تحذير من هجمات التصيد الاحتيالي لتجاوز المصادقة الثنائية

لم تعد المصادقة الثنائية (2FA) ضمانًا مطلقًا للأمان. صورة توضيحية

شكل جديد من الهجوم

أصبحت المصادقة الثنائية (2FA) ميزة أمان قياسية في مجال الأمن السيبراني. فهي تتطلب من المستخدمين التحقق من هويتهم بخطوة مصادقة ثانية، عادةً ما تكون كلمة مرور لمرة واحدة (OTP) تُرسل عبر رسالة نصية أو بريد إلكتروني أو تطبيق مصادقة. تهدف هذه الطبقة الإضافية من الأمان إلى حماية حساب المستخدم حتى في حال سرقة كلمة المرور.

على الرغم من اعتماد 2FA على نطاق واسع من قبل العديد من المواقع الإلكترونية وتطلبها المؤسسات، إلا أن خبراء الأمن السيبراني في Kaspersky اكتشفوا مؤخرًا هجمات التصيد الاحتيالي التي يستخدمها مجرمو الإنترنت لتجاوز 2FA.

وبناءً على ذلك، لجأ المهاجمون الإلكترونيون إلى أسلوب أكثر تطورًا، يجمع بين التصيد الاحتيالي وروبوتات كلمات المرور لمرة واحدة (OTP) لخداع المستخدمين والحصول على وصول غير مصرح به إلى حساباتهم. وتحديدًا، يخدع المحتالون المستخدمين للكشف عن كلمات المرور لمرة واحدة (OTP) لتمكينهم من تجاوز إجراءات حماية المصادقة الثنائية (2FA).

يدمج مجرمو الإنترنت التصيد الاحتيالي مع برامج OTP الآلية لخداع المستخدمين والحصول على وصول غير مصرح به إلى حساباتهم. صورة توضيحية.

حتى روبوتات OTP، وهي أدوات متطورة، يستخدمها المحتالون لاعتراض رموز OTP عبر هجمات الهندسة الاجتماعية. غالبًا ما يحاول المهاجمون سرقة بيانات تسجيل دخول الضحايا بطرق مثل التصيد الاحتيالي أو استغلال ثغرات البيانات. ثم يسجلون الدخول إلى حساب الضحية، مما يؤدي إلى إرسال رموز OTP إلى هاتفه.

بعد ذلك، يتصل بوت OTP بالضحية تلقائيًا، منتحلًا صفة موظف في مؤسسة موثوقة، مستخدمًا نص محادثة مُبرمج مسبقًا لإقناعه بالكشف عن رمز OTP. وأخيرًا، يتلقى المهاجم رمز OTP عبر البوت ويستخدمه للوصول غير القانوني إلى حساب الضحية.

غالبًا ما يُفضّل المحتالون المكالمات الصوتية على الرسائل النصية، لأن الضحايا عادةً ما يستجيبون لها بسرعة أكبر. لذا، تُحاكي روبوتات OTP نبرة المكالمة البشرية ودقتها، لخلق شعور بالثقة والإقناع.

يتحكم المحتالون ببوتات OTP عبر لوحات معلومات إلكترونية مخصصة أو منصات مراسلة مثل تيليجرام. تأتي هذه البوتات أيضًا بميزات وباقات اشتراك متنوعة، مما يُسهّل على المهاجمين عملية الاحتيال. يمكن للمهاجمين تخصيص ميزات البوت لانتحال هوية المؤسسات، واستخدام لغات متعددة، وحتى اختيار نغمة صوت رجل أو امرأة. تشمل الخيارات المتقدمة انتحال رقم الهاتف، مما يجعل رقم هاتف المتصل يبدو وكأنه من مؤسسة رسمية لخداع الضحية بطريقة متطورة.

كلما تطورت التكنولوجيا، زادت الحاجة إلى حماية الحساب. صورة توضيحية

لاستخدام روبوت OTP، يحتاج المحتال إلى سرقة بيانات تسجيل دخول الضحية أولاً. غالبًا ما يستخدمون مواقع تصيد احتيالي مصممة لتبدو تمامًا كصفحات تسجيل دخول رسمية للبنوك أو خدمات البريد الإلكتروني أو غيرها من الحسابات الإلكترونية. عندما يُدخل الضحية اسم المستخدم وكلمة المرور، يجمع المحتال هذه المعلومات تلقائيًا وبشكل فوري.

بين 1 مارس و31 مايو 2024، منعت حلول كاسبرسكي الأمنية 653,088 زيارة لمواقع إلكترونية أنشأتها مجموعات تصيد احتيالي تستهدف البنوك. تُستخدم البيانات المسروقة من هذه المواقع غالبًا في هجمات بوتات OTP. وخلال الفترة نفسها، اكتشف الخبراء 4,721 موقعًا إلكترونيًا للتصيد الاحتيالي أنشأتها هذه المجموعات لتجاوز المصادقة الثنائية في الوقت الفعلي.

لا تنشئ كلمات مرور شائعة.

علّقت أولغا سفيستونوفا، خبيرة الأمن في كاسبرسكي، قائلةً: "تُعتبر هجمات الهندسة الاجتماعية أساليب احتيال متطورة للغاية، خاصةً مع ظهور روبوتات OTP القادرة على محاكاة مكالمات ممثلي الخدمة بشكل قانوني. وللحفاظ على اليقظة، من المهم الحفاظ على اليقظة والالتزام بإجراءات الأمن."

كل ما يحتاجه المخترقون هو استخدام خوارزميات تنبؤ ذكية لاكتشاف كلمات المرور بسهولة. صورة توضيحية

نظرًا لأن تحليل 193 مليون كلمة مرور أجراه خبراء كاسبرسكي باستخدام خوارزميات التخمين الذكي في أوائل يونيو، أظهر أن هذه الكلمات أيضًا تعرضت للاختراق وبيعت على الشبكة المظلمة من قِبل سارقي المعلومات، فقد أظهر أن 45% (أي ما يعادل 87 مليون كلمة مرور) يمكن اختراقها بنجاح في غضون دقيقة واحدة؛ بينما تُعتبر 23% فقط (أي ما يعادل 44 مليون كلمة مرور) من مجموعات كلمات المرور قوية بما يكفي لمقاومة الهجمات، وسيستغرق اختراقها أكثر من عام. ومع ذلك، لا يزال من الممكن اختراق معظم كلمات المرور المتبقية في مدة تتراوح بين ساعة وشهر.

بالإضافة إلى ذلك، كشف خبراء الأمن السيبراني أيضًا عن مجموعات الأحرف الأكثر استخدامًا عندما يقوم المستخدمون بإعداد كلمات مرور مثل: الاسم: "ahmed"، "nguyen"، "kumar"، "kevin"، "daniel"؛ الكلمات الشائعة: "forever"، "love"، "google"، "hacker"، "gamer"؛ كلمات المرور القياسية: "password"، "qwerty12345"، "admin"، "12345"، "team".

وجد التحليل أن 19% فقط من كلمات المرور تحتوي على تركيبة قوية، تتضمن كلمات غير معجمية، وأحرفًا كبيرة وصغيرة، بالإضافة إلى أرقام ورموز. في الوقت نفسه، وجدت الدراسة أيضًا أن 39% من هذه الكلمات القوية لا يزال من الممكن تخمينها باستخدام خوارزميات ذكية في أقل من ساعة.

من المثير للاهتمام أن المهاجمين لا يحتاجون إلى معرفة متخصصة أو معدات متطورة لاختراق كلمات المرور. على سبيل المثال، يستطيع معالج حاسوب محمول متخصص اختراق كلمة مرور مكونة من ثمانية أحرف صغيرة أو أرقام بدقة باستخدام القوة الغاشمة في 7 دقائق فقط. ويمكن لبطاقة الرسومات المدمجة القيام بالشيء نفسه في 17 ثانية. إضافةً إلى ذلك، تميل خوارزميات تخمين كلمات المرور الذكية إلى استبدال الأحرف (مثل "e" بدلًا من "3"، و"1" بدلًا من "!"، و"a" بدلًا من "@") والسلاسل النصية الشائعة (مثل "qwerty"، و"12345"، و"asdfg").

يُنصح باستخدام كلمات مرور عشوائية الأحرف ليسهل على المخترقين تخمينها. صورة توضيحية

قالت يوليا نوفيكوفا، رئيسة قسم استخبارات البصمة الرقمية في كاسبرسكي: "يميل الناس، دون وعي، إلى اختيار كلمات مرور بسيطة للغاية، وغالبًا ما يستخدمون كلمات مرور من القاموس بلغتهم الأم، مثل الأسماء والأرقام... حتى مجموعات كلمات المرور القوية نادرًا ما تنحرف عن هذا الاتجاه، لذا فهي قابلة للتنبؤ بها تمامًا بواسطة الخوارزميات".

لذلك، فإن الحل الأمثل والأكثر موثوقية هو إنشاء كلمة مرور عشوائية تمامًا باستخدام برامج حديثة وموثوقة لإدارة كلمات المرور. تستطيع هذه التطبيقات تخزين كميات كبيرة من البيانات بأمان، مما يوفر حماية شاملة وقوية لمعلومات المستخدم.

لزيادة قوة كلمات المرور، يُمكن للمستخدمين تطبيق النصائح البسيطة التالية: استخدام برامج أمان الشبكات لإدارة كلمات المرور؛ استخدام كلمات مرور مختلفة للخدمات المختلفة. بهذه الطريقة، حتى في حال اختراق أحد حساباتك، تبقى الحسابات الأخرى آمنة؛ تساعد عبارات المرور المستخدمين على استعادة حساباتهم عند نسيان كلمات المرور؛ ومن الأفضل استخدام كلمات مرور أقل شيوعًا. بالإضافة إلى ذلك، يُمكنهم استخدام خدمة عبر الإنترنت للتحقق من قوة كلمات المرور الخاصة بهم.

تجنب استخدام معلوماتك الشخصية، مثل أعياد الميلاد، أو أسماء أفراد عائلتك، أو أسماء حيواناتك الأليفة، أو ألقابك، ككلمة مرور. فهذه غالبًا ما تكون أول ما يحاول المهاجمون استخدامه عند محاولة اختراق كلمة مرور.