هناك العديد من الثغرات التي تسمح لك بأن تخترق حساب أحدهم أو أن يخترق أحدهم حسابك ومن خلال هذا المقال سنشرحها لكم بإختصار مع طريقة حماية أنفسكم منها.
اكتشف الهاكرز طرق للتحايل على نظام الرمز الذي يرسل مرة واحدة عبر الرسائل النصية لهاتف المستخدم من خلال هجوم مبادلة شريحة الهاتف " Sim Swapping" حيث يحاول الهاكر انتحال شخصية الضحية من خلال اقناع شركة الإتصالات بأنه صاحب الرقم ويقدم المعلومات اللازمة عن الضحية وكأنه هو بالطبع بعدما يقوم بجمع كافة البيانات التي يحتاجها عن الضحية بطريقة ما وقد ينجح الأمر ويستطيع نقل رقم الهاتف لشريحة أخرى تكون بحوزته.
هناك أيضا مجموعة أدوات تصيد تُعرف بإسم MODISHKA والتي تعمل من خلال اعتراض رمز المصادقة الثنائية المرسل عبر الرسائل القصيرة بين خدمة حقيقية وضحية ومن ثم تتبع وتسجيل تفاعلات الضحايا مع الخدمة بما في ذلك بيانات اعتماد تسجيل الدخول التي يتم استخدامها.
بالإضافة لذلك، توجد ثغرة يمكن استغلالها في المصادقة الثنائية، مثلا، إذا كان لدى الهاكر إمكانية الوصول إلى بيانات اعتمادك وتمكن من تسجيل الدخول لحسابك على متجر جوجل بلاي عبر لابتوب، يستطيع تثبيت أي تطبيق بشكل تلقائي من الويب إلى هاتفك الذكي.
أبرز الطرق للاختراق الفيسبوك:
Facebook Phishing: طريقة يعتمد فيها المخترق على الصفحات المزورة من أجل إختراقك بإرسال موقع مجهول بنفس واجهة فيسبوك و التي تطلب كلمة المرور و اسم المستخدم، و لحماية نفسك تحقق من عنوان الموقع قبل أن تدخل أي معلومات تخصك، فعنوان موقع فيسبوك هو فقط facebook.com و ليس facebok.com أو facebookk.com
الكيلوغين: عملية الكيلوغين هي عملية تسجيل ما تقوم بإدخاله من على لوحة المفاتيح إلى الحاسوب و بالطبع سيتم تخزين جميع ما تكتبه عبر لوحة المفاتيح و لحماية نفسك تحقق من الكابل الذي يربط لوحة المفاتيح بالحاسوب إن لم يحتوي على قطعة مشبوهة بالإضافة إلى عدم إدخالك أي معلومات على حواسيب الآخرين و تحقق من إتسخدام تقنية التحقق الثانيئي لفيسبوك و مضادات الفيروسات.
Brute Force Attacks:
وبمجرد تثبيت تطبيق نسخ الرسائل، يمكن للمهاجم تطبيق تقنيات الهندسة الاجتماعية البسيطة لإقناع المستخدم بتمكين الأذونات المطلوبة للتطبيق للعمل بشكل صحيح.
على سبيل المثال، قد يتصل الهاكر ويدعي أنه أحد موظفي مزود خدمة لإقناع المستخدم بتمكين الأذونات. بعد ذلك، يمكن أن يتلقى عن بعد جميع الاتصالات المرسلة إلى هاتف الضحية، بما في ذلك الرمز الذي يتم ارساله لمرة واحدة من أجل تمكين المصادقة الثنائية.
على الرغم من أن الشروط المتعددة يجب أن تتحقق من أجل الهجوم المذكور أعلاه للعمل، إلا أنها لا تزال توضح نقاط الضعف المستخدمة في المصادقة الثنائية القائمة على الرسائل القصيرة.
والأهم من ذلك أن هذا الهجوم لا يحتاج إلى قدرات تقنية متطورة. إنه يتطلب ببساطة نظرة ثاقبة حول كيفية عمل هذه التطبيقات المحددة وكيفية استخدامها بذكاء جنبا إلى جنب مع الهندسة الاجتماعية لاستهداف الضحية والتهديد الأكثر واقعية عندما يكون المهاجم فردا موثوقا به مثل أحد أفراد الأسرة مع الوصول إلى الهاتف الذكي للضحية.
كيف تحمي نفسك؟
للبقاء محميًا على الإنترنت، يجب عليك التحقق مما إذا كان خط دفاعك الأولي آمنًا. تحقق أولاً من كلمة مرورك لمعرفة ما إذا كانت مخترقة أم لا. هناك عدد من برامج الأمان التي تتيح لك القيام بذلك. وتأكد من أنك تستخدم كلمة مرور معقدة ويصعب تخمينها أو الوصول إليها.
نوصي أيضًا بالحد من استخدام الرسائل القصيرة للحصول على رمز المصادقة إذا استطعت. يمكنك بدلاً من ذلك استخدام الرموز المستندة إلى التطبيق لمرة واحدة مثل Google Authenticator. في هذه الحالة، يتم إنشاء الرمز داخل التطبيق نفسه على جهازك بدلاً من إرساله إليك.
ومع ذلك، يمكن أيضًا اختراق هذه الطريقة من قبل الهاكرز باستخدام بعض البرامج الضارة المعقدة. قد يكون البديل الأفضل هو استخدام أجهزة مفاتيح الأمان YubiKey والتى تم تطويرها لأول مرة في عام 2008 وهي عبارة عن جهاز مصادقة مصمم لدعم كلمة المرور لمرة واحدة وبروتوكولات 2FA دون الحاجة إلى الاعتماد على 2FA المستندة إلى الرسائل القصيرة وبمعنى بسيط، هي عبارة عن أجهزة USB صغيرة توفر طريقة مبسطة لتمكين المصادقة الثنائية عبر خدمات مختلفة.
يجب توصيل هذه الأجهزة المادية أو وضعها بالقرب من جهاز تسجيل الدخول كجزء من 2FA، وبالتالي التخفيف من المخاطر المرتبطة بالرموز المرئية لمرة واحدة مثل الرموز المرسلة عبر الرسائل القصيرة.
كما يجب التأكيد على أن الشرط الأساسي لأي بديل لطريقة المصادقة الثنائية هو أن المستخدم نفسه يجب أن يكون لديه مستوى معين من المشاركة النشطة والمسؤولية .
الكيلوغين: عملية الكيلوغين هي عملية تسجيل ما تقوم بإدخاله من على لوحة المفاتيح إلى الحاسوب و بالطبع سيتم تخزين جميع ما تكتبه عبر لوحة المفاتيح و لحماية نفسك تحقق من الكابل الذي يربط لوحة المفاتيح بالحاسوب إن لم يحتوي على قطعة مشبوهة بالإضافة إلى عدم إدخالك أي معلومات على حواسيب الآخرين و تحقق من إتسخدام تقنية التحقق الثانيئي لفيسبوك و مضادات الفيروسات.
Brute Force Attacks:
يعتمد هذا الهجوم على تجريب جميع كلمات المرور المحتملة و يكون نسبة نجاحها كبير جدًا إذا اعتمد على الهندسة الإجتماعية و إذا كانت كلمة مرورك قصيرة، و لحماية نفسك اتبع نصائح الطريقة الأولى و اعتمد على كلمات مرور طويلة مكونة من الأحرف الكبيرة و الصغيرة و الرموز و الارقام
Exploiting Facebook’s Trusted Friend Feature:
Exploiting Facebook’s Trusted Friend Feature:
ميزة تسمح للمخترق بالحصول على رمز إعادة تعيين كلمة المرور برمز يتم إرساله إلى الأصدقاء المقربين، لذا عليك أن تحذر من هذه الأنواع من طلبات الصداقة دوما.
Fake SMS/Mail/Message:
Fake SMS/Mail/Message:
قد تأتيك الرسالة على مختلف المنصات على الشكل التالي: “مرحبا أنا مارك، تم رصد خلل على حسابك على فيسبوك يرجى تزويدنا بإسم المستخدم و كلمة المرور لتصحيح الخلل” و على هذا الشكل تأتيك رسائل مشابهة اعلم أنها ليست صحيحة تماما ففيسبوك تمتلك اسم المستخدم الخاص بك و كلمة المرور لذا لا تمنح أي جهة معلومات حسابك.
Session Hijacking/ Sidejacking:
Session Hijacking/ Sidejacking:
سرقة المعلومات أو استفادة الخدمات المتاحة في نظام حاسوبي في أثناء جلسة تبادل المعلومات بين النظام والمستخدم. على وجه الخصوص، يتم استخدامه للإشارة إلى سرقة ملف تعريف ارتباط سحري يستخدم لإدخال مستخدم إلى ملقم بعيد. وله أهمية خاصة لمطوري الويب، حيث أن ملفات تعريف الارتباط المستخدمة للحفاظ على جلسة في العديد من مواقع الويب يمكن أن تسرق بسهولة من قبل مهاجم باستخدام جهاز كمبيوتر وسيط أو مع إمكانية الوصول إلى ملفات تعريف الارتباط المحفوظة على كمبيوتر الضحية. لحماية نفسك لا تستخدم شبكات الواي فاي العمومية دون خدمات VPN الآمنة.
Clickjacking:
Clickjacking:
تقنية خبيثة تتمثل في خداع المستخدم للنقر فوق شيء مختلف عما يدركه المستخدم ، وبالتالي من المحتمل الكشف عن معلومات سرية أو السماح للآخرين بالتحكم في أجهزة الكمبيوتر الخاصة بهم أثناء النقر فوق كائنات تبدو غير ضارة ، بما في ذلك صفحات الويب. لحماية نفسك لا تضغط على أية أزرار غير غريبة من مصادر غير موثوقة
كيف يستطيع الهاكرز تخطي المصادقة الثنائية واختراق حسابات الضحايااكتشف الهاكرز طرق للتحايل على نظام الرمز الذي يرسل مرة واحدة عبر الرسائل النصية لهاتف المستخدم من خلال هجوم مبادلة شريحة الهاتف " Sim Swapping" حيث يحاول الهاكر انتحال شخصية الضحية من خلال اقناع شركة الإتصالات بأنه صاحب الرقم ويقدم المعلومات اللازمة عن الضحية وكأنه هو بالطبع بعدما يقوم بجمع كافة البيانات التي يحتاجها عن الضحية بطريقة ما وقد ينجح الأمر ويستطيع نقل رقم الهاتف لشريحة أخرى تكون بحوزته.
هناك أيضا مجموعة أدوات تصيد تُعرف بإسم MODISHKA والتي تعمل من خلال اعتراض رمز المصادقة الثنائية المرسل عبر الرسائل القصيرة بين خدمة حقيقية وضحية ومن ثم تتبع وتسجيل تفاعلات الضحايا مع الخدمة بما في ذلك بيانات اعتماد تسجيل الدخول التي يتم استخدمها.
بالإضافة لذلك، توجد ثغرة يمكن استغلالها في المصادقة الثنائية، مثلا، إذا كان لدى الهاكر إمكانية الوصول إلى بيانات اعتمادك وتمكن من تسجيل الدخول لحسابك على متجر جوجل بلاي عبر لابتوب، يستطيع تثبيت أي تطبيق بشكل تلقائي من الويب إلى هاتفك الذكي.
هذا سيناريو واقعي لأنه من الشائع استخدام بيانات الاعتماد نفسها عبر مجموعة متنوعة من الخدمات ولهذا يعد استخدام مدير كلمة المرور طريقة فعالة لجعل لحماية وتأمين اسم المستخدم وكلمة المرور الخاصة بك.هناك أيضا مجموعة أدوات تصيد تُعرف بإسم MODISHKA والتي تعمل من خلال اعتراض رمز المصادقة الثنائية المرسل عبر الرسائل القصيرة بين خدمة حقيقية وضحية ومن ثم تتبع وتسجيل تفاعلات الضحايا مع الخدمة بما في ذلك بيانات اعتماد تسجيل الدخول التي يتم استخدمها.
بالإضافة لذلك، توجد ثغرة يمكن استغلالها في المصادقة الثنائية، مثلا، إذا كان لدى الهاكر إمكانية الوصول إلى بيانات اعتمادك وتمكن من تسجيل الدخول لحسابك على متجر جوجل بلاي عبر لابتوب، يستطيع تثبيت أي تطبيق بشكل تلقائي من الويب إلى هاتفك الذكي.
وبمجرد تثبيت تطبيق نسخ الرسائل، يمكن للمهاجم تطبيق تقنيات الهندسة الاجتماعية البسيطة لإقناع المستخدم بتمكين الأذونات المطلوبة للتطبيق للعمل بشكل صحيح.
على سبيل المثال، قد يتصل الهاكر ويدعي أنه أحد موظفي مزود خدمة لإقناع المستخدم بتمكين الأذونات. بعد ذلك، يمكن أن يتلقى عن بعد جميع الاتصالات المرسلة إلى هاتف الضحية، بما في ذلك الرمز الذي يتم ارساله لمرة واحدة من أجل تمكين المصادقة الثنائية.
على الرغم من أن الشروط المتعددة يجب أن تتحقق من أجل الهجوم المذكور أعلاه للعمل، إلا أنها لا تزال توضح نقاط الضعف المستخدمة في المصادقة الثنائية القائمة على الرسائل القصيرة.
والأهم من ذلك أن هذا الهجوم لا يحتاج إلى قدرات تقنية متطورة. إنه يتطلب ببساطة نظرة ثاقبة حول كيفية عمل هذه التطبيقات المحددة وكيفية استخدامها بذكاء جنبا إلى جنب مع الهندسة الاجتماعية لاستهداف الضحية والتهديد الأكثر واقعية عندما يكون المهاجم فردا موثوقا به مثل أحد أفراد الأسرة مع الوصول إلى الهاتف الذكي للضحية.
كيف تحمي نفسك؟
للبقاء محميًا على الإنترنت، يجب عليك التحقق مما إذا كان خط دفاعك الأولي آمنًا. تحقق أولاً من كلمة مرورك لمعرفة ما إذا كانت مخترقة أم لا. هناك عدد من برامج الأمان التي تتيح لك القيام بذلك. وتأكد من أنك تستخدم كلمة مرور معقدة ويصعب تخمينها أو الوصول إليها.
نوصي أيضًا بالحد من استخدام الرسائل القصيرة للحصول على رمز المصادقة إذا استطعت. يمكنك بدلاً من ذلك استخدام الرموز المستندة إلى التطبيق لمرة واحدة مثل Google Authenticator. في هذه الحالة، يتم إنشاء الرمز داخل التطبيق نفسه على جهازك بدلاً من إرساله إليك.
ومع ذلك، يمكن أيضًا اختراق هذه الطريقة من قبل الهاكرز باستخدام بعض البرامج الضارة المعقدة. قد يكون البديل الأفضل هو استخدام أجهزة مفاتيح الأمان YubiKey والتى تم تطويرها لأول مرة في عام 2008 وهي عبارة عن جهاز مصادقة مصمم لدعم كلمة المرور لمرة واحدة وبروتوكولات 2FA دون الحاجة إلى الاعتماد على 2FA المستندة إلى الرسائل القصيرة وبمعنى بسيط، هي عبارة عن أجهزة USB صغيرة توفر طريقة مبسطة لتمكين المصادقة الثنائية عبر خدمات مختلفة.
يجب توصيل هذه الأجهزة المادية أو وضعها بالقرب من جهاز تسجيل الدخول كجزء من 2FA، وبالتالي التخفيف من المخاطر المرتبطة بالرموز المرئية لمرة واحدة مثل الرموز المرسلة عبر الرسائل القصيرة.
كما يجب التأكيد على أن الشرط الأساسي لأي بديل لطريقة المصادقة الثنائية هو أن المستخدم نفسه يجب أن يكون لديه مستوى معين من المشاركة النشطة والمسؤولية .
فى الختام صديقى متابع صفحتى السيرفرات المجانية وعالم الرياضة الكريم شاركونا آرائكم في مربع التعليقات أدناه وكما يمكنكم ايضا مشاركتنا والكتابة لنا فى التعليقاتسواء على موقعنا أو على الفايسبوك فى اسفل الصفحة.