سان فرانسيسكو - قد تصبح محاولات التصيد الاحتيالي الناجحة قريبًا شيئًا من الماضي ، إذا كانت جهود Google و Microsoft والشركات الأخرى مثمرة.

تقود Google وشركاؤها الانتقال بعيدًا عن كلمات المرور ونحو مفاتيح أمان USB ماديةقال الباحثان في Google نيل مولر وكولين فريرسون في مؤتمر الأمن BSides SF هنا يوم الاثنين (16 أبريل). قامت Google نفسها بتوزيع مفاتيح أمان USB على موظفيها قبل بضع سنوات ، وحققت نتائج جيدة.

الائتمان: شترستوك
(رصيد الصورة: Shutterstock)

قال مولر: "في السنوات الأربع التي تلت نشر Google لمفاتيح الأمان ، لم نحقق أي محاولات تصيد ناجحة في Google".

هذا لا يعني أن المخادعين لا يحاولون. حتى الأشخاص المهتمون بالأمن سوف يقعون في حب المصمم الجيد هجوم التصيد، ويقوم المخادعون بإنشاء صفحات تصيد أفضل مظهرًا طوال الوقت. تم استقبال مراسلك مؤخرًا من قبل شخص واحد فقط برامج مكافحة الفيروسات منع سرقة أوراق اعتماده.

أكثر: إليك إعداد Gmail الوحيد الذي يجب عليك تنشيطه الآن

لا يتطلب التصيد الاحتيالي أي قرصنة ، نظرًا لأنه عمل مخادع - "الهندسة الاجتماعية" ، لاستخدام مصطلح الصناعة. كل ما عليك فعله هو خداع شخص ما للتخلي عن اسم المستخدم وكلمة المرور الخاصين به.

نظرًا لأنه يعتمد على الطبيعة البشرية ، والتي يصعب إصلاحها ، فإن التصيد الاحتيالي لا يزال سببًا رئيسيًا لانتهاكات البيانات والسرقة عبر الإنترنت والاستيلاء على الحسابات. قال مولر وفريرسون إن دراسة استقصائية لبيانات Gmail كشفت أن 12 مليون شخص وقعوا ضحية النجاح هجمات التصيد في عام واحد - أكثر بكثير من 788000 شخص وقعوا ضحية تدوين المفاتيح البرمجيات الخبيثة.

تشكيلة حديثة من مفاتيح أمان Yubico. الائتمان: يوبيكو
(رصيد الصورة: تشكيلة حديثة من مفاتيح أمان Yubico. الائتمان: Yubico)

المصادقة الثنائية (2FA) لا يساعد دائمًا في هزيمة التصيد الاحتيالي ، خاصة إذا كان العامل الثاني هو رمز مرور لمرة واحدة يتم إرساله عبر رسالة نصية قصيرة SMS. في وقت سابق يوم الاثنين ، أظهر جيرود تشونغ من شركة Yubico هجوم تصيد مقنع للغاية استهدف Gmail وطلب من الضحية الدخول رقم هاتفه المحمول لأغراض التحقق - والذي كان سيسمح للمهاجم باعتراض الرسائل النصية والتقاطها مرة واحدة رمز عبور.

وأشار مولر وفريرسون إلى أن معرفة رقم هاتف الضحية ليس ضروريًا لعملية اقتحام لمرة واحدة. عندما يخدع مخادع ضحية لإدخال بيانات اعتماد Google الخاصة به في صفحة تسجيل دخول مزيفة إلى Google ، يمكن للمهاجم على الفور إدخال بيانات الاعتماد المسروقة في صفحة تسجيل الدخول الحقيقية إلى Google. سترسل Google رمز مرور لمرة واحدة إلى هاتف الضحية - والذي ستدخله الضحية في صفحة تسجيل الدخول المزيفة.

تصنع Yubico مفتاح أمان Yubikey المشهور ، وهي جنبًا إلى جنب مع Google تقود FIDO (Fast IDentity Online) Alliance لتوحيد أساليب المصادقة بدون كلمة المرور. مفاتيح أمان USB مثل Yubikey أو مفاتيح أمان Google الخاصة أثبتت أنها دفاعات فعالة ضد هجمات التصيد الاحتيالي ، وهي مدعومة من قبل Facebook و Dropbox و Salesforce والعديد من الشركات الأخرى.

أكثر: ما هي المصادقة الثنائية (2FA) - وكيفية تمكينها

يمتلك المستخدم الشرعي فقط المفتاح المادي للتوصيل بمنفذ USB أو النقر على الهاتف المحمول. (تحتوي العديد من مفاتيح الأمان أيضًا على وظائف NFC للاتصال لاسلكيًا بالأجهزة المحمولة على نطاق قصير جدًا.)

قال تشونغ إن FIDO Alliance في طور استبدال معيار U2F (Universal Two-Factor) الحالي بما يسميه FIDO 2. جزء من FIDO 2 هو معيار WebAuthn القادم، الذي تم الإعلان عنه في وقت سابق من هذا الشهر ، والذي سيتيح للمستخدمين تسجيل الدخول إلى مواقع الويب بدون كلمات مرور. مع FIDO 2 ، تنضم Microsoft و Mozilla إلى FIDO Alliance.

قال تشونغ إن النتيجة النهائية لـ FIDO 2 هي جعل الأشخاص لا يستخدمون كلمات المرور على الإطلاق. ولكن عندما سألناه كيف يمكن للمستخدم التسجيل للحصول على حساب ويب في المقام الأول بدون كلمة مرور ، لم يكن لدى Chong إجابة قوية. لم يستطع إلا أن يقول إن تحالف FIDO كان يبحث في "خيارات مختلفة".

ومع ذلك ، فإن معيار FIDO U2F الحالي يوفر الكثير من الحماية ، كما قال مولر وفريرسون ، إن تطبيق Google الخاص للمعيار يتحقق من المستخدم من خلال فحص 38 عاملاً مختلفًا.

على سبيل المثال ، نظام التشغيل المفضل لدى المستخدم والمتصفح المفضل ومستوى تشفير المتصفح والموقع العام معروفة بالفعل لـ Google. إذا كنت عادةً ما أستخدم Chrome على Windows 7 من نيويورك ، لكن شخصًا ما يقوم بتسجيل الدخول بصفتي يستخدم Edge on Windows 10 من Kiev ، سترفض Google المحاولة حتى يتمكن هذا الشخص من توصيل أمان USB الخاص بي مفتاح.

قال مولر: "مفاتيح الأمان أكثر سهولة في الاستخدام من كلمة المرور لمرة واحدة".

  • ماذا تفعل إذا تم اختراق حسابك على Facebook
  • كيفية حماية هويتك وبياناتك الشخصية وممتلكاتك
  • ماذا تفعل بعد خرق البيانات

احصل على وصول فوري إلى الأخبار العاجلة وأحدث المراجعات والصفقات الرائعة والنصائح المفيدة.

شكرًا لك على الاشتراك في دليل Tom. سوف تتلقى رسالة بريد إلكتروني للتحقق قريبا.

كان هناك مشكلة. يرجى تحديث الصفحة وحاول مرة أخرى.

لا بريد مزعج ، نحن نعد. يمكنك إلغاء الاشتراك في أي وقت ولن نشارك بياناتك مطلقًا دون إذنك.