توضح قصة حديثة كيف أن الرسائل النصية غير الآمنة وأرقام الهواتف بشكل عام تستخدم كأشكال لتحديد الهوية.

نائب مراسل الأخبار جوزيف كوكس عملت مع أحد المتسللين ذوي القبعة البيضاء لتوضيح مدى سهولة إعادة توجيه الرسائل النصية القصيرة المخصصة لهاتف T-Mobile من Cox إلى رقم هاتف مختلف يتحكم فيه المتسلل. لم يحصل كوكس مطلقًا على النصوص مطلقًا ، ولم يتلق أي إخطارات على هاتفه تفيد بإعادة توجيه الرسائل النصية.

  • يتعرض مستخدمو FaceTime للقصف بمكالمات جماعية غير مرغوب فيها - ماذا تفعل
  • من المحتمل أنك تفعل 2FA بشكل خاطئ: إليك الطريقة الصحيحة
  • زائد: يفقد Google Pixel 5a هذه الميزة القاتلة Pixel 5

قام المتسلل بذلك عن طريق تزوير نموذج تفويض (بإذن من كوكس) للحصول على شركة تعيد توجيه رسائل SMS للشركات لإرسال الرسائل النصية إلى هاتفه بدلاً من ذلك.

تستخدم العديد من الشركات مثل هذه الخدمات بحيث يمكن لموظفي الدعم استخدام أجهزة الكمبيوتر للتواصل مع العملاء عبر الرسائل النصية - هذا مثال من شركة أخرى عن كيفية عملها.

تقول الشركة المستغلة في مقال Vice News إن الاختراق لم يعد ممكنًا ، على الأقل من خلال خدمتها الخاصة. ولكن قد يظل ذلك ممكنًا مع الشركات الأخرى التي تقدم خدمات مماثلة.

يجب ألا يكون رقم هاتفك هو المعرف الخاص بك

تؤكد هذه القصة على نقطة أثارها مراسل أمني مستقل بريان كريبس قبل بضع سنوات ، وكرر في أ وظيفة مدونة كتبها كريبس أمس (16 آذار): يجب عدم استخدام أرقام الهواتف المحمولة لتحديد الهوية.

من السهل جدًا القيام بذلك أرقام "المنفذ" للهواتف الأخرى، مثل التحدث بلطف أو رشوة أحد ممثلي دعم العملاء. من السهل جدًا على المحتالين الوصول إلى الأعمال الداخلية لشبكة الهاتف العالمية عن طريق رشوة أو قرصنة مشغلي الاتصالات في البلدان الصغيرة ، وبالتالي التمكن من إعادة توجيه الرسائل النصية إلى أي رقم. وخلافًا لمعظم مكالمات الهاتف المحمول ، فإن الرسائل النصية ليست مشفرة.

تتراوح العديد من الخدمات عبر الإنترنت من WhatsApp و Signal إلى ، كما أشار كوكس ، يعامل Bumble و Postmates رقم هاتفك المحمول على أنه معرف المستخدم الأساسي الخاص بك.

تستخدم الآلاف من الخدمات عبر الإنترنت الرسائل النصية القصيرة كشكل افتراضي لـ توثيق ذو عاملين. تستخدم جميع الخدمات عبر الإنترنت تقريبًا الرسائل النصية القصيرة كطريقة أساسية لتأكيد هوية المستخدم أثناء إجراءات إعادة تعيين كلمة المرور المفقودة.

نتيجة لذلك ، غالبًا ما تكون أسهل طريقة لاختطاف بريدك الإلكتروني أو حسابك المصرفي أو المالي على الإنترنت ليست عن طريق سرقة كلمة مرورك - بل عن طريق سرقة رقم هاتفك.

في السنوات القليلة الماضية ، كان مستثمرو العملات المشفرة لديهم خسر ملايين الدولارات للمحتالين الذين سرقوا أرقام هواتفهم واختطفوا حساباتهم.

لقد سمعنا حكايات من الناس تم فرض رسوم احتيالية على حسابات Apple Pay الخاصة بهم لأن شخصًا ما حول أرقامه إلى هواتف أخرى - على الرغم من أنه من المفترض أن يكون ذلك مستحيلًا.

لن تحل المشكلة قريبًا

الحل المثالي هو استخدام رقم هاتفك كمعرف نادر قدر الإمكان. لن تثق في رخصة القيادة التي يمكن استنساخها أو سرقتها بسهولة دون علمك ، أو نقلها إلى شخص آخر عندما تحصل على سيارة مختلفة. يجب ألا تثق برقم هاتفك أيضًا.

لسوء الحظ ، لا يمكننا إجبار الشركات على التوقف عن افتراض أن أرقام الهواتف مرتبطة ارتباطًا وثيقًا بشخص واحد.

من الناحية المثالية ، ترسل الشركات دائمًا رموز التحقق إلى عناوين البريد الإلكتروني أو تطبيقات الأجهزة المحمولة بدلاً من أرقام الهواتف أثناء إعادة تعيين كلمة المرور. ولكن لا تفهم كل الشركات الأمان مثل Google أو Microsoft.

بالنسبة للعديد من الشركات التي لا تعمل عادةً في قطاع التكنولوجيا ، يعد رقم الهاتف المحمول وسيلة سريعة وسهلة ومدعومة عالميًا للتواصل مع العملاء.

لهذا السبب لا تزال معظم الشركات التي لها وجود على الإنترنت تقدم فقط الرسائل النصية القصيرة باعتبارها "العامل الثاني" في المصادقة الثنائية (2FA). لا يزال أفضل بكثير من عدم وجود شكل 2FA على الإطلاق.

كيف تتوقف عن الاعتماد على رقم هاتفك

هناك طريقتان لتقليل الضرر ، في حالة سرقة رقم هاتفك المحمول أو إعادة توجيه رسائلك النصية أو التجسس عليها.

أول شيء يجب فعله هو التحقق من عدد الخدمات عبر الإنترنت التي تستخدمها والتي تقدم شيئًا آخر غير الرسائل النصية القصيرة كعامل ثانٍ. من الناحية المثالية ، نحن نبحث عنه تطبيق المصادقة دعم، سند، تأييد.

تطبيقات المصادقة عبارة عن برامج توليد أكواد مجانية تقوم بتثبيتها على جهاز Android أو iOS الخاص بك. Authy و Google Authenticator هما من أكثر التطبيقات استخدامًا ، لكننا نوصي أيضًا بتطبيقات LastPass و Duo و Microsoft و FreeOTP.

جميع هذه التطبيقات متوافقة مع بعضها البعض ، ويسهل إعدادها عند التسجيل في 2FA على موقع الويب الخاص بخدمة معينة. ما عليك سوى فتح التطبيق ، وتوجيه كاميرا هاتفك نحو رمز QR المعروض على موقع الويب ، ثم كتابة الرمز الذي يظهر.

تشمل الخدمات عبر الإنترنت التي تدعم تطبيقات المصادقة Amazon و Dashlane و Discord و Dropbox و Facebook و Github و Google و Instagram و Keeper و LastPass و LinkedIn و Microsoft و Newegg و Paypal و Reddit و Slack و Snapchat و TurboTax و Twitter و Zoom. لا يوجد سبب لاستخدام الرسائل النصية القصيرة SMS لـ 2FA مع أي من هذه الخدمات.

ومع ذلك ، هناك خدمتان تقنيتان كبيرتان مفقودتان من هذه القائمة.

تفترض Apple أن كل شخص لديه معرف Apple لديه أيضًا جهاز Apple (ليس صحيحًا) ، و "يدفع" رمز تسجيل دخول مؤقتًا لكل جهاز مسجل بمعرف Apple هذا. البديل الوحيد هو إرسال هذا الرمز عبر رسالة نصية SMS. نعتقد أن Apple يجب أن تدعم تطبيقات المصادقة الخارجية كخيار 2FA.

تقوم Yahoo "بدفع" الرموز إلى هاتفك من خلال تطبيق Yahoo للجوال ، والذي يمكنك تثبيته على أي جهاز يعمل بنظام Android أو iOS. خلاف ذلك ، مثل Apple ، فإنه يرسل لك الرمز.

تعد الإشعارات الفورية آمنة تمامًا - تدعمها Google و Microsoft أيضًا - ولكن سيتعين عليك تثبيت تطبيق جديد لكل خدمة تستخدمها. من ناحية أخرى ، تحتاج فقط إلى تطبيق مصادقة واحد.

ومع ذلك ، لا تتوفر تطبيقات Authenticator وإشعارات الدفع لمعظم الخدمات عبر الإنترنت - خاصة للشركات التي لا تعمل تقليديًا في قطاع التكنولوجيا. هذا صحيح للأسف بالنسبة للعديد من البنوك ، حتى الكبيرة منها.

ولكن في كثير من الحالات ، يمكنك الانتقال إلى ملف تعريف حسابك وإجراء إعادة تعيين كلمة المرور وتنتقل رموز 2FA إلى عنوان بريد إلكتروني بدلاً من رقم هاتف.

هل يجب عليك استخدام رقم هاتفك على الإطلاق؟

في مدونته أمس ، أوصى كريبس بأن تخطو خطوة أخرى إلى الأمام. يجادل بأنه يجب عليك حذف أرقام الهواتف الخاصة بك من ملفات تعريف حسابك على الإنترنت حتى لا تتمكن الخدمات من الاتصال بك أو إرسال رسائل نصية إليك.

لا نعتقد أن هذا واقعي. بدون معرفة رقم هاتفك المحمول ، لن تتمكن الخدمات التي لا تدعم تطبيقات المصادقة من تقديم 2FA على الإطلاق.

حتى الخدمات التي تدعم أشكالًا أخرى من المصادقة الثنائية (2FA) قد تجد صعوبة في الوصول إليك في حالة الطوارئ ، مثل كما لو أن شخصًا ما يحاول اقتحام حسابك باستخدام كلمة مرور مسروقة ، أو يحاول الوصول إلى البنك الذي تتعامل معه عبر الإنترنت الحساب.

حتى تستيقظ الشركات الأمريكية خارج قطاع التكنولوجيا وتدرك أن أرقام الهواتف لا تعادل الهوية ، ستبقى هذه المشكلة معنا. ومع ذلك ، كمستخدم ، يمكنك تقليل المخاطر عن طريق السماح لهم باستخدام رقم هاتفك في حالات نادرة قدر الإمكان.