الهندسة الاجتماعية وسرقة الـ OTP: كيف يتجاوز المهاجمون المصادقة الثنائية (2FA)
تعتبر المصادقة الثنائية (2FA)، وخاصة عبر رموز التحقق لمرة واحدة (OTP) المرسلة عبر الرسائل النصية القصيرة (SMS)، صمام أمان موثوقاً للحسابات الرقمية. ومع ذلك، طور مجرمو الإنترنت أساليبهم. اليوم، يقوم المهاجمون بانتظام بتجاوز المصادقة الثنائية من خلال الجمع بين التلاعب النفسي (الهندسة الاجتماعية) والخدع التقنية لسرقة رموز التحقق. في هذا المقال، سنستعرض كيف تحدث هذه الهجمات، والآليات التي يستخدمها المحتالون لحصاد الرموز، وكيف يمكنك حماية حساباتك باستخدام أدوات الخصوصية المتقدمة مثل أرقام الهواتف الافتراضية المؤقتة.
مفهوم الهندسة الاجتماعية في تخطي المصادقة الثنائية
الهندسة الاجتماعية هي فن التلاعب بالبشر لدفعهم إلى الكشف عن معلومات سرية. على عكس الاختراق التقليدي الذي يستهدف ثغرات البرمجيات، تستغل الهندسة الاجتماعية علم النفس البشري. يدرك المهاجمون أن كسر الأنظمة الأمنية أمر صعب، لكن البشر سريعي التأثر بالخوف، الاستعجال، والثقة بالجهات الرسمية.
عند استهداف الـ 2FA عبر الرسائل النصية، لا يحتاج المخترقون إلى اختراق البنك، بل يتصلون بالضحية مباشرة مدعين أنهم من خدمة العملاء أو الدعم الفني، ويطلبون الرمز بدعوى إيقاف عملية احتيالية جارية.
خطوات هجوم سرقة الـ OTP
- جمع المعلومات: يحصل المهاجم على رقم هاتف الضحية وبعض البيانات من التسريبات المتاحة على الإنترنت.
- الإنذار الكاذب: يتلقى المستخدم رسالة تزعم وجود نشاط مشبوه على حسابه.
- إرسال رمز حقيقي: يطلب المهاجم إعادة تعيين كلمة المرور في الموقع الحقيقي، مما يدفع النظام لإرسال رمز OTP فعلي لهاتف الضحية.
- الاستيلاء: يطلب المهاجم من الضحية قراءة الرمز لإلغاء العملية. بمجرد الحصول عليه، يسجل الدخول ويغير بيانات الاسترداد.
كيف تحمي نفسك من هذه الهجمات؟
- لا تشارك رمز الـ OTP أبداً: لن يطلب منك أي بنك أو خدمة حقيقية قراءة رمز التحقق عبر الهاتف.
- استخدم تطبيقات المصادقة: قم بتعطيل التحقق عبر الرسائل النصية واستخدم تطبيقات مثل Google Authenticator أو مفاتيح الأمان الفعلية.
- استخدم الأرقام الافتراضية المؤقتة: عند التسجيل في المواقع والخدمات الثانوية، تجنب استخدام رقمك الشخصي الأساسي. تمنع الأرقام المؤقتة وصول المحتالين إلى بياناتك الحقيقية.
