قبل البدء في هذه المقالة يجب ان تميز جيدا بينم فهوم "مصادقة متعددة العوامل" ومفهوم "التحقق من خلال خطوتين"
مصادقة متعددة العوامل Multi-factor authentication
هي طريقة تأكيد هوية المستخدم من خلال تقديم دليلين كحد ادنى على ملكية الحساب.
افضل مثال لفهم هذه الطريقة هي الصراف الالي التابع للبنك، فعند استخدام الصراف الالي فانت تحتاج الى البطاقة البنكية الخاصة بك وهي العامل الأول، وايضا تحتاج الى كلمة السر الخاصة بك او ما تعرف باسم رقم المعرف الشخصي PIN وهي العامل الثاني.
التحقق من خلال خطوتين Two-factor authentication
وهي عملية التحقق من تسجيل الدخول باستخدام طريقتين، مثلا تسجيل الدخول الى حسابك الشخصي في اي موقع فانت تحتاج الى كلمة المرور واسم المستخدم، وعندما يطلب منك الموقع ادخال تاريخ ميلادك مثلا فهذا يعتبر التحقق من ملكيتك للحساب باستخدام خطوتين. ايضا في حال كان هناك رقم فريد صالح لمرة واحدة يتم ارسالة الى هاتفك الشخصي او بريدك الاكتروني لعملية التحقق فهو ايضا يعتبر من ضمن التحقق بخطوتين.
لذلك عملية استقبال رسالة الى هاتفك الشخصي لعملية تسجيل الدخول تعتبر من ضمن التحقق بخطوتين وليست عملية مصادقة متعددة العوامل. كون عملية المصادقة المتعددة العوامل يجب ان يتحقق فيها الشروط التالية:
المعرفة (ما يعرفه المستخدم فقط)، والمُلكية (ما يمتلكه المستخدم فقط)، والاستلزام (ما يكونه المستخدم فقط).
في هذه المقالة اعتمد بالشرح لك لما تم نشره من قبل جوزيف كوكس وهو صحفي لدى مذربورد motherboard
حيث قام كوكس بنشر قصته لما حصل له عندما قام هكر باختراق حساباته على الانترنت من خلال اعادة تحويل رسائل رقم هاتفه الى رقم اخر واليك تفاصيل القصة مع التعليق عليها.
قال كوكس في مقالته انه وبينما كان في محادثة عبر تطبيق Google Hangouts مع زملاء العمل قام هكر بارسال لقطات شاشة لحسابات كوكس على كل من منصات Bumble و Postmates توضح ان الهكر قام بتسجيل الدخول الى حسابات كوكس على هذه المنصات. ثم قام بتزويد كوكس بلقطات تظهر ان الهكر قام باستقبال رسائل نصية على هاتفه كان المقرر لهذه الرسائل ان تصل الى هاتف كوكس الشخصي.
بعدها قام الهكر بتسجيل الدخول الى حساب كوكس على انستجرام، و مراسلة صديق لكوكس مدعيا انه كوكس.
يضيف كوكس بانه قام بتفحص هافته المحمول ولم يجد اي دليل على عملية اختراق له، وكان الهاتف ايضا يعمل جيديا ومتصل بشبكة خدمة الاتصالات المشترك بها وهي شركة T-Mobile. فعلا فلقد قام الهكر بتحويل الرسائل النصية SMS الموجهة لكوكس لتصل الى رقم هاتف يمتلكه الهكر، بالتالي قام الهكر بعملية استعادة كلمات المرور للحسابات الخاصة بكوكس. اتضح لاحقا ان هذه العملية كلفت الهكر فقط 16 دولار امريكي.
هذه العملية ليست ضمن عمليات "مبادلة بطاقة الهاتف (المعروف باسم SIM Swapping")، وهو شكل متزايد الانتشار من الجرائم التي تتضمن رشوة أو قرصنة أو إكراه الموظفين في شركات الهاتف المحمول ووسائل التواصل الاجتماعي على تقديم الوصول إلى بطاقة الهاتف المحمول ومن ثم حساب المستخدم المربوط مع رقم الهاتف.
كيف تمكن الهكر من الاستيلاء على حسابات كوكس؟
حدث ذلك من خلال استغلال لخدمة توفرها شركة الاتصالات تعرف باسم ساكاري Sakari وهي خدمة تساعد الشركات على التسويق عبر الرسائل القصيرة SMS . بحيث قام الهكر باستخدام هذه الخدمه لاعادة توجيه الرسائل النصية لهاتف كوكس الى رقم يمتلكه الهكر.
يظهر هذا الهجوم مدى كون خدمات الرسائل النصية غير منظمة، وان كانت تختلف بين الشركات المقدمة لهذا النوع من الخدمات، فاحيانا الخصوصية تكون منتهكة.
في النهاية يضيف كوكس ان الهكر قام باختراق حساباته بناءا على موافقته الخاصة، وذلك لاثبات الضعف الامني في هذه الخدمة. حيث ان هذا النوع من الاختراق ليس ضمن ثغرات بروتوكل SS7 والتي تسمح باعتراض الرسائل النصية من خلال استغلال البنية التحتية لشركات الاتصالات. وايضا هذا النوع من الاختراق مختلف عن الهجوم باستخدام الاستيلاء على بطاقة الهاتف او نسخ بطاقة الهاتف.
بمجرد أن يتمكن الهكر من إعادة توجيه الرسائل النصية للضحية، يمكن اختراق الحسابات الأخرى المرتبطة برقم الهاتف هذا. في هذه الحالة أرسل الهكر طلبات استعادة كلمة المرور وتسجيل الدخول إلى Bumble و WhatsApp و Postmates ، وتمكن من الوصول بسهولة إلى حسابات كوكس.
الموضوع المهم هنا كون ان الهكر قام بالاشتراك بخدمة ساكاري Sakari بمبلغ 16 دولار فقط لمدة شهر. اي ان تكلفة اختراق حسابات كوكس كانت 16 دولار فقط!
هذا الهكر هو مدير الامن في شركة امن العلومات المسماه "اوكيه Okey". حيث قام باطلاق خدمة متابعة هذا النوع من عمليات القرصنة وابلاغ المشترك في حال وقوعها : okeymonitor.com (قد لا تعمل هذه الخدمة في دولتك)
الخلاصة
خدمة التحقق من تسجيل الدخول بخطوتين لا شك انها مفيدة وتزيد من حماية المستخدم، ولكن في حال استخدام التحقق بخطوتين من خلال الرسائل النصية sms فهنا قد يبدو الموضوع اكثر خطورة مما تتيحه هذه الخدمه من حماية للحسابات.
عند استخدام التحقق بخطوتين من خلال الرسائل النصية، فانه وفي حال تم كشف كلمة مرور حسابك للهكرز، فلن يستطيع الهكر او المهاجم ان يتمكن من التسجيل الدخول لحسابك بدون الرقم الفريد او الكود الذي سيصل الى رقم هاتفك عبر رسالة نصية.
ولكن الخطورة تكمن في ثغرات وعمليات الاستيلاء على بطاقة الهاتف المحمول او اعادة توجيه او التنصت على رسائل الهاتف الخصة بك باستخدام ثغرات شركات الاتصالات. ما ذكر في هذه المقالة حول قصة الصحفي جوزيف كوكس فهو مثال واحد من امثله اختراق عديدة حصلت من خلال ثغرات بطاقة الهاتف. عندما اتحدث هنا عن ثغرات بطاقة الهاتف فهذا يشمل ايضا عمليات التحايل للاستيلاء على بطاقة الهاتف من خلال طريقة مبادلة بطاقة الهاتف sim swapping ايضا.
ما هو رأيك ؟ هل تعتقد ان استخدام خدمة التحقق من تسجيل الدخول بخطوتين باستخدام الرسائل النصية SMS تزيد من الحماية ام انها خطيرة ولا تنصح بها؟ الأمر متروك لك للاجابة عن السؤال.
لا تنسى مشاركة المقالة مع اصدقائك ...