نخست این فهرست، از علامت ایمیل یا @ استفاده شده باشد؛ پس یک کمبو لیست email/pass است و در غیر این صورت با یک کمبو لیست user/pass روبرو هستیم.

کمبو لیست ها چگونه ساخته می شوند؟

وقتی صحبت از یک کمبو لیست می‌کنیم؛ فرضیه تصادفی بودن نام کاربری و رمزعبور کاملا منتفی می‌شود و قطعا هر خط از user/pass یک جایی روی اینترنت و وب به صورت واقعی استفاده شده است. اما یک کمبو لیست چگونه ساخته می‌شود؟

در دنیای شبکه و امنیت، هر روز و هر ساعت، خبرهایی مبنی بر لو رفتن پایگاه داده نام کاربری و پسوردهای یک وب‌سایت یا سرویس منتشر می‌شود. مثلا، چند وقت پیش اعلام شد بخشی از اطلاعات کاربران سایت فیسبوک لو رفته است یا پیش‌تر از آن حدود ۲۰۰ هزار اکانت سایت لینکدین منتشر شد. همین‌طور، روزانه شاهد انتشار اطلاعات وب‌سایت‌های معتبر دنیا هستیم.

وقتی این اطلاعات لو می‌روند یا وب‌سایت‌هایی هک می‌شوند؛ اطلاعات نام کاربری و پسورد به همراه آدرس ایمیل آن‌ها به کمبو لیست‌ها اضافه می‌شوند و به این ترتیب مرتبا کمبو لیست‌ها به‌روز شده یا شاهد کمبو لیست‌هایی جدید هستیم. مثلا، کمبو لیست وب‌سایت مالی و اعتباری در سال ۲۰۲۱، کمبو لیست وب‌سایت‌های شخصی در سال ۲۰۲۱، کمبو لیست رمزهای عبور سایت‌های وردپرسی و …

این کمبو لیست‌ها در سایت‌های امنیتی و هکری، سایت‌های فروشنده اطلاعات کاربران در وب تاریک و تالارهای هکر و نفوذگران خرابکار یافت می‌شوند و قابل دانلود هستند. برخی از این کمبو لیست‌ها رایگان و برخی دیگر که جدیدتر و مهم‌تر و به‌روزتر هستند؛ پولی بوده و باید شما آن‌ها را خریداری کنید.

بنابراین ایده ساخت یک کمبو لیست چندان ایده خوبی نیست و معمولا مهندسان امنیت شبکه یا کارشناسان امنیت اطلاعات از کمبو لیست‌های آماده استفاده می‌کنند؛ جز اینکه بخواهید یک کمبو لیست بسیار خاص و سفارشی برای خودتان بسازید که متعلق به یک نوع از وب‌سایت‌ها یا کاربران باشد و معمولا در یک منطقه استفاده می‌شود. برای آموزش ساخت کمبو لیست می‌توانید سراغ آموزش شبکه‌های کامپیوتری بروید:

• آموزش شبکه های کامپیوتری — هم اکنون ببینید

کاربردهای کمبو لیست چیست؟

شاید تصور کنید یک کمبو لیست فقط برای شکستن رمزعبور یک وب‌سایت و نفوذ به آن و بعد سرقت اطلاعات یا پول و دسترسی به یک سری اسناد محرمانه است. اگر این‌طور فکر می‌کنید؛ باید گفت در اشتباه هستید و کمبو لیست‌ها طیف گسترده‌ای از کاربردهایی دارند که اتفاقا به افزایش امنیت یک وب‌سایت یا سرویس و سامانه کمک می‌کنند.

وقتی یک کارشناس امنیت شبکه می‌خواهد بررسی کند آیا وب‌سایت سازمان آن‌ها در برابر حملات شکستن رمزعبور چقدر مقاوم است؛ از کمبو لیست‌ها استفاده می‌کند. یک کاربرد دیگر کمبو لیست‌ها، حذف پسوردهایی است که احتمالا مشابهت یا نزدیکی به پسوردهای لو رفته در دنیای وب دارند.

اگر یک توسعه‌دهنده وب‌سایت یا مدیر یک پورتال با چندین پسورد باشید؛ باز هم کمبو لیست‌ها برای شما جذاب و کاربردی خواهند بود؛ چون می‌توانید بررسی کنید آیا رمزهای شما در این فهرست هستند یا خیر و چگونه رمزعبورهایی بسیار قوی و مستحکم تعریف کنید که هیچ کمبو لیستی نتواند آن‌ها را لو بدهند.

برای بررسی نرم‌افزارهای Brute Force و شکستن پسورد و اینکه کدام‌یک بهتر است؛ باز هم از کمبو لیست‌ها استفاده می‌شود. بنابراین، اینکه تصور کنید استفاده از کمبو لیست‌ها فقط برای مصارف هک و نفوذ و خرابکاری است و افراد شرور دنبال آن‌ها هستند؛ درست نیست. در بسیاری از مهارت‌های پن تست شبکه و وب‌سایت از این کمبو لیست‌ها استفاده می‌شود.

یکی از بهترین مصارف کمبو لیست‌ها، گشتن دنبال رمزعبور وب‌سایت‌ها یا سرویس‌های آنلاین شخصی در آن‌ها است. اینکه آیا رمزعبور وب‌سایت شما در این کمبو لیست‌ها هست یا خیر و چقدر احتمال دارد یک رمزعبور نزدیک به پسورد شما در آن‌ها یافت شود.

• دوره کامل ویدئویی آموزش +Network – کلیک کنید

کمبو لیست ها و کشور ها؛ آیا هر کمبو لیستی در ایران قابل استفاده است؟

نکته مهمی که باید در ارتباط با کمبو لیست‌ها بدانید؛ کمبو لیست هر کشوری برای استفاده در ایران مناسب نیست. در واقع، بالای ۹۰ درصد اوقات یک کمبو لیست غیر ایرانی برای وب‌سایت‌های ایرانی جواب نمی‌دهد و باید برای وب‌سایت‌های همان کشور استفاده شود. دلیل این امر واضح است: کاربران در ساخت پسوردها یا نام کاربری و ایمیل‌ها از نام‌ها و کلماتی استفاده می‌کنند که بومی همان کشور هستند و در کشور دیگری بی‌معنی خواهند بود.

شما نمی‌توانید از یک کمبو لیست ایرانی برای شکستن رمزعبور وب‌سایت‌های خارجی استفاده کنید و برعکس آن هم صادق است؛ درصد موفقیت یک کمبو لیست خارجی برای وب‌سایت‌های ایرانی بسیار پایین می‌آید.

در برخی کاربردها، مانند کمبو لیست کالاف دیوتی یا کمبو لیست پلی‌استیشن شاید بتوانید یک کمبو لیست واحد و خارجی را برای کاربران کشورهای مختلف استفاده کرد ولی در وب‌سایت‌ها باید سعی کنید از کمبو لیست‌های همان کشور استفاده شود. مثلا، وقتی گفته می‌شود یک کمبو لیست از رمزهای عبور کاربران کشور ایالات متحده منتشر شده است؛ می‌توان از این کمبو لیست برای هک وب‌سایت‌های همان کشور سود برد.

اگر می‌خواهید درصد موفقیت یک کمبو لیست افزایش پیدا کند؛ باید سعی کنید کمبو لیست‌های خارجی و بین‌المللی را برای سرویس‌ها و وب‌سایت‌هایی استفاده کنید که کاربرانی از سراسر جهان در آن‌ها عضو هستند. معمولا سرورهای بازی‌ها این شرایط را دارند و شما یک کمبو لیست از بازی Clash Of Clans داشته باشید؛ می‌توانید برای سرورهای بازی League Of Legends نیز استفاده کنید. چون معمولا فردی که دارد کلس اف کلنز را بازی می‌کند؛ در سرورهای League Of Legends نیز اکانت دارد.

اما اگر می‌خواهید حساب کاربری یک ایرانی در اینستاگرام یا فیسبوک را بکشنید؛ قطعا یک کمبو لیست از کاربران اینستاگرام کشورهای دیگر به درد شما نخواهد خورد و درصد موفقیت بسیار پایین می‌آید.

مثالی دیگر بزنیم: اگر یک کمبو لیست از دانشجویان سیسکو در یک کشور به دست آوردید؛ احتمالا با درصد موفقیت بالایی می‌توانید برای وب‌سایت‌های آموزشی و دانشگاهی در همان کشور مورد استفاده قرار دهید؛ چون با قانون احتمالات باید ۱۰ الی ۲۰ درصد این دانشجویان در وب‌سایت‌های مورد نظر شما نیز اکانت داشته باشند. در دوره آموزش نتورک پلاس فرادرس نیز روش‌هایی برای هک پسورد شبکه‌های کامپیوتری و همین‌طور افزایش امنیت شبکه‌ها مرور می‌شود.

با یک جست‌وجوی ساده می‌توانید کمبو لیست‌های اختصاصی برای گیمینگ، اینستاگرام، پی‌پال، اکتیویژن، استیم، پی‌اسن‌ان و غیره پیدا کنید که دقیقا به خاطر افزایش درصد موفقیت در شکستن رمزعبور تهیه شدند.

کمبو لیست پرایویت چیست؟

از نظر دسترسی عموم مردم به یک کمبو لیست و اینکه به طور عمومی روی اینترنت منتشر شده است یا خیر؛ کمبو لیست‌ها به دو نوع پابلیک و پرایویت تقسیم می‌شوند.

یک کمبو لیست پابلیک، کمبو لیستی است که روی اینترنت منتشر شده و کاربران و وب‌سایت‌ها مختلف به آن دسترسی دارند و چیز پنهانی ندارد ولی کمبو لیست پرایویت که ارزش بالاتری داشته و معمولا در سایت‌های خرید و فروش کمبو لیست، گران‌تر است؛ فهرستی از اکانت‌ها و پسوردهایی است که به صورت عمومی منتشر نشدند.

ممکن است رمزعبور وب‌سایت شما برای سال‌های طولانی لو رفته باشد و در یک یا چند کمبو لیست پرایویت موجود بوده ولی شما بی‌اطلاع باشید. هکرهای حرفه‌ای، وقتی به چندین هزار اکانت یک وب‌سایت دسترسی پیدا می‌کنند؛ ابتدا یک کمبولیست پرایویت ساخته و سال‌ها از آن استفاده کرده و هنگامی که دیگر نیازی به آن نداشتند؛ به صورت عمومی منتشر می‌کنند.

البته، نباشد گول پرایویت بودن هر کمبو لیست را خورد. بسیاری از وب‌سایت‌های فروشنده کمبو لیست، صرفا برای فروش بیشتر یا گران‌تر یک کمبو لیست، تیکت پرایویت را به آن می‌چسبانند. هکرهای حرفه‌ای، کمبو لیست‌ها را از دارک وب و مسیرهای مشخص و مطمئنی تهیه می‌کنند؛ نه اینکه در اینترنت سرچ کرده و با دیدن چند آگهی، اقدام به خرید کمبو لیست کنند.

هنوز می‌توان نکات بسیار مهمی درباره کمبو لیست‌ها و کلا هک پسورد وب‌سایت‌ها بیان کرد ولی شاید این مقاله را بیش از حد طولانی کنند. ما در این مقاله سعی کردیم به زبان ساده بگوییم کمبو لیست چیست و انواع و کاربردهای آن را بیان کنیم ولی اگر واقعا یک علاقه‌مند این مباحث هستید؛ دعوت می‌کنیم سراغ آموزش‌های امنیت شبکه فرادرس در لینک زیر بروید و براساس نیاز و علاقه خود، یک یا چند آموزش را انتخاب و پای درس اساتید امنیت شبکه و اطلاعات بنشینید:

• مجموعه کامل آموزش امنیت شبکه (Network Security) فرادرس – کلیک کنید