شرائح الهواتف الذكية SIM لم تعد آمنة
بات من الممكن للمتسللين تنفيذ هجمات SIM Swapعلى أي هاتف بسهولة وبتكلفة منخفضة عبر استخدام المعلومات والأدوات المتاحة لهم في شبكات الإنترنت المظلم أو متاجر البرمجيات الخبيثة، كما يمكن لهم بمجرد الحصول على رقم هاتف الضحية، إعادة تعيين كلمة مرور البريد الإلكتروني ومنعه من الوصول إليه، إلى جانب قيامهم بالاستيلاء على الخدمات المصرفية عبر الإنترنت والحسابات الأخرى، واختراق كافة حساباته المعتمدة على رقم هاتفه. وتتطلب عملية استعادة رقم الهاتف والبيانات المستحوذ عليها فترة طويلة لإثبات عملية الاختراق للعاملين في التطبيقات والمواقع وشبكات التواصل الاجتماعي وإقناعهم بأنه المالك الحقيقي لرقم الهاتف والحساب.
وما زالت بعض الشركات والمواقع لا تشعر بالقلق أو لا تفهم بشكل كامل ما قد يحصل للضحايا، إذ لا يستطيع المصرف معرفة ما إذا كانت رسالة استعادة كلمة المرور أو التحقق من الهوية التي أرسلها لتأكيد هوية المستخدم قد ذهبت إلى شخص آخر، حيث أن رقم الهاتف مرادف للمستخدم بالنسبة للنظام الإلكتروني للمصرف.
كما أن هناك مخاطر تأتي من قبل الشركات الموفرة لخدمات المحمول، إذ يتم السماح لعدد كبير من الموظفين ذوي المستوى المنخفض بإجراء تغييرات جوهرية على حسابات الأشخاص، وهنا يظهر سؤال يتعلق بمدى الثقة الممنوحة لكل مندوب مبيعات يعمل في متاجر شركات خدمات المحمول ويمتلك سلطة إجراء تغييرات على حسابات العملاء.
ويعتبر الخطر المرتبط برقم الهاتف المحمول غامضا إلى حد ما، وذلك نظرا إلى أن تبعاته ذات تأثير كبير، ولكن احتمال حدوثه لا يزال منخفضا نسبيا، ويمتنع معظم الناس من الضغط على الشركات الموفرة لخدمات المحمول ومطالبتها باتخاذ إجراءات تضمن حماية أرقام الهواتف بسبب جهلهم بما تعنيه هجمات مبادلة بطاقات SIM واقتصار الحديث عنها على المجالات التقنية.
المصادقة الثنائية لم تعد كافية وتطبيقات التحقق هي الحل.
لسوء الحظ ليس من الصعب على اللصوص انتحال شخصية المستخدم أمام شركة الهاتف المحمول الخاصة به وسرقة رقم هاتفه، عبر مكالمة هاتفية لدعم العملاء على سبيل المثال.
وشهدت منصة إنستجرام أخيرا موجة من هجمات SIM المقلقة إلى حد كبير لأن المنصة تدعم المصادقة الثنائية التي تعتمد على الرسائل النصية SMS فقط، لذلك أكدت الشركة أنها تعمل على تحديث ميزة المصادقة الثنائية، حيث لا تعتمد على الرسائل النصية SMS ولا تتطلب رقم هاتف المستخدم، وذلك من خلال العمل على أسلوب أكثر أمانا سيسمح للمستخدمين بالمصادقة الثنائية باستخدام تطبيقات الأمان مثل Google Authenticator أو Duo أوAuthy، التي تقوم بإنشاء رموز حماية خاصة بالمستخدم من أجل تسجيل الدخول لحسابه ولا يمكن إنشاؤها على هاتف مختلف عند حدوث اختراق لبطاقة SIM الخاصة بهاتفه.
أبرز تطبيقات المصادقة الثنائية
تعتبر تطبيقات Google Authenticator وAuthy و 1Password و LastPass من تطبيقات المصادقة الأكثر شعبية، إلى جانب التطبيق الخاص بشركة مايكروسوفت Microsoft Authenticator ، وعملت هذه التطبيقات على استبدال الرسائل النصية قصيرة بتطبيق مخصص بحيث يقوم التطبيق بإنشاء رمز مخصص من ستة أرقام بشكل عشوائي يتم تحديثه كل 30 ثانية، ويظل متزامنا باستمرار مع أي خدمة يحاول تسجيل الدخول إليها من الهاتف ذاته.
تعتبر الميزة الرئيسة في هذه التطبيقات أنها تقدم أمانا وحماية عالية لحسابات المستخدم لأن توليد رموز التحقق مرتبط بوجود جهاز مادي بدلا من رقم هاتف.
أضف تعليق