مع تطور العالم الرقمي ، تطورت أيضًا الحاجة إلى تأمين هويات العملاء. يتوقع عملاء اليوم تجربة آمنة من المؤسسات. كما أدى الاستخدام المتزايد للخدمات السحابية والأجهزة المحمولة إلى زيادة مخاطر انتهاكات البيانات. هل تعلم أن إجمالي خسائر القرصنة على الحساب زادت بنسبة 61٪ لتصل إلى 2.3 مليار دولار وأن الحوادث زادت بنسبة 31٪ مقارنة بعام 2014؟
كلمة المرور لمرة واحدة القائمة على الرسائل القصيرة هي تقنية تم اختراعها للتعامل مع التصيد الاحتيالي المضاد والمخاطر الأمنية الأخرى المتعلقة بالمصادقة في عالم الويب. بشكل عام ، يتم استخدام OTPs المستندة إلى الرسائل القصيرة كعامل ثانٍ في حلول المصادقة ذات العاملين. يتطلب من المستخدمين إرسال OTP فريد بعد إدخال بيانات الاعتماد للتحقق من أنفسهم على موقع الويب. أصبح المصادقة الثنائية (2FA) وسيلة فعالة للحد من حوادث القرصنة ومنع عمليات الاحتيال على الهوية.
ولكن لسوء الحظ ، لم تعد كلمة المرور لمرة واحدة (OTP) القائمة على الرسائل القصيرة آمنة في الوقت الحاضر. هناك سببان رئيسيان وراء ذلك:
- أولاً ، يعتمد الأمان الرئيسي لـ OTP المستند إلى الرسائل القصيرة على خصوصية الرسالة النصية. لكن هذه الرسائل القصيرة تعتمد على أمان الشبكات الخلوية ، ومؤخراً ، أشارت العديد من شبكات GSM و 3G إلى أنه لا يمكن توفير خصوصية هذه الرسائل القصيرة بشكل أساسي.
- ثانيًا ، يحاول المتسللون بذل قصارى جهدهم للتطفل على بيانات العملاء ، وبالتالي طوروا العديد من أحصنة طروادة المتخصصة للهواتف المحمولة للوصول إلى بيانات العملاء.
دعونا نتحدث عنها بالتفصيل!
المخاطر الرئيسية المرتبطة بـ OTP القائم على الرسائل القصيرة:
الهدف الرئيسي للمهاجم هو الحصول على كلمة المرور لمرة واحدة ولجعل ذلك ممكنًا ، تم تطوير العديد من الخيارات مثل أحصنة طروادة للهاتف المحمول والاعتراض اللاسلكي وهجمات تبديل SIM. دعونا نناقشها بالتفصيل:
1. اعتراض لاسلكي:
هناك العديد من العوامل التي تجعل تقنية GSM أقل أمانًا مثل الافتقار إلى المصادقة المتبادلة ، ونقص خوارزميات التشفير القوية ، وما إلى ذلك. وقد وجد أيضًا أن الاتصالات بين الهواتف المحمولة أو المحطات الأساسية يمكن التنصت عليها وبمساعدة بعض نقاط ضعف البروتوكول ، يمكن يتم فك تشفيرها أيضًا. علاوة على ذلك ، وجد أنه من خلال إساءة استخدام خلايا الفيمتوسيل ، يمكن أيضًا اعتراض اتصالات الجيل الثالث. في هذا الهجوم ، يتم تثبيت برنامج ثابت معدل على femtocell. تحتوي هذه البرامج الثابتة على قدرات الاستنشاق والاعتراض. كما يمكن استخدام هذه الأجهزة لشن هجمات ضد الهواتف المحمولة.
2 – أحصنة طروادة الهاتف المحمول:
أحدث التهديدات المتزايدة للأجهزة المحمولة هي البرامج الضارة للهاتف المحمول ، وخاصة أحصنة طروادة. تم تصميم هذه البرامج الضارة خصيصًا لاعتراض الرسائل القصيرة التي تحتوي على كلمات مرور لمرة واحدة. الهدف الرئيسي وراء إنشاء مثل هذه البرامج الضارة هو كسب المال. دعونا نفهم الأنواع المختلفة من أحصنة طروادة القادرة على سرقة OTPs القائمة على الرسائل القصيرة.
أول قطعة معروفة من أحصنة طروادة كانت ZITMO (زيوس إن The Mobile) لنظام التشغيل Symbian OS. تم تطوير حصان طروادة هذا لاعتراض شبكات mTAN. يمتلك حصان طروادة القدرة على تسجيل نفسه في نظام التشغيل Symbian OS بحيث يمكن اعتراض الرسائل القصيرة عند قيامهم بذلك. يحتوي على المزيد من الميزات مثل إعادة توجيه الرسائل ، وحذف الرسائل ، وما إلى ذلك. إمكانية الحذف تخفي تمامًا حقيقة وصول الرسالة.
تم التعرف على نوع مشابه من حصان طروادة لنظام التشغيل Windows Mobile في فبراير 2011 ، سمي باسم Trojan-Spy.WinCE.Zot.a وكانت ميزات هذا حصان طروادة مشابهة لتلك المذكورة أعلاه.
توجد أيضًا أحصنة طروادة لنظام Android و RIM’s Black Berry. كل هذه أحصنة طروادة المعروفة عبارة عن برامج مثبتة من قبل المستخدم وهذا هو السبب في أنها لا تستفيد من أي ثغرة أمنية في النظام الأساسي المتأثر. أيضًا ، يستخدمون الهندسة الاجتماعية لإقناع المستخدم بتثبيت البرنامج الثنائي.
3. شبكة Wi-Fi عامة ونقاط اتصال مجانية:
في الوقت الحاضر ، لم يعد من الصعب على المتسللين استخدام شبكة WiFi غير آمنة لتوزيع البرامج الضارة. لم يعد زرع برنامج مصاب على جهازك المحمول مهمة صعبة إذا كنت تسمح بمشاركة الملفات عبر الشبكة. بالإضافة إلى ذلك ، فإن بعض المجرمين لديهم أيضًا القدرة على اختراق نقاط الاتصال. وبالتالي ، فإنهم يقدمون نافذة منبثقة أثناء عملية الاتصال تطلب منهم ترقية بعض البرامج الشائعة.
4. تشفير ونسخ الرسائل القصيرة:
يتم إرسال الرسائل القصيرة من المعهد إلى العميل بتنسيق نص عادي. وأريد أن أقول ، إنه يمر عبر العديد من الوسطاء مثل مجمع الرسائل القصيرة ، ومورد الهاتف المحمول ، ومورد إدارة التطبيقات ، وما إلى ذلك ، وأي تواطؤ من المتسللين مع ضوابط أمنية ضعيفة يمكن أن يشكل خطرًا كبيرًا. بالإضافة إلى ذلك ، في كثير من الأحيان ، يقوم المتسللون بحظر بطاقة SIM من خلال تقديم إثبات هوية مزيف والحصول على بطاقة SIM مكررة من خلال زيارة منفذ البيع بالتجزئة لمشغلي الهاتف المحمول. الآن وصل المخترق إذا كان مجانيًا للوصول إلى جميع OTPs على هذا الرقم.
5. Madware:
Madware هو نوع من الإعلانات القوية التي تساعد على توفير إعلانات مستهدفة من خلال بيانات وموقع الهاتف الذكي من خلال توفير تطبيقات الهاتف المحمول المجانية. لكن بعض البرامج المجنونة لديها القدرة على العمل مثل برامج التجسس وبالتالي القدرة على التقاط البيانات الشخصية ونقلها إلى مالك التطبيق.
ماهو الحل؟
يجب استخدام بعض تدابير المنع لضمان الأمن ضد ضعف الرسائل النصية القصيرة كلمة السر لمرة واحدة. هناك العديد من الحلول هنا مثل تقديم الرموز المميزة للأجهزة. في هذا النهج ، أثناء إجراء معاملة ، سيُنشئ الرمز المميز كلمة مرور لمرة واحدة. خيار آخر هو استخدام عملية المصادقة بلمسة واحدة. بالإضافة إلى ذلك ، يمكن أن يُطلب أيضًا تثبيت تطبيق على الهاتف المحمول لإنشاء OTP. فيما يلي نصيحتان إضافيتان لتأمين كلمة المرور لمرة واحدة (OTP) القائمة على الرسائل القصيرة:
1. تشفير الرسائل القصيرة من طرف إلى طرف:
في هذا النهج ، التشفير من طرف إلى طرف لحماية كلمات المرور لمرة واحدة بحيث يتم إزالة قابليتها للاستخدام إذا تم التنصت على الرسائل القصيرة. يستفيد من “التخزين الخاص بالتطبيق” المتاح في معظم الهواتف المحمولة في الوقت الحاضر. منطقة التخزين الدائمة هذه خاصة بكل تطبيق. لا يمكن الوصول إلى هذه البيانات إلا من خلال التطبيق الذي يقوم بتخزين البيانات. في هذه العملية ، تحتوي الخطوة الأولى على نفس عملية إنشاء OTP ، ولكن في الخطوة الثانية يتم تشفير OTP هذا بمفتاح يركز على العميل ويتم إرسال OTP إلى الهاتف المحمول الخاص بالعميل. على هاتف المستلم ، هناك تطبيق مخصص يعرض OTP هذا بعد فك تشفيره. هذا يعني أنه حتى إذا كان حصان طروادة قادرًا على الوصول إلى الرسائل القصيرة ، فلن يتمكن من فك تشفير كلمة المرور لمرة واحدة بسبب عدم وجود المفتاح المطلوب.
2. قناة افتراضية مخصصة للجوال:
نظرًا لأن أحصنة طروادة الهاتفية تمثل أكبر تهديد لملف OTP المستند إلى الرسائل القصيرة ، نظرًا لأن تنفيذ هجوم أحصنة طروادة على نطاق واسع لم يعد صعبًا بعد الآن ، تتطلب هذه العملية حدًا أدنى من الدعم من نظام التشغيل ودعمًا بسيطًا أو معدومًا من موفري شبكة الهاتف المحمول. في هذا الحل ، تتم حماية بعض الرسائل القصيرة من التنصت من خلال توصيلها إلى قناة أو تطبيق خاص فقط. تتطلب العملية قناة افتراضية مخصصة في نظام تشغيل الهاتف المحمول. تقوم هذه القناة بإعادة توجيه بعض الرسائل إلى تطبيق OTP محدد مما يجعلها آمنة ضد التنصت. يضمن استخدام التخزين الخاص بالتطبيق أمان هذه الحماية.
أخيرًا ، بغض النظر عن العملية التي تختارها ، لا يمكن لأي تقنية أن تضمن لك أمانًا بنسبة 100٪. المفتاح هنا هو أن تكون منتبهًا ومحدّثًا للتغييرات السريعة التي تحدث في التكنولوجيا.
