أهمية التحقق الثنائي لحماية حساباتك

على الرغم من أن هناك بعض المصادر التي تشكك في استخدام التحقق الثنائي (2FA) لتأمين حساباتك الإلكترونية، إلا أنه يبقى خيارًا يستحق الاعتبار عند إنشاء حساب جديد. فكيف يمكننا أن نجعل الأمر سهلاً على شخص ما للاستيلاء على حسابك بعدما تم اختراق كلمة مرورك؟

يتطلب التحقق الثنائي من الشخص القيام بخطوة إضافية للوصول إلى حسابه. لكن ما لا يخبرك به أحد هو أن طريقة التحقق الثنائي التي تختارها هي الأهم.

إن استخدام تطبيق مخصص للتحقق الثنائي يعد أكثر أمانًا من استخدام رقم هاتفك كوسيلة للتحقق. وذلك لأن طريقة رقم الهاتف تعتمد على الرسائل النصية القصيرة (SMS)، والتي تتمتع بأمان أضعف وتكون أكثر عرضة للاستغلال.

سواء كنت تمتلك هاتفًا متميزًا من Google أو جهازًا اقتصاديًا من Motorola، فإن ممارسات الأمان الضعيفة يمكن أن تعرض حسابك للخطر.

6 تعرف على موثوقية مزود الخدمة وجهازك

يمكن أن يؤدي ذلك إلى مواقف يصعب التحكم فيها

حتى لو كنت حذرًا، فإن عوامل أخرى قد تؤدي إلى عواقب سلبية تتمثل في سرقة رموزك وحساباتك ومعلوماتك الشخصية من قبل فاعلين خبيثين.

على سبيل المثال، إذا كان مزود الخدمة لديك يفتقر إلى ممارسات فعالة للتحقق من حسابك ورقمك، فإنك قد تقع ضحية لأنشطة احتيالية.

لقد أصبح المحتالون أكثر مهارة في استخدام أساليب الهندسة الاجتماعية، حيث يتعاون مزود الخدمة مع فاعل مموه للحصول على الوصول.

تظهر هذه المشكلة مع عملية تبديل بطاقة SIM، حيث يصبح بطاقة SIM المنقولة بالكامل تحت سيطرة المحتال. يمكن لمزودي الخدمة منع هذا من خلال تنفيذ تدابير الأمان.

يمكن لمزودي الخدمة تعزيز تدابير الأمان الإضافية، مثل ميزات قفل بطاقة SIM وخيارات تجميد التحويل، بالإضافة إلى طلب رموز مرور فريدة تكون منفصلة عن كلمات مرور الحساب العامة.

على سبيل المثال، قدمت AT&T ميزة قفل الحساب لحماية المستخدمين من هجمات تبديل بطاقة SIM.

إنها ميزة يمكنك تفعيلها من خلال تطبيق AT&T، مما يمنع المستخدمين غير المصرح لهم من تغيير أرقام الهواتف أو نقل بطاقات SIM أو تعديل معلومات الفوترة دون إذن إضافي.

قدمت مزودات أخرى، مثل T-Mobile وVerizon، ميزات مشابهة لمعالجة نفس المشكلة.

عامل آخر هو جهازك. إذا كان جهازك يحتوي على برامج ضارة، فإن بياناتك في خطر كبير.

أي شيء يُرسل إلى جهازك يكون في متناول هذه البرامج الضارة.

سوف يستخدم المحتالون سجلات جمع المعلومات لجمع البيانات، إما لاستخدامها لمصلحتهم أو لبيعها في الشبكة المظلمة.

يمكن أن تحتوي هذه السجلات على مجموعة متنوعة من المعلومات، بما في ذلك معلومات تسجيل الدخول الخاصة بك، والرسائل النصية التي تم جمعها، وملفات تعريف الجلسة.

يعد جهازك منجم ذهب للبيانات الشخصية؛ فقد يحتوي على جميع تفاصيلك المالية، ومعلومات شخصية عميقة، وأكثر من ذلك. لذا، تحقق دائمًا مما إذا كان جهازك قد تم إصابته ببرامج ضارة قبل الوثوق به.

5 كن حذرًا من تبديل بطاقة SIM

إنه نوع من الاستيلاء على الحسابات يستهدف تحقق ثنائي ضعيف

تبديل بطاقة SIM هو مشكلة كبيرة تستغل ضعف التحقق الثنائي. تبديل بطاقة SIM هو نوع من الاحتيال حيث يحصل المحتال على السيطرة غير المصرح بها على رقم هاتف الضحية من خلال مزود الخدمة.

يقوم المحتال بإقناع مزود الخدمة (عادة من خلال انتحال الهوية) لنقل الرقم إلى بطاقة SIM جديدة، والتي يستخدمها لاعتراض المكالمات الواردة والرسائل ورموز التحقق.

هذا يعني أن القراصنة لا يحتاجون إلى الهاتف الفعلي للوصول إلى تلك الرموز النصية — يُعرف هذا النوع من الهجمات بهجوم SS7.

يعتبر تبديل بطاقة SIM سببًا رئيسيًا في الاستيلاء على الحسابات. أي حساب محمي بخطوتين باستخدام رقم هاتف هو الآن هدف للمحتالين.

على سبيل المثال، عندما تكون معلوماتك المصرفية مرتبطة برقم هاتفك، يمكن للمحتالين الذين قاموا بتبديل بطاقة SIM الوصول الآن إلى حسابك وسرقة معلوماتك المالية.

تبديل بطاقة SIM أكثر شيوعًا مما قد تتصور، وعندما يحدث، يمكن أن تكون الأضرار شبه لا رجعة فيها.

4 رموز SMS أسهل في الاستغلال

تفتقر هذه الخدمة النصية إلى أمان قوي

رموز SMS، التي تتلقى من خلالها الرموز عبر الرسائل النصية عند إعداد التحقق الثنائي باستخدام رقم الهاتف، ليست محمية جيدًا.

الرسائل النصية ليست مشفرة من النهاية إلى النهاية، مما يعني أنه يمكن اعتراضها من قبل أطراف ثالثة أثناء انتقالها عبر الشبكة. يمكن قراءة الرموز نفسها قبل أن تصل إلى هاتفك.

كما تعتمد رسائل SMS على الشبكات المحمولة. إذا كانت تلك الشبكات تحتوي على ثغرات أمنية، يمكن للقراصنة استغلال ذلك واستخدام تقنيات مثل تبديل بطاقة SIM وهجمات SS7 لاعتراض تلك الرموز.

3 إعادة تدوير أرقام الهواتف يمكن أن تترك آثارًا

تمنح وصولًا غير مقصود إلى الحسابات القديمة

يمكن أن تظهر أرقام الهواتف القديمة مجددًا. ومع ذلك، يمكن للقراصنة استخدام هذه المعلومات لـتحديد الأرقام المرتبطة بالحسابات.

تشير إعادة تدوير أرقام الهواتف إلى ممارسة يقوم بها مزود الخدمة أو الخدمة بإعادة استخدام رقم معطل ثم تعيينه لمستخدم جديد.

قبل إعادة استخدام هذه الأرقام، تنتظر شركات الاتصالات فترة زمنية. تساعد هذه العملية عادةً في تقليل التكاليف ومعالجة مشكلة كون أرقام الهواتف موردًا محدودًا.

يستغل القراصنة إعادة تدوير الأرقام. عندما يحصل المحتال على رقم معاد تدويره، يمكنه استخدامه لتحديد الحسابات المرتبطة، خاصة إذا لم يقم الملاك السابقون بإلغاء تفعيل أو مسح هذه المعلومات. علاوة على ذلك، يمكن أن يرث المالك الجديد تلك الحسابات عن غير قصد.

عندما تسجل الدخول إلى الحسابات دون تحديث رقم هاتفك، سيستقبل المالك الجديد الرمز بدلاً منك.

2 رقم هاتفك هو البداية فقط

يمكن للمحتالين جمع مزيد من المعلومات الشخصية

هناك فرصة حقيقية أن يكون رقم هاتفك قد تم تسريبه بالفعل وأصبح الآن متاحًا في الشبكة المظلمة. لكن الأمر لا يتوقف عند هذا الحد، حيث يمكن أن يعني ذلك أن معلومات شخصية أخرى قد تكون موجودة أيضًا.

يمكن للفاعلين الخبيثين استخدام ذلك لتتبع هويتك واستخدامها لاستخراج قوائم البيانات المهدرة/قوائم الوسطاء للحصول على مزيد من بياناتك.

في النهاية، يمكن أن تؤدي تلك البيانات إلى عمليات احتيال أخرى، واستيلاء على الحسابات، والأسوأ من ذلك، سرقة الهوية.

1 فكر في خيارات تحقق ثنائي أكثر أمانًا

لا يتعين عليك الاعتماد على تحقق ثنائي عبر SMS

بينما تعتبر طرق التحقق الثنائي المعتمدة على الرسائل النصية مريحة (كما تم توضيحه في الإدخالات الأخرى في هذه القائمة)، فإنها أيضًا تقدم نقاط ضعف غير مرغوب فيها.

تعمل تطبيقات المصادقة بشكل أساسي على نفس طريقة التحقق الثنائي (عبر رقم الهاتف)، لكنها أكثر أمانًا بكثير.

من الخيارات الشائعة والتي تعتبر موثوقة هي Google Authenticator وMicrosoft Authenticator.

تولد تطبيقات المصادقة الرموز محليًا على جهازك، على عكس الرسائل النصية، التي يمكن اعتراضها من الشبكة. يمكنك الوصول إلى هذه الرموز أثناء عدم الاتصال بالإنترنت، وتقوم بتحديثها أسرع من تلك المعتمدة على SMS.

لا تحتاج أيضًا إلى تقديم رقم هاتفك. بدلاً من ذلك، تقوم بتنزيل التطبيق وتوصيله بحسابك.

بعد مزامنة التطبيق مع الموقع أو الخدمة، تدخل الرمز في كل مرة تسجل فيها الدخول.

خيار آخر هو استخدام مفتاح أمان مادي. إنه جهاز مادي، عادة في شكل وحدة USB، يتطلب إما اللمس أو الإدخال أثناء عملية تسجيل الدخول.
دين الروح الحلقة 23

يجب أن تمتلك المفتاح فعليًا لإكمال هذه العملية، مما يجعلها مقاومة بشكل أكبر لمحاولات التصيد والاعتراض (مقارنةً بالتحقق الثنائي عبر SMS).

ومع ذلك، لا تدعم جميع الخدمات مفاتيح الأمان المادية وقد لا تكون متوافقة معها.

يجب عليك أيضًا شراء مفتاح الأمان المادي. ما لم تقم بإعداد خيار احتياطي، هناك أيضًا خطر من فقدان الوصول إلى حسابك في حال فقدت ذلك المفتاح.

تذكر أن التحقق الثنائي ليس محصنًا ضد الاختراق

أنا من المدافعين الشرسين عن التحقق الثنائي (2FA). لا زلت أحتفظ بذكريات مؤلمة من رؤية صديقي يفقد حساباته التي لم تكن محمية باستخدام 2FA.

لقد قام بالاتصال بالقنوات الرسمية لمحاولة استعادة حساباته بعد اختراقها، لكنهم لم يستطيعوا مساعدته.

تمكن في النهاية من استعادة حساباته عن طريق الحظ فقط. لكن لا ينبغي أن يحدث ذلك.

يمكن أن يقطع وجود طبقة إضافية من الحماية شوطًا طويلًا، لكن يجب أن تكون انتقائيًا في كيفية اقترابك منها.

إذا كنت تستخدم جهازك للمصادقة على الوصول إلى الحساب، ففكر في ما إذا كان محميًا جيدًا وأنه في حوزتك فقط (ليس جهازًا أو حسابًا مشتركًا).

إنشاء كلمة مرور قوية يصعب اختراقها لا يقل أهمية. علاوة على ذلك، إذا كنت تجد صعوبة في تذكر كلمات المرور المعقدة، يمكنك دائمًا استخدام مدير كلمات مرور موثوق للحفاظ على كل شيء آمنًا. أو الأفضل من ذلك، استخدم مفاتيح المرور كبديل لكلمات المرور.

عندما تفشل كل الخيارات، وإذا كنت غير متأكد من الخيار الأفضل، يمكنك الاعتماد على المصادقة متعددة العوامل لتشديد أمان حسابك.