لم تعد المصادقة الثنائية (2FA) حلاً أمنيًا مضمونًا. صورة توضيحية
شكل جديد من الهجوم
أصبحت المصادقة الثنائية (2FA) ميزة أمان قياسية في مجال الأمن السيبراني. فهي تتطلب من المستخدمين التحقق من هويتهم بخطوة مصادقة ثانية، عادةً ما تكون كلمة مرور لمرة واحدة (OTP) تُرسل عبر رسالة نصية أو بريد إلكتروني أو تطبيق مصادقة. تهدف هذه الطبقة الإضافية من الأمان إلى حماية حساب المستخدم حتى في حال سرقة كلمة المرور.
على الرغم من اعتماد 2FA على نطاق واسع من قبل العديد من المواقع الإلكترونية وتطلبها المؤسسات، إلا أن خبراء الأمن السيبراني في Kaspersky اكتشفوا مؤخرًا هجمات التصيد الاحتيالي التي يستخدمها مجرمو الإنترنت لتجاوز 2FA.
وبناءً على ذلك، لجأ المهاجمون الإلكترونيون إلى أسلوب أكثر تطورًا، يجمع بين التصيد الاحتيالي وروبوتات كلمات المرور لمرة واحدة (OTP) الآلية لخداع المستخدمين والحصول على وصول غير مصرح به إلى حساباتهم. وتحديدًا، يخدع المحتالون المستخدمين للكشف عن كلمات المرور لمرة واحدة (OTP) لتمكينهم من تجاوز إجراءات حماية المصادقة الثنائية (2FA).
يدمج مجرمو الإنترنت التصيد الاحتيالي مع برامج OTP الآلية لخداع المستخدمين والحصول على وصول غير مصرح به إلى حساباتهم. صورة توضيحية.
حتى روبوتات OTP، وهي أدوات متطورة، يستخدمها المحتالون لاعتراض رموز OTP عبر هجمات الهندسة الاجتماعية. غالبًا ما يحاول المهاجمون سرقة بيانات تسجيل دخول الضحايا بطرق مثل التصيد الاحتيالي أو استغلال ثغرات البيانات. ثم يسجلون الدخول إلى حساب الضحية، مما يؤدي إلى إرسال رموز OTP إلى هاتفه.
بعد ذلك، يتصل بوت OTP بالضحية تلقائيًا، منتحلًا صفة موظف في مؤسسة موثوقة، مستخدمًا نص محادثة مُبرمج مسبقًا لإقناعه بالكشف عن رمز OTP. وأخيرًا، يتلقى المهاجم رمز OTP عبر البوت ويستخدمه للوصول غير المصرح به إلى حساب الضحية.
غالبًا ما يُفضّل المحتالون المكالمات الصوتية على الرسائل النصية، لأن الضحايا عادةً ما يستجيبون لها بسرعة أكبر. لذا، تُحاكي روبوتات OTP نبرة المكالمة البشرية ودقتها، لخلق شعور بالثقة والإقناع.
يتحكم المحتالون ببوتات OTP عبر لوحات معلومات إلكترونية مخصصة أو منصات مراسلة مثل تيليجرام. تأتي هذه البوتات أيضًا مع مجموعة متنوعة من الميزات وباقات الاشتراك التي تتيح للمهاجمين العمل. يمكن للمهاجمين تخصيص ميزات البوت لانتحال هوية المؤسسات، واستخدام لغات متعددة، وحتى اختيار نغمة صوت رجل أو امرأة. تشمل الخيارات المتقدمة انتحال رقم الهاتف، مما يجعل رقم هاتف المتصل يبدو وكأنه من مؤسسة رسمية لخداع الضحية بطريقة متطورة.
كلما تطورت التكنولوجيا، زادت متطلبات حماية الحساب. صورة توضيحية
لاستخدام روبوت OTP، يجب على المحتال أولاً سرقة بيانات تسجيل الدخول الخاصة بالضحية. غالبًا ما يستخدمون مواقع تصيد احتيالي مصممة لتبدو تمامًا كصفحات تسجيل دخول رسمية للبنوك أو خدمات البريد الإلكتروني أو غيرها من الحسابات الإلكترونية. عندما يُدخل الضحية اسم المستخدم وكلمة المرور، يجمع المحتال هذه المعلومات تلقائيًا وبشكل فوري.
بين 1 مارس و31 مايو 2024، منعت حلول كاسبرسكي الأمنية 653,088 محاولة لزيارة مواقع إلكترونية مُصممة بواسطة أدوات تصيد احتيالي تستهدف البنوك. تُستخدم البيانات المسروقة من هذه المواقع غالبًا في هجمات بوتات OTP. وخلال الفترة نفسها، اكتشف الخبراء 4,721 موقعًا إلكترونيًا للتصيد الاحتيالي مُصممًا بواسطة أدوات تهدف إلى تجاوز المصادقة الثنائية في الوقت الفعلي.
لا تنشئ كلمات مرور شائعة
علّقت أولغا سفيستونوفا، خبيرة الأمن في كاسبرسكي، قائلةً: "تُعتبر هجمات الهندسة الاجتماعية أساليب احتيال متطورة للغاية، خاصةً مع ظهور روبوتات OTP القادرة على محاكاة مكالمات ممثلي الخدمة بشكل قانوني. وللحفاظ على اليقظة، من المهم توخي الحذر والالتزام بإجراءات الأمن."
يستخدم المخترقون خوارزميات تنبؤ ذكية لمعرفة كلمات المرور بسهولة. صورة توضيحية
نظرًا لأن تحليل 193 مليون كلمة مرور أجراه خبراء كاسبرسكي باستخدام خوارزميات التخمين الذكي في أوائل يونيو، أظهر أن هذه الكلمات أيضًا كلمات مرور مُخترقة ومُباعة على الشبكة المظلمة من قِبل سارقي المعلومات، فقد أظهر أن 45% (أي ما يعادل 87 مليون كلمة مرور) يُمكن اختراقها بنجاح في غضون دقيقة واحدة؛ بينما تُعتبر 23% فقط (أي ما يعادل 44 مليون كلمة مرور) من مجموعات كلمات المرور قوية بما يكفي لمقاومة الهجمات، وسيستغرق اختراق هذه الكلمات أكثر من عام. ومع ذلك، لا يزال من الممكن اختراق معظم كلمات المرور المتبقية في مدة تتراوح بين ساعة وشهر.
بالإضافة إلى ذلك، كشف خبراء الأمن السيبراني أيضًا عن مجموعات الأحرف الأكثر استخدامًا عندما يقوم المستخدمون بإعداد كلمات مرور مثل: الاسم: "ahmed"، "nguyen"، "kumar"، "kevin"، "daniel"؛ الكلمات الشائعة: "forever"، "love"، "google"، "hacker"، "gamer"؛ كلمات المرور القياسية: "password"، "qwerty12345"، "admin"، "12345"، "team".
وجد التحليل أن 19% فقط من كلمات المرور تحتوي على مزيج من كلمات مرور قوية، تتضمن كلمة غير معجمية، وأحرفًا كبيرة وصغيرة، بالإضافة إلى أرقام ورموز. في الوقت نفسه، وجدت الدراسة أيضًا أن 39% من هذه الكلمات القوية لا يزال من الممكن تخمينها باستخدام خوارزميات ذكية في أقل من ساعة.
من المثير للاهتمام أن المهاجمين لا يحتاجون إلى معرفة متخصصة أو معدات متطورة لاختراق كلمات المرور. على سبيل المثال، يستطيع معالج حاسوب محمول متخصص اختراق كلمة مرور مكونة من ثمانية أحرف صغيرة أو أرقام بدقة باستخدام القوة الغاشمة في سبع دقائق فقط. ويمكن لبطاقة الرسومات المدمجة القيام بالشيء نفسه في 17 ثانية. إضافةً إلى ذلك، تميل خوارزميات تخمين كلمات المرور الذكية إلى استبدال الأحرف ("e" بـ "3"، و"1" بـ "!"، و"a" بـ "@") والسلاسل النصية الشائعة ("qwerty"، و"12345"، و"asdfg").
استخدم كلمات مرور عشوائية الأحرف ليسهل على المخترقين تخمينها. صورة توضيحية
قالت يوليا نوفيكوفا، رئيسة قسم استخبارات البصمة الرقمية في كاسبرسكي: "يميل الناس، دون وعي، إلى إنشاء كلمات مرور بسيطة للغاية، وغالبًا ما يستخدمون كلمات مرور من القاموس بلغتهم الأم، مثل الأسماء والأرقام... حتى مجموعات كلمات المرور القوية نادرًا ما تنحرف عن هذا الاتجاه، لذا فهي قابلة للتنبؤ بها تمامًا بواسطة الخوارزميات".
لذلك، فإن الحل الأمثل والأكثر موثوقية هو إنشاء كلمة مرور عشوائية تمامًا باستخدام برامج حديثة وموثوقة لإدارة كلمات المرور. تستطيع هذه التطبيقات تخزين كميات كبيرة من البيانات بأمان، مما يوفر حماية شاملة وقوية لمعلومات المستخدم.
لتعزيز كلمات المرور، يُمكن للمستخدمين تطبيق النصائح البسيطة التالية: استخدام برامج إدارة كلمات المرور؛ استخدام كلمات مرور مختلفة للخدمات المختلفة. بهذه الطريقة، حتى في حال اختراق أحد حساباتك، تبقى الحسابات الأخرى آمنة؛ تُساعد عبارات المرور المستخدمين على استعادة حساباتهم عند نسيان كلمات المرور؛ ومن الأفضل استخدام كلمات مرور أقل شيوعًا. بالإضافة إلى ذلك، يُمكنهم استخدام خدمة إلكترونية للتحقق من قوة كلمات المرور.
تجنب استخدام معلوماتك الشخصية، مثل أعياد الميلاد، أو أسماء أفراد عائلتك، أو حيواناتك الأليفة، أو ألقابك، ككلمات مرور. فهذه غالبًا ما تكون أول ما يحاول المهاجمون اختراقه عند محاولة اختراق كلمة مرور.
مصدر
تعليق (0)