القاهرة : الأمير كمال فرج.

حذرت مايكروسوفت Microsoft من رموز المرور الأمنية المرسلة إلينا عبر الرسائل القصيرة SMS من أمثال Facebook و PayPal و Twitter و PlayStation و Uber و Dropbox و Amazon - ومايكروسوفت نفسها، مؤكدة أنها باب خلفي للاختراق.

ذكر تقرير نشرته مجلة Forbes أن "شركة مايكروسوفت حذرت من استخدام المصادقة القائمة على الرسائل القصيرة SMS على هاتفك، وهي طريقة شائعة للمصادقة تستخدمها الكثير من الشركات التكنولوجيا، معللة ذلك بسهولة إخاراقها من أطراف خارجين".

تحذير خطير

جاء التحذير الأمني ​​الجديد عبر الرسائل النصية القصيرة من أليكس وينرت، مدير أمان الهوية في مايكروسوفت ، والذي كتب في منشور مدونة "أريد أن أفعل ما بوسعي لإقناعك بأن الوقت قد حان للانتقال بعيدًا عن الرسائل النصية القصيرة وآليات المصادقة متعددة العوامل ( MFA)"، مشيرا إلى أن رسائل SMS مفتوحة للاختراق بطريقة لا تتوفر في أشكال أخرى من التوثيقات المتعددة MFA.

قد يكون تحذير مايكروسوفت خطيرًا ومثيرًا للسخرية . في وقت سابق من هذا العام ، أكدت مايكروسوفت أن 11٪ فقط من حسابات المؤسسة الخاصة بها تم تمكين المصادقة متعددة العوامل (MFA) ، وأن مليون من هذه الحسابات تتعرض للاختراق شهريًا ، وأن أي شكل من أشكال MFA - بما في ذلك الرسائل القصيرة - سيمنع 99٪ من تلك الهجمات .

قال إيان ثورنتون-ترامب كبير مسؤولي أمن المعلومات في شركة  Cyjax، أن "أكبر مشكلة في أسلوب التوثيقات المتعددة (MFA) ليس أمن الرسائل القصيرة المزعجة ، بل هو تناولها.  لا توجد المصادقة متعددة العوامل (MFA) على Office 365 ، وهذه الطريقة التي مكنت وكالة فدرالية أمريكية من تخفيف الهجوم".

لا بديل

ولكن ثبت أنه من المستحيل التغلب على بساطة رموز المرور الخاصة بالرسائل النصية القصيرة التي يمكن أن يتلقاها أي هاتف. لا توجد بدائل قابلة للتطبيق تتناسب مع انتشارها في كل مكان وسهولة استخدامها بالنسبة لغالبيتنا. وهذه هي القضية الحقيقية.

في حين أن الخروقات الأمنية للرسائل النصية القصيرة قابلة للتحقيق من الناحية الفنية، فالواقع يؤكد أن لا أحد كان ضحية لذلك؛ في حين أن كل شخص سيكون قد وقع بالفعل ضحية لانتهاك واحد أو أكثر من أسماء المستخدمين وكلمات المرور على مر السنين وسيكون عرضة لخطر إعادة استخدام كلمة المرور أو هجمات الرش.

في فبراير الماضي ، وصف وينرت عدد حسابات مايكروسوفت التي تم اختراقها بأنه "عدد كبير جدًا حقًا ، وقال "إذا كان لديك مؤسسة تضم 10 آلاف مستخدم، سيتم اختراق 50 منهم هذا الشهر." لم تتغير الرياضيات في أسلوب المصادقة المتعددة MFA منذ ذلك الحين".

 في منشور المدونة الأخير هذا ، يؤكد وينرت أن "معدل اختراق الحسابات التي تستخدم أي نوع من أنواع MFA أقل من 0.1٪." وهذا يشمل الرسائل القصيرة".

بنية قديمة

تكمن مشكلة الرسائل القصيرة في أنها مبنية على بنية قديمة موجودة داخل العديد من الشبكات الخلوية حول العالم. عند إرسال رسالة نصية قصيرة ، قد تكون آمنة بين هاتفك وشبكتك ، ولكن بمجرد وصولها يمكن أن ترتد في شكل نص عادي بين مختلف مراكز رسائل SMS داخل شركات نقل مختلفة في طريقها من المرسل إلى المستلم.

في الواقع ، يقدم هذا التحذير الجديد من مايكروسوفت جميع الأسباب التي تجعلنا نبتعد عن الرسائل القصيرة لأي من اتصالاتنا.

يوضح وينرت أنه "عندما تم تطوير بروتوكولات الرسائل القصيرة والصوت ، تم تصميمها بدون تشفير. من منظور قابلية الاستخدام العملي، لا يمكننا تركيب التشفير على هذه البروتوكولات لأن المستخدمين لن يكونوا قادرين على قراءتها (هناك أسباب أخرى أيضًا ، مثل رسالة bloat ، التي منعت هذه من السيطرة على البروتوكولات الحالية). ما يعنيه هذا هو أنه يمكن اعتراض الإشارات من قبل أي شخص يمكنه الوصول إلى شبكة التبديل أو داخل النطاق اللاسلكي للجهاز. "

اعتراض رسائل SMS

يمكن للهجوم المعقد نسبيًا اعتراض رسائل SMS داخل الشبكة أو نشر برامج ضارة على الهواتف الذكية لجمع الرموز فور تلقيها ، إلى جانب أسماء المستخدمين وكلمات المرور.

 تركز الهجمات الأكثر بساطة على تبديل بطاقة SIM ، حيث يتم خداع الشبكات لإصدار بطاقات SIM مكررة أو مواقع التصيد التي تغري المستخدمين بإدخال بيانات اعتمادهم - والتي يتم إدخالها بعد ذلك خلف الكواليس في الموقع الحقيقي - ثم رمز MFA عند استلامها. أبسط الهجمات تخدع المستخدمين لإعادة توجيه الرموز التي يتلقونها للآخرين.

ومع ذلك ، فإن عدم وجود MFA يمكن أن يكون أكثر عشوائية، مما يعرض الحسابات للخطر بشكل جماعي من خلال بيانات الاعتماد المخترقة أو المعاد استخدامها.

 الاختراقات الأمنية للرسائل القصيرة مختلفة ، فهي مستهدفة. يحتاج المهاجم إلى معرفة رقم هاتفك أو زرع برامج ضارة على هاتفك الذكي. يحتاجون إلى إيجاد طريقة لربط بيانات اعتماد الحساب برمز SMS الذي ستتلقاه بعد ذلك، ويحتاجون إلى اختراق هذا الحساب داخل النافذة الزمنية لهذا الرمز.

وعلى الرغم من أننا رأينا مواقع تصيد ذكية تخدع المستخدمين للتخلي عن مثل هذه الرموز، إلا أنها تظل غير عادية نسبيًا. يظل اختراق الرسائل القصيرة الأكثر احتمالاً هو الاختراق الذي تم تصميمه اجتماعيًا ، حيث يتم خداعك لإعادة توجيه الرسائل القصيرة إلى "صديق".

يقول جون أوبديناكر ، كاتب أمن المعلومات، "من المهم أن نفهم أن هذه الهجمات لا تزال تستهدف - فالخطر الذي يتعرض له المستخدم العادي الذي تعرض حساباته للاختراق من خلال الهجمات الجماعية مثل التصيد الاحتيالي أو حشو بيانات الاعتماد أعلى بكثير،  والمصادقة المتعددة بواسطة  SMS فعالة بشكل مدهش"، وفقًا لشركة Forrester ، فإنه يمنع حتى 76٪ من الهجمات المستهدفة.

 يلغي بعض مزودي الخدمة الرسائل القصيرة كخيار MFA - لكن هذا هو الاستثناء. الاتجاه يتحرك في الاتجاه المعاكس. وخطوة PayPal الأخيرة لتأمين المعاملات باستخدام MFA ، مع كون الرسائل القصيرة هي الخيار الافتراضي ، يشهد على ذلك.

المصادقة المستندة إلى التطبيق

تقوم ماكروسوفت بتوصيل تطبيق المصادقة الخاص بها كبديل آمن. يوضح وينرت: "نعتقد أن الإجابة الصحيحة هي المصادقة المستندة إلى التطبيق". "بالنسبة لنا ، هذا يعني مصادقة ماكروسوفت  من الناحية النظرية ، يجب أن يكون التطبيق الذي يتم تشغيله على هاتفك الذكي بنفس سهولة استخدام رسالة SMS. وقد يكون هذا صحيحًا بالنسبة للكثيرين، ولكن بالنسبة للغالبية العظمى من مستخدمي الخدمات الرئيسية ، فإن هذا ليس هو الحال.

فيما يتعلق بالموضوع الأوسع للرسائل النصية القصيرة ، فإن المفارقة في هذا التحذير الأخير هي أن أسلوب المصادقة المتعددة MFA هو واحد من عدد قليل جدًا من الاستخدامات الجديرة بالاهتمام هذه الأيام - تلك والإشعارات المهملة التي نتلقاها جميعًا من مزودي الخدمة الذين لا يمثلون أي مخاطر أمنية.

أفضل أمان

بالنسبة لاتصالاتك الخاصة ، يجب عليك الانتقال إلى برنامج مراسلة آمن ومشفّر من طرف إلى طرف ، مثل WhatsApp أو Signal أو iMessage إذا كنت داخل نظام Apple.

بالنسبة إلى MFA ، فإن الإجابة الصحيحة هي فتح الوصول إلى MFA المتمحور حول النظام الأساسي والذي تم نشره بواسطة Apple و Google لاستخدام أمان iPhone و Android للتحقق من الوصول إلى الحساب.

في غضون ذلك ، يجب عليك استخدام كل ما ستستخدمه. إذا كنت مستعدًا لتثبيت واستخدام تطبيق مصادقة أو مفتاح مادي، فمن الواضح أن هذا أكثر أمانًا. إذا كان من المحتمل أن تتخطى هذا باعتباره معقدًا جدًا أو صعبًا ، فالتزم بخدمة الرسائل القصيرة.

تقول ليزا فورتي من Red Goat Cyber ​​Security أن "أفضل أمان هو الأمان الذي يمكنك استخدامه طوال الوقت وفي كل مرة. انها حقا بهذه البساطة، بالنسبة لشخص استخدم كلمة Summer1 ككلمة المرور الوحيدة لسنوات ، فإن تمكين الاستيثاق بعوامل عدة  SMS 2FA يمثل تقدمًا هائلاً. هل هو حل مثالي؟ بالتأكيد لا - لكن الهجوم على هذا الشخص الآن أصعب مما كان عليه".