المصادقة الثنائية ليست الدرع الذي تظنه

لقد قمت بتفعيل المصادقة الثنائية (Two-factor authentication). هذه خطوة جيدة.

تغفل معظم الأدلة الأمنية أمراً واحداً. أكبر عمليات سرقة الحسابات خلال السنوات الثلاث الماضية لم تكسر رمزك الخاص، بل وجد المهاجمون طرقاً لإجبارك على تسليمه أو جعل هذه الخطوة بلا فائدة.

إليك الطرق الثلاث الرئيسية التي يتجاوز بها المهاجمون مصادقتك الثنائية (2FA):

  1. إرهاق المصادقة متعددة العوامل (MFA Fatigue) يستخدم المهاجمون اسم المستخدم وكلمة المرور المسروقة لإرسال إشعارات دفع (push notifications). يرسلون عشرات الطلبات طوال الليل، ويقوم معظم الناس بالضغط على "موافقة" (Approve) فقط لإيقاف هذا الإزعاج. وهذا يمنح المهاجم جلسة دخول صالحة. كانت شركة Uber ضحية لهذا في عام 2022.
  • الحل: تفعيل مطابقة الأرقام (number matching). يجب عليك كتابة الرمز المعروض على شاشتك في تطبيقك، وهذا يمنع الموافقات العشوائية.
  1. المهاجم في المنتصف (Adversary-in-the-Middle - AiTM) يقوم المهاجم بإعداد صفحة تسجيل دخول مزيفة. عندما تقوم بتسجيل الدخول، يرسل الوسيط (proxy) تفاصيلك إلى الموقع الحقيقي. يرسل الموقع الحقيقي تحدي المصادقة الثنائية (2FA challenge)، فيقوم الوسيط بنقل هذا التحدي إليك. تدخل الرمز الخاص بك، فيقوم الوسيط بسرقة ملف تعريف الارتباط الخاص بالجلسة (session cookie). الآن أصبح المهاجم يمتلك حسابك.
  • الحل: استخدم مفاتيح المرور (passkeys) أو مفاتيح الأمان المادية (hardware security keys). تستخدم هذه المفاتيح تشفيراً مرتبطاً بنطاق الموقع الإلكتروني الحقيقي، ولا يمكن للوسيط خداعها.
  1. تبديل شريحة SIM (SIM Swapping) يتصل المهاجم بمزود خدمة الهاتف المحمول الخاص بك، وينتحل شخصيتك لنقل رقمك إلى شريحة SIM الخاصة به. الآن، تذهب كل رموز SMS إليه.
  • الحل: توقف عن استخدام SMS لأي شيء مهم. استخدم تطبيقات المصادقة (authenticator apps) مثل Google Authenticator أو Authy. هذه التطبيقات تولد الرموز على جهازك ولا يمكن اعتراضها عبر تبديل شريحة SIM.

مقارنة طرق الأمان:

• SMS OTP: يمنع فقط هجمات حشو الاعتمادات (credential stuffing). • Authenticator App: يمنع هجمات حشو الاعتمادات وتبديل شريحة SIM. • Standard Push: يمنع هجمات حشو الاعتمادات وتبديل شريحة SIM. • Push with Number Matching: يمنع هجمات حشو الاعتمادات، وهجمات إغراق الإشعارات (push bombing)، وتبديل شريحة SIM. • Hardware Key / Passkey: يمنع كل شيء.

الهدف هو الوصول إلى مصادقة متعددة عوامل مقاومة للتصيد الاحتيالي (Phishing-resistant MFA). تثبت مفاتيح الأمان المادية ومفاتيح المرور أنك في الموقع الإلكتروني الحقيقي، ولا يوجد رمز ليتم سرقته.

اتخذ هذه الخطوات لتأمين حساباتك:

  • هذا الأسبوع: قم بإزالة المصادقة الثنائية عبر SMS من حساباتك المالية. انتقل إلى تطبيق مصادقة (authenticator app).
  • هذا الشهر: قم بتفعيل خاصية مطابقة الأرقام (number matching) في تطبيقات الإشعارات الخاصة بك.
  • عندما تكون مستعداً: اشترِ مفتاح أمان مادي (hardware key) لبريدك الإلكتروني ومدير كلمات المرور الخاص بك.

لا تستخدم أمن عام 2019 لمواجهة تهديدات عام 2025.

تحليل كامل مع أمثلة حقيقية للاختراقات: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass