لغة القالب
ابحث عن ما تشاء

اختراق حساب هيئة الأوراق المالية والبورصات الأمريكية على تويتر

 تم قبل أيام اختراق حساب X (تويتر) تابع للحكومة الأمريكية - وهو حساب "هيئة الأوراق المالية والبورصات الأمريكية" (U.S. Securities and  Exchange Commission).

اختراق حساب هيئة الأوراق المالية والبورصات الأمريكية على تويتر

 

كيف تم اختراق الحساب؟

تم الاختراق بسبب خطأ من شركة الإتصالات بالإضافة إلى خطأ من فريق الهيئة الحكومية

يلي حصل هو على الشكل التالي:

قام شخص ما (المخترق) باستعمال طريقة تسمى SIM swap attack أو هجوم مبادلة بطاقة SIM - يلي من خلالها بيقوم المهاجم بالحصول على بطاقة SIM بنفس رقم شخص أو جهة معينة - كيف بيتم الأمر؟ 

بعدة طرق، منها خداع موظفة أو موظف بشركة الاتصالات وانتحال صفة صاحبة أو صاحب الرقم، أو ممكن من خلال رشوة موظفة أو موظف بشركة الإتصالات والحصول على بطاقة SIM بالرقم المطلوب .. وبعد الحصول على الرقم، بيتم الدخول إلى الموقع المطلوب (تويتر أو فيسبوك أو انستاغرام أو الايميل أو أي موقع آخر) وبتم عمل Reset password أو اعادة تعيين لكلمة المرور للحساب المطلوب اختراقه، فـ بيقوم الموقع (تويتر أو فيسبوك، أو انستاغرام...) بارسال كود أو رمز للرقم من خلال رسالة نصية SMS - وعندها بيتم اختراق الحساب بنجاح

هلأ، كيف ممكن تجنب هاد النوع من الهجوم أو الاختراق أو كيف ممكن حماية الحسابات من هاد الشيء؟..

الجواب بسيط جداً: من خلال تفعيل خيار المصادقة الثنائية Two-step verification - كيف بقوم هاد الشيء بحماية الحساب أو شو بيعني هاد الأمر؟ بيعني أن الدخول إلى الحساب بيصير بيحتاج كلمة سر + رمز أمان .. بهي الحالة حتى اذا شخص معين حصل أو اخترق كلمة سر الحساب مابيقدر يدخل على الحساب أو يخترقه بدون ادخال رمز الأمان

هون فيه سؤال بينطرح، هل معقول أن هيئة حكومية أمريكية مثل هيئة الأوراق المالية والبورصات ما فعلت المصادقة الثنائية لحماية الحساب؟!

الجواب هو انه فريق الهيئة بشهر 5/2023 واجه مشكلة بالدخول إلى الحساب فـ قام بتعطيل المصادقة الثنائية، ومن ثم ما قاموا بتفعيلها مرة أخرى 🤦🏼 لحين اختراق الحساب بشهر 1/2024 *نعم، بهي البساطة حصل الأمر!

لهون بينتهي الخبر .. أما اذا كنتوا مهتمات أو مهتمين بتفاصيل تقنية فـ القسم التالي إلكم..

قلت بفقرة سابقة أن حماية الحساب (تويتر، فيسبوك، انستاغرام، ايميل، تيكتوك...) بتكون من خلال تفعيل المصادقة الثنائية، يلي هي حماية الحساب من خلال كلمة سر + رمز أمان

طيب، كيف بيتم الحصول على رمز الأمان؟

فيه عدة طرق بتقدمها الشركات (تويتر، فيسبوك، انستاغرام، ايميل...) للحصول على رمز الأمان، من بين هي الطرق أو الخيارات:

- الخيار الأول: الرسائل النصية SMS - بحيث بعد ادخال كلمة سر الحساب بيتم ارسال رمز الأمان برسالة نصية إلى رقم الهاتف الخاص بالحساب.

- الخيار الثاني: تطبيق المصادقة - وهو عبارة عن تطبيق بيتم ربطه بالحساب والتطبيق بيقوم تلقائياً بإنشاء رموز أمان للحساب.

- الخيار الثالث: مفتاح أمان أو Security key - وهو عبارة عن مفتاح USB (شبيه بالفلاش ميموري) بيتم تعريفها على الحساب، وعند الدخول للحساب وبعد ادخال كلمة السر بيتم وضع الـ USB بالموبايل أو التلفون فـ بيتم الدخول للحساب.

فيه طرق وخيارات أخرى لكن مو هاد موضوعي حالياً - الموضوع يلي حابب قوم بالإشارة إله هو التالي: معظم الأشخاص أو المنظمات أو الشركات لما يفعلوا المصادقة الثنائية بيقوموا بتفعيلها من خلال رقم الهاتف (الخيار الأول) بحيث يوصل إلهم رمز الأمان من خلال رسالة نصية SMS -- طيب، خلونا نرجع للاختراق يلي حصل لحساب هيئة الأوراق المالية والبورصات الأمريكية، ونشوف، هل ياترى لو تم تفعيل المصادقة من خلال الرسائل النصية كان راح يتم حماية الحساب من الاختراق يلي حصل؟

الجواب: بالتأكيد لأ!

ليش لأ؟! لأن ببساطة المخترق استخدم هجوم مبادلة بطاقة SIM أو SIM swap attack يلي من خلاله حصل على بطاقة SIM بنفس رقم الهاتف! يعني لما يتم ارسال "رمز الأمان" عبر رسالة نصية راح يوصل الرمز للمخترق! لأن ببساطة هو حالياً بيملك الـ SIM أو الرقم 🙃

الخلاصة:

1- لحماية الحسابات من الاختراق، يجب تفعيل المصادقة الثنائية

2- عند تفعيل المصادقة الثنائية، يجب تجنب تفعيلها من خلال الرسال النصية - بدل عن هيك تفعيلها من خلال 1- تطبيق المصادقة (الرابط في التعليق الأول) 2- من خلال مفتاح الأمان (إن أمكن شراءه - الرابط في التعليق الأول) 3- من خلال رموز الأمان يلي بيقوم التطبيق (فيسبوك، انستاغرام، تويتر، Gmail...) بتوفيرها

- آخر نصيحة (وهي مهمة جداً)، اعملوا مراجعة لجميع حساباتكم، وتأكدوا أن رقم الهاتف و الأيميل المربوطين بالحساب هم رقمكم الحالي و ايميلكم الحالي (وليسو رقم أو ايميل قديم ماعندكم وصول إله)

الصورة ©️ yubico

              
يناير 23, 2024

عدد المواضيع