خدعة تمكّن المهاجمين من السيطرة على حساباتكم باستخدام الرسائل القصيرة SMS

نشر فريق Motherboard تقريراً يوضّح طريقة تمكّن المهاجمين من السيطرة على حسابات ضحاياهم عن طريق إعادة توجيه الرسائل القصيرة SMS الخاصّة بالمستخدمين. وأكّد الباحث الأمني Joseph Cox أنّه استطاع القيام بهذا الهجوم ولم يكلّفه الأمر أكثر من 16 دولاراً أمريكيّاً.

ويختلف هذا التهديد عن الهجوم الذي يعرف “بمبادلة بطاقات SIM أو SIM swapping” الذي يتم عندما يستغلّ المهاجمون ضعف الرقابة الأمنيّة في شركات الاتصال، حيث يقوم القراصنة بإقناع موظفي هذه الشركات أنّهم اصحاب رقم الهاتف الخاصّ بالضحيّة عن طريق تقديم معلومات الضحيّة التي جمعوها من الانترنت أو من هجمات الكترونيّة اخرى.

لا زالت بعض التطبيقات والمنصّات تستخدم رسائل SMS كوسيلة للتحقّق من هويّة الشخص الذي يحاول تسجيل الدخول أو حتّى عند استرجاع كلمات المرور الخاصّة بالحساب. حيث أنّ هذه المنصّات، كتطبيق تيك توك Tiktok، لا تسمح لتطبيقات المصادقة الثنائيّة، مثل أوثي Authy، بتفعيل خاصيّة التحقّق بخطوتين. 

ما هي البيانات التي يستطيع بعض تطبيقات المراسلة الوصول إليها؟

استخدام الرسائل القصيرة للمراسلات بشكل عام أو كوسيلة للتأكّد من هويّة المستخدم هو من الأمور الغير مرغوب بها في مجال الأمن الرقمي. فلا تعدّ المراسلات عن طريق SMS من الطرق الآمنة، على سبيل المثال الرسائل القصيرة لا تدعم التشفير بين الطرفيات ويستطيع عدّة أطراف – كشركات الاتّصال – الوصول إلى هذه المراسلات. 

بالإضافة إلى ذلك، كما ذكر تقرير Motherboard، يمكن للمخترقين إعادة توجيه الرسائل الخاصّة بالضحايا دون علمهم عن طريق خدمات إدارة الرسائل النصية، وبالتالي هذه الخدمة تمنح المخترقين الوصول إلى جميع روابط تسجيل الدخول أو رموز المصادقة التي تستقبلها الضحيّة عبر الرسائل النصيّة. ويجدر بالذكر أنّ بعض خدمات إدارة الرسائل النصية لا تمكّن المهاجمين من استلام رسائل الضحيّة فحسب، بل يستطيعون الرد على تلك الرسائل.

كيف نحمي أنفسنا؟

  • ينصح بتفعيل المصادقة الثنائية باستخدام طريقتين إذا سمحت الخدمة
  • أفضل 3 طرق للمصادقة الثنائية هي استخدام مفتاح physical Key أو رموز احتياطية عن طريق استخدام أحد تطبيقات المصادقة، كتطبيق  أوثي Authy أو  أداة غوغل للمصادقة Google Authenticator، كما يجب أيضاً تخزين الرموز الاحتياطية في مدير كلمات المرور
  • في حالة وجود خدمة أو تطبيق يوفر ميّزة المصادقة الثنائية فقط باستخدام الرسائل القصيرة SMS، فتفعيل التحقّق بخطوتين هو أمر محبّث أيضاً ويعدّ أفضل من عدم وجود مصادقة على الإطلاق

 

المصدر 

هل كانت هذه المقالة مفيدة؟

عن عملنا

أخبار وتنبيهات رقمية

موارد المساعدة الذاتية

الدعم الرقمي

التدريب والعيادات

المساعدة الطارئة