قصف رسائل التحقق.. لماذا لم يعد العامل الثاني كافياً لحماية هويتك؟

قصف رسائل التحقق.. لماذا لم يعد العامل الثاني كافياً لحماية هويتك؟
قصف رسائل التحقق.. لماذا لم يعد العامل الثاني كافياً لحماية هويتك؟
شارك هذا الخبر

كان يُنظر إلى المصادقة متعددة العوامل (MFA) باعتبارها خط الدفاع الحاسم ضد سرقة الهوية الرقمية، إذ تضمن أن المهاجم حتى لو امتلك كلمة المرور فلن يتمكن من الدخول دون العامل الثاني. لكن الواقع اليوم يكشف أن المهاجمين لا يحتاجون إلى سرقة العامل الثاني، بل يكفيهم أن يحصلوا عليه من المستخدم نفسه عبر أسلوب يُعرف بـ قصف رسائل التحقق (Prompt Bombing).

كيف يعمل قصف رسائل MFA

يعتمد هذا الهجوم على ثلاثة عناصر رئيسية:

  • بيانات اعتماد صحيحة غالباً من تسريبات كلمات المرور في الشبكة المظلمة.
  • بوابة تسجيل دخول تعتمد على إشعارات الدفع مثل VPN أو Microsoft 365 أو Okta أو Duo.
  • ضحية تتلقى التنبيهات في كل محاولة دخول.

يقوم المهاجم بتكرار إرسال طلبات الدخول، ما يرهق الضحية أو يخدعها لقبول أحد الطلبات. في بعض الحالات، يُضاف عنصر الهندسة الاجتماعية عبر مكالمات هاتفية (Vishing) يتظاهر فيها المهاجم بأنه من فريق الدعم الفني، ليقنع الضحية بالموافقة على التنبيه. بمجرد الموافقة، يصبح الدخول شرعياً في نظر النظام الأمني.

مثال اختراق Cisco

حادثة اختراق Cisco عام 2022 تُظهر خطورة هذا الأسلوب. حيث استغل مهاجمون مرتبطون بمجموعة Yanluowang حساباً شخصياً لموظف كان يزامن كلمات المرور المخزنة في المتصفح، بما فيها كلمة مرور VPN الخاصة بالشركة. بعد ذلك، بدأوا بإرسال إشعارات MFA إلى هاتف الموظف، ومع الفشل الأولي لجأوا إلى مكالمات هاتفية بأصوات ولهجات مختلفة حتى أقنعوه بالموافقة. النتيجة كانت وصولهم إلى الشبكة الداخلية، تسجيل أجهزة جديدة في نظام MFA، تصعيد الامتيازات، والوصول إلى خوادم Citrix ومسيطرات النطاق، قبل أن يسرقوا 2.8 جيجابايت من البيانات.

لماذا لا تكفي إشعارات الدفع

تكمن المشكلة في أن إشعارات الدفع لا تقدّم سياقاً كافياً للمستخدم: لا تُظهر مصدر الطلب، ولا الجهاز المستخدم، ولا تفاصيل المحاولة. ومع تكرار التنبيهات، قد يظن المستخدم أن النظام يخطئ، فيوافق على أحدها. وإذا ترافق ذلك مع مكالمة هاتفية مقنعة، يصبح من الصعب التمييز بين الهجوم والطلب الشرعي.

ثلاث طرق لمنع قصف رسائل MFA
  • استخدام عوامل مقاومة التصيّد: مثل مفاتيح FIDO2، أجهزة YubiKey، أو رموز المطابقة الرقمية من تطبيقات المصادقة.
  • منع كلمات المرور المخترقة: عبر فحص مستمر لـ Active Directory ضد قواعد بيانات كلمات المرور المسربة وإجبار المستخدمين على إعادة التعيين عند اكتشاف تطابق.
  • إضافة إشارات المخاطر: مثل الموقع الجغرافي، حالة الجهاز، وأوقات الدخول، لتفعيل سياسات وصول مشروطة تمنع الطلبات المشبوهة قبل وصولها إلى المستخدم.
MFA ما زالت مهمة

رغم أن قصف رسائل التحقق يكشف عن نقاط ضعف في بعض أشكال MFA، إلا أن الحل ليس التخلي عنها، بل تعزيزها بأساليب أكثر مقاومة للهندسة الاجتماعية. استخدام المطابقة الرقمية أو المفاتيح المادية، إلى جانب مراقبة كلمات المرور المسربة، يمكن أن يرفع مستوى الحماية ويقلل من فرص نجاح الهجمات.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1586

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة