كيف يستطيع الهاكرز تخطي المصادقة الثنائية واختراق حسابات الضحايا
التهديدات في كل مكان ولم يعد هناك أي أمان طالما كنت متصلا بالإنترنت وحتى كلمات المرور المعقدة لم تعد كافية لحماية حساباتك حيث أشارت دراسة حديثة إلى أن أكثر من 80٪ من جميع الإختراقات تمت بسبب ضعف بيانات الأعتماد، وعلى هذا النحو، أصبح تنفيذ طريقة التحقق بخطوتين أو المصادقة الثنائية (2FA) ضروري وتهدف المصادقة الثنائية بشكل عام إلى توفير طبقة إضافية من الأمان لنظام اسم المستخدم وكلمة المرور المعرضين للخطر.
ولأن دوام الحال من المحال، توصل الهاكرز للطرق التحايل على ذلك. يمكنهم تجاوز نظام المصادقة الثنائية من خلال الرمز الذي يتم إرساله في رسالة نصية قصيرة لمرة واحدة إلى الهاتف الذكي الخاص بالمستخدم، ولنتعرف على بعض الطرق التي يستخدمها الهاكرز لتخطي المصادقة الثنائية واختراق حسابات الضحايا.
ما هي المشكلة مع الرسائل القصيرة؟
اكتشف الهاكرز طرق للتحايل على نظام الرمز الذي يرسل مرة واحدة عبر الرسائل النصية لهاتف المستخدم من خلال هجوم مبادلة شريحة الهاتف ” Sim Swapping” حيث يحاول الهاكر انتحال شخصية الضحية من خلال اقناع شركة الإتصالات بأنه صاحب الرقم ويقدم المعلومات اللازمة عن الضحية وكأنه هو بالطبع بعدما يقوم بجمع كافة البيانات التي يحتاجها عن الضحية بطريقة ما وقد ينجح الأمر ويستطيع نقل رقم الهاتف لشريحة أخرى تكون بحوزته.
هناك أيضا مجموعة أدوات تصيد تُعرف بإسم MODISHKA والتي تعمل من خلال اعتراض رمز المصادقة الثنائية المرسل عبر الرسائل القصيرة بين خدمة حقيقية وضحية ومن ثم تتبع وتسجيل تفاعلات الضحايا مع الخدمة بما في ذلك بيانات اعتماد تسجيل الدخول التي يتم استخدمها.
بالإضافة لذلك، توجد ثغرة يمكن استغلالها في المصادقة الثنائية، مثلا، إذا كان لدى الهاكر إمكانية الوصول إلى بيانات اعتمادك وتمكن من تسجيل الدخول لحسابك على متجر جوجل بلاي عبر لابتوب، يستطيع تثبيت أي تطبيق بشكل تلقائي من الويب إلى هاتفك الذكي.
هواتف الأندرويد
من خلال استخدام تطبيق مشهور (لم يتم ذكر إسم التطبيق لأسباب أمنية) مصمم لمزامنة الإشعارات عبر أجهزة مختلفة، يمكن للهاكرز استخدام البريد الإلكتروني وكلمة المرور المخترقة والمرتبطة بحساب جوجل لتثبيت تطبيق يعمل على نسخ الرسائل على الهاتف الذكي للضحية عبر من خلال متجر التطبيقات.
هذا سيناريو واقعي لأنه من الشائع استخدام بيانات الاعتماد نفسها عبر مجموعة متنوعة من الخدمات ولهذا يعد استخدام مدير كلمة المرور طريقة فعالة لجعل لحماية وتأمين اسم المستخدم وكلمة المرور الخاصة بك.
وبمجرد تثبيت تطبيق نسخ الرسائل، يمكن للمهاجم تطبيق تقنيات الهندسة الاجتماعية البسيطة لإقناع المستخدم بتمكين الأذونات المطلوبة للتطبيق للعمل بشكل صحيح.
على سبيل المثال، قد يتصل الهاكر ويدعي أنه أحد موظفي مزود خدمة لإقناع المستخدم بتمكين الأذونات. بعد ذلك، يمكن أن يتلقى عن بعد جميع الاتصالات المرسلة إلى هاتف الضحية، بما في ذلك الرمز الذي يتم ارساله لمرة واحدة من أجل تمكين المصادقة الثنائية.
على الرغم من أن الشروط المتعددة يجب أن تتحقق من أجل الهجوم المذكور أعلاه للعمل، إلا أنها لا تزال توضح نقاط الضعف المستخدمة في المصادقة الثنائية القائمة على الرسائل القصيرة.
والأهم من ذلك أن هذا الهجوم لا يحتاج إلى قدرات تقنية متطورة. إنه يتطلب ببساطة نظرة ثاقبة حول كيفية عمل هذه التطبيقات المحددة وكيفية استخدامها بذكاء جنبا إلى جنب مع الهندسة الاجتماعية لاستهداف الضحية والتهديد الأكثر واقعية عندما يكون المهاجم فردا موثوقا به مثل أحد أفراد الأسرة مع الوصول إلى الهاتف الذكي للضحية.
ما هو البديل؟
للبقاء محميًا على الإنترنت، يجب عليك التحقق مما إذا كان خط دفاعك الأولي آمنًا. تحقق أولاً من كلمة مرورك لمعرفة ما إذا كانت مخترقة أم لا. هناك عدد من برامج الأمان التي تتيح لك القيام بذلك. وتأكد من أنك تستخدم كلمة مرور معقدة ويصعب تخمينها أو الوصول إليها.
نوصي أيضًا بالحد من استخدام الرسائل القصيرة للحصول على رمز المصادقة إذا استطعت. يمكنك بدلاً من ذلك استخدام الرموز المستندة إلى التطبيق لمرة واحدة مثل Google Authenticator. في هذه الحالة، يتم إنشاء الرمز داخل التطبيق نفسه على جهازك بدلاً من إرساله إليك.
ومع ذلك، يمكن أيضًا اختراق هذه الطريقة من قبل الهاكرز باستخدام بعض البرامج الضارة المعقدة. قد يكون البديل الأفضل هو استخدام أجهزة مخصصة مثل مفاتيح الأمان YubiKey.
مفاتيح الأمان YubiKey تم تطويرها لأول مرة في عام 2008 وهي عبارة عن جهاز مصادقة مصمم لدعم كلمة المرور لمرة واحدة وبروتوكولات 2FA دون الحاجة إلى الاعتماد على 2FA المستندة إلى الرسائل القصيرة وبمعنى أبسيط، هي عبارة عن أجهزة USB صغيرة توفر طريقة مبسطة لتمكين المصادقة الثنائية عبر خدمات مختلفة.
يجب توصيل هذه الأجهزة المادية أو وضعها بالقرب من جهاز تسجيل الدخول كجزء من 2FA، وبالتالي التخفيف من المخاطر المرتبطة بالرموز المرئية لمرة واحدة مثل الرموز المرسلة عبر الرسائل القصيرة.
كما يجب التأكيد على أن الشرط الأساسي لأي بديل لطريقة المصادقة الثنائية هو أن المستخدم نفسه يجب أن يكون لديه مستوى معين من المشاركة النشطة والمسؤولية.
أخيرا، يحتاج مقدمو الخدمات والمطورون والباحثون لتقديم مزيد من العمل لتطوير طرق مصادقة أكثر أمانًا وتوفير بيئة مصادقة متعددة العوامل حيث يتم نشر طرق مصادقة متعددة ودمجها في وقت واحد حسب الحاجة.