عالم الكمبيوتر

كيف ينجح المخترقين في تخطي المصادقة الثنائية

أصبح معروفًا للجميع أن كلمة المرور لم تعد كافية لحماية الحسابات من تسجيل الدخول غير المرغوب فيه. خصوصًا بعدما كشفت دراسة حديثة عن حقيقة أن 80% من عمليات الاختراق الناجحة تحدث بسبب كلمات المرور الضعيفة، وهو ما رسّخ أهمية خاصية المصادقة الثنائية.

وتستخدم خاصية المصادقة الثنائية، والمعروفة اختصارًا باسم 2FA، في منع عمليات الاختراق وسرقة الحسابات. وبالفعل، أكثر من 99.9% من عمليات الاختراق الأوتوماتيكية تفشل بسبب هذه الخاصية.

وبالرغم من كفاءة هذه الطريقة إلا أنها لم تتمكن من منع المخترقين من إيجاد أكثر من طريقة للتغلب عليها. وهو ما تم من خلال التحصل على رموز التأكيد التي تصل للمستخدم عبر الرسائل النصية القصيرة SMS على هاتفه.

اقرأ أيضًا: جوجل تحول متصفحها إلى مفتاح أمان

التغلب على المصادقة الثنائية

وظهور هذا الضعف الأمني لم يكن بسبب ضعف هذه الخاصية، بل في طريقة استخداما. حيث إن الشركات المقدمة للخدمة تقوم في معظم الحالات بإتمام عملية المصادقة عبر رسالة نصية تصل لصاحب الهاتف، أو عبر مكالمة صوتية آلية.

وتعرف الرسائل النصيية القصيرة التقليدية بأنها واحدة من وسائل التواصل الأقل أمانًا. ولعل طريقة تبديل بطاقات SIM والمعروفة باسم SIM Swapping قد كانت الطريقة الأبرز في اختراق خاصية المصادقة الثنائية.

اقرأ أيضًا: خطوات أساسية لحماية معلوماتك الخاصة عبر الإنترنت

وذلك حيث يقوم المخترق بانتحال شخصية الضحية من خلال التحصّل على رقم هاتفه. وفي هذه الحالة يمكن للمخترق أن يحصل على رموز المصادقة الثنائية ويستخدمها بحرية شديدة قبل أن يكتشف الضحية أنه فقد رقم هاتفه.

وإلى جانب ذلك، اختراق هاتف الضحية أو حتى استخدام تطبيق لمزامنة الإشعارات قد يسمح بالوصول لنفس الهدف. حيث يستلم المخترق نسخة من كل إشعار يستلمه صاحب الهاتف، بما في ذلك إشعارات رسائل SMS التي تضم رمز التأكيد.

اقرأ أيضًا: 4 إشارات تدل على قرصنة الهاتف الذكي

وقد ظهرت طريقة ذكية جدًا لاختراق المستخدمين المعتمدين على المصادقة الثنائية بحرية وفعالية. وتعتمد هذه الطريقة على خاصية تتيحها جوجل، وهي إمكانية تنصيب التطبيقات على هواتف أندرويد عبر متصفح الإنترنت على الحاسب الشخصي.

وبمجرد التوصل لكلمة مرور حساب جوجل الخاص بالضحية، يمكن أن يتم تنصيب تطبيق لعكس الإشعارات، وبخطوات بسيطة يمكن أن يتم تفعيل هذا التطبيق وجعله يرسل للمخترق نسخة من الإشعارات كما سلف الذكر.

وقد يلجأ المخترق لخداع المستخدم وجعله ينصب هذا التطبيق بنفسه. وذلك عبر إرساله له من هاتف أحد أصدقائه، أو الاتصال به من رقم رسمي لإقناعه بأن يقوم بتحميل التطبيق واستخدامه.

وقد نادت شركات رائدة مثل شركة مايكروسوفت بمنع الاعتماد على المصادقة الثنائية عبر الرسائل النصية القصيرة SMS وبدلًا من ذلك الاعتماد على تطبيقات المصادقة مثل Google Authenticator و Microsoft Authenticator.

والوسيلة الأخرى الأكثر أمنًا وسلامة هي الاعتماد على تنفيذ المصادقة الثنائية من خلال أجهزة وإكسسوارات فيزيائية تعتمد على منفذ USB. ولا يتم إتمام عملية تسجيل الدخول إلا بتوصيل هذه الأداة بالحاسب الشخصي أو الهاتف الذكي.

اقرأ أيضًا: 5 طرق يستخدمها القراصنة لاختراق حسابك في فيسبوك أو إنستاجرام

زر الذهاب إلى الأعلى