لهذه الأسباب لا يجب تلقي الرمز في رسالة عند تسجيل الدخول بخطوتين
يُعتبر استعمال ميزة (تسجيل الدخول بخطوتين) والتي يُرمز لها اختصاراً (2FA) أحد أفضل الأمور التي يجب القيام بها في أي موقع لحماية الحساب الخاص بنا. ولكن للأسف في حالة كنت تقوم باستعمال هذه الخطوة في تلقي الرمز وتأكيده عبر رسالة SMS فللأسف إنك تضع نفسك على حافة الهاوية في منطقة الخطر، نتطرق للشرح التفصيلي بالكامل خلال هذا الموضوع.
منذ انتشار أزمة فيروس كورونا المستجد أدت إلي حدوث ارتفاع كبير جداً في عمليات الاختراق في مختلف أنحاء العالم، وانتشار الكثير من Scam، هؤلاء المخترقين الذين يُحاولون إنتهاك خصوصيات الكثير من مستخدمي الإنترنت بهدف ضغينة شخصية أو بهدف الحصول على أموال مجاناً بدون تعب عبر شقاء هذا لامستخدم.
انتشرت الموضوع مؤخراً عبر رسائل التصيد على البريد الإلكتروني، ولهذا السبب فإن الكثيرون قاموا بتفعيل خاصية (تسجيل الدخول بخطوتين) لزيادة المستوي الأمني على الحساب. ولكن للأسف تمكن المخترقون من إيجاد ثغرة في الحصول على الكود الذي يُرسل إليك في رسالة SMS. دعونا بداية نتعرف:
ما هو تسجيل الدخول بخطوتين؟
تسجيل الدخول بخطوتين ويُرمز له (2FA) هو عبارة عن إضفاء طبقة أخرى من الحماية لتعزيز مستوي أمان الحساب. وتم توفير هذه الميزة في كُبري المواقع التقنية، مثل:
- Google, Facebook, Apple, Amazon, Instagram, Twitter
وذلك عند إدخال كلمة المرور الصحيحة للحساب (الخطوة الأولي)، فإنه لا يُمكننا الولوج إليه مباشرةً دون تأكيد الحساب من خلال رمز يتم إرساله إلي الهاتف المحمول الذي ربطناه بالحساب أو عبر تلقي مكالمة هاتفية بها الرمز(الخطوة الثانية).
من هنا نعلم كيف تم استخراج الاسم لهذه التقنية (تسجيل الدخول بخطوتين)، وبالتالي فهذا يعني أن المخترق لن يمكنه الولوج إلي الحساب لو حصل على كلمة المرور الصحيحة دون أن يمتلك هاتفنا أو الرقم الهاتفي الخاص بنا.
بالفعل إنها ميزة رائعة في عملية الحماية، ولكن لا يجب عليك أن تقوم بالحصول على رمز التأكيد في رسالة نصية SMS، وذلك كالآتي:
لماذا لا يجب التوصل برمز التأكيد في رسالة SMS؟
في الحقيقة يُعتبر التوصل برمز التأكيد للحساب عبر رسالة نصية SMS في ميزة (تسجيل الدخول بخطوتين) أقل أماناً عن تأكيد الحساب من داخل التطبيق.
إذ أن المخترقين يُمكنهم تحميل الرسالة التي يتم إرسالها إليك على الرقم الهاتف الخاص بك ونقلها لشريحة أخرى وهذه العملية تُدعي بـ (حركة تبديل الرسائل النصية SMS).
وبالتالي فإنه من السهل حالياً معرفة رقم الهاتف وآخر 4 أرقام سرية خاصة به، وذلك لأن البيانات التي تمر من وإليه يُمكن إعادة توجيهها مرة أخرى لرقم آخر من قبل المخترق. وبهذا نفهم الآن كيف يتم اختراق الحسابات البنكية والكثير من الأمور الأخرى.
الأمر الثاني:
وهو في حالة كنت تقوم بمزامنة الرسائل النصية SMS بالكمبيوتر أو التابلت، فإنه يُمكن للمخترق الوصول إليها من خلالك عبر اختراقك أحد هذه الأجهزة.
الأمر الثالث:
قد يكمن أيضاً في ضعف الجدار الناري للحماية في مزود شبكة الاتصالات نفسها، وفي هذه الحالة تُدعي العملية هجوم SS7. أي أن المخترق يُمكنه التجسس على الهاتف بالكامل من قبل شبكة الاتصالات، ويُمكنه:
- الاستماع للمكالمات الهاتفية
- إعادة كتابة الرسائل
- رؤية موقع الهاتف المحمول الحالي
والكثير من الأمور الأخرى التي يُمكنه القيام بها، لهذا لا يلزم أن تستعمل أبداً (التوصل على الرمز في رسالة SMS) في عملية (تسجيل الدخول بخطوتين)
ما البديل لـتلقي الرمز في رسالة عند تسجيل الدخول بخطوتين
أما بالنسبة إلي البديل لهذه العملية، فإننا ننصحك باستعمال مفتاح جوجل للتأكيد أو مايكروسوفت. وذلك لأنه لا يمكن الحصول على المعلومات التي به من قبل أي شخص آخر وإنما فقط أنت من تحمل هذه المعلومات.
وتظل هذه الأكواد في داخل التطبيق، ولا يُمكن للمخترق أن يقوم بنقلها من هاتف لآخر، كما أن هذه الأكواد تنتهي مدتها المحددة وتصبح منتهية في وقت سريع جداً وتقريباً ما يكون 30 ثانية ثم ينتهي الكود.
هنا تظهر مدي فعّالية هذه الأدوات في توفير طبقة آمنة وحماية عالية جداً وسريعة عند عملية الولوج إلي الحساب، كل ما عليك فعله هو أن تقوم بالتأكيد من داخل التطبيق. كالآتي:
- فتح التطبيق
- الولوج إلي مفاتيح التأكيد
- اختيار أحد الأكواد من 6 أرقام وإدخالها في خانتها المحددة
- الضغط على تأكيد
- تم التأكيد بنجاح