ما هو هجوم مبادلة بطاقات SIM أو SIM Swapping وكيف يمكن تفاديه؟

استطاع الباحث الأمني Jake Moore اختراق موقع صديقه عن طريق هجوم يسمّى مبادلة بطاقات SIM أو SIM swapping، وكتب الباحث تقريراً يشرح الحادثة وما الطرق التي يجب اتّباعها لحماية حساباتنا من مخاطر هذا الهجوم.

ما هي خدعة مبادلة بطاقات SIM أو SIM swapping؟

تتم هذه الهجمة – التي تعتبر من أساليب الهندسة الاجتماعيّة – عندما يستغلّ المهاجمون ضعف الرقابة الأمنيّة في شركات الاتصال، حيث يقوم القراصنة بإقناع موظفي هذه الشركات أنّهم اصحاب رقم الهاتف الخاصّ بالضحيّة عن طريق تقديم معلومات يتم جمعها عن الضحيّة من الانترنت أو من هجمات الكترونيّة اخرى. بكلماتٍ اخرى، هذا الهجوم هو محاولة انتحال شخصيّة الضحيّة وإقناع شركة الاتّصال لنقل رقم هاتف شخص ما إلى شريحة جديدة بحوزة المهاجم. 

كيف يتمّ الحصول على بياناتنا؟

يستطيع القراصنة الحصول على بياناتنا عن طريق عدّة طرق، مثل جمعها من منصات التواصل الاجتماعي أو شرائها من الويب المظلم Dark Web إذا ما تمّ تسريبها من قبل (كم حدث مع فيسبوك خلال هذا العام). بعد جمع هذه البيانات يمكن للمهاجم  أن يقنع  أحد موظفي شركات الاتّصالات أنّه صاحب رقم هاتف الضحيّة وأنه لم يعد باستطاعته الوصول الى شريحته، إذا نجحت خطته في نقل رقم الضحيّة إلى شريحة هاتف أخرى، يمكن السيطرة على جميع حسابات الضحية التي تم تأمينها عن طريق رسائل النصية SMS فقط.

لذلك يجب علينا عدم الاكتفاء بالرسائل النصية كوسيلة وحيدة للتحقّق بخطوتين على حساباتنا ويجب تفعيل وسيلة أخرى إن أمكن ذلك.

خدعة تمكّن المهاجمين من السيطرة على حساباتكم باستخدام الرسائل القصيرة SMS

ويجدر بالذكر أنّه يمكن للمخترقين إعادة توجيه الرسائل الخاصّة بالضحايا دون علمهم عن طريق خدمات إدارة الرسائل النصية، وبالتالي هذه الخدمة تمنح المخترقين الوصول إلى جميع روابط تسجيل الدخول أو رموز المصادقة التي تستقبلها الضحيّة عبر الرسائل النصيّة.

كيف نحمي أنفسنا؟

  • ينصح بتفعيل المصادقة الثنائية باستخدام طريقتين إذا سمحت الخدمة
  • أفضل 3 طرق للمصادقة الثنائية هي استخدام مفتاح physical Key أو رموز احتياطية عن طريق استخدام أحد تطبيقات المصادقة، كتطبيق  أوثي Authy أو أداة غوغل للمصادقة Google Authenticator، كما يجب أيضاً تخزين الرموز الاحتياطية في مدير كلمات المرور
  • نحثّ المستخدمين على عدم نشر أي بيانات شخصيّة على منصّات التواصل الاجتماعي، مثل رقم الهاتف أو تاريخ الميلاد، فيمكن استخدام هذه البيانات في هجمات، مثل مبادلة بطاقات SIM
  • في حالة وجود خدمة أو تطبيق يوفر ميّزة المصادقة الثنائية فقط باستخدام الرسائل القصيرة SMS، فتفعيل التحقّق بخطوتين هو أمرٌ مُحبَّذ أيضاً ويعدّ أفضل من عدم وجود مصادقة على الإطلاق

 

المصدر

هل كانت هذه المقالة مفيدة؟

عن عملنا

أخبار وتنبيهات رقمية

موارد المساعدة الذاتية

الدعم الرقمي

التدريب والعيادات

المساعدة الطارئة