الهندسة الاجتماعية وسرقة الـ OTP: كيف يتجاوز المهاجمون المصادقة الثنائية (2FA)
social engineering otp stealing two-factor authentication mobile safety virtual number

الهندسة الاجتماعية وسرقة الـ OTP: كيف يتجاوز المهاجمون المصادقة الثنائية (2FA)

الهندسة الاجتماعية وسرقة الـ OTP: كيف يتجاوز المهاجمون المصادقة الثنائية (2FA)

تعتبر المصادقة الثنائية (2FA)، وخاصة عبر رموز التحقق لمرة واحدة (OTP) المرسلة عبر الرسائل النصية القصيرة (SMS)، صمام أمان موثوقاً للحسابات الرقمية. ومع ذلك، طور مجرمو الإنترنت أساليبهم. اليوم، يقوم المهاجمون بانتظام بتجاوز المصادقة الثنائية من خلال الجمع بين التلاعب النفسي (الهندسة الاجتماعية) والخدع التقنية لسرقة رموز التحقق. في هذا المقال، سنستعرض كيف تحدث هذه الهجمات، والآليات التي يستخدمها المحتالون لحصاد الرموز، وكيف يمكنك حماية حساباتك باستخدام أدوات الخصوصية المتقدمة مثل أرقام الهواتف الافتراضية المؤقتة.

مفهوم الهندسة الاجتماعية في تخطي المصادقة الثنائية

الهندسة الاجتماعية هي فن التلاعب بالبشر لدفعهم إلى الكشف عن معلومات سرية. على عكس الاختراق التقليدي الذي يستهدف ثغرات البرمجيات، تستغل الهندسة الاجتماعية علم النفس البشري. يدرك المهاجمون أن كسر الأنظمة الأمنية أمر صعب، لكن البشر سريعي التأثر بالخوف، الاستعجال، والثقة بالجهات الرسمية.

عند استهداف الـ 2FA عبر الرسائل النصية، لا يحتاج المخترقون إلى اختراق البنك، بل يتصلون بالضحية مباشرة مدعين أنهم من خدمة العملاء أو الدعم الفني، ويطلبون الرمز بدعوى إيقاف عملية احتيالية جارية.

خطوات هجوم سرقة الـ OTP

  • جمع المعلومات: يحصل المهاجم على رقم هاتف الضحية وبعض البيانات من التسريبات المتاحة على الإنترنت.
  • الإنذار الكاذب: يتلقى المستخدم رسالة تزعم وجود نشاط مشبوه على حسابه.
  • إرسال رمز حقيقي: يطلب المهاجم إعادة تعيين كلمة المرور في الموقع الحقيقي، مما يدفع النظام لإرسال رمز OTP فعلي لهاتف الضحية.
  • الاستيلاء: يطلب المهاجم من الضحية قراءة الرمز لإلغاء العملية. بمجرد الحصول عليه، يسجل الدخول ويغير بيانات الاسترداد.

كيف تحمي نفسك من هذه الهجمات؟

  • لا تشارك رمز الـ OTP أبداً: لن يطلب منك أي بنك أو خدمة حقيقية قراءة رمز التحقق عبر الهاتف.
  • استخدم تطبيقات المصادقة: قم بتعطيل التحقق عبر الرسائل النصية واستخدم تطبيقات مثل Google Authenticator أو مفاتيح الأمان الفعلية.
  • استخدم الأرقام الافتراضية المؤقتة: عند التسجيل في المواقع والخدمات الثانوية، تجنب استخدام رقمك الشخصي الأساسي. تمنع الأرقام المؤقتة وصول المحتالين إلى بياناتك الحقيقية.

الدول

فريق التحرير - Text Verification

عن المؤلف

فريق التحرير - Text Verification

الاتصالات والخصوصية

يتألف فريق التحرير في Text Verification من خبراء في الاتصالات والخصوصية يمتلكون أكثر من عقد من الخبرة المشتركة. يختبر كتّابنا كل خدمة نتناولها ويتحقق من جميع المعلومات التقنية قبل النشر.

أحدث المقالات

عرض الكل
التحقق عبر الرسائل النصية الأمان عبر الإنترنت

لماذا يحمي التحقق عبر الرسائل النصية القصيرة حساباتك الإلكترونية؟

اكتشف لماذا أصبح التحقق عبر الرسائل النصية (SMS) المعيار العالمي لتأمين الحسابات عبر الإنترنت، وكاف يعمل، وحدوده، وكيف توفر أرقام الهواتف ال...