نعلم جميعاً أساسيات جريمة الفضاء الإلكتروني، مثل رسائل البريد الإلكتروني التصيدية الاحتيالية ذات الروابط أو المرفقات الضارة، أو المكالمات الهاتفية من مكاتب مساعدة العملاء الوهمية التي تسعى للسيطرة على حاسوبك.
ولكن تواصل المخططات في عالم الفضاء الإلكتروني تطورها. تمثّلت إحدى أحدث الحيل في هذا المضمار بسرقة القراصنة لأرقام الهواتف لاستنزاف حسابات العملة المشفرة مثل العملة الرقمية. فكيف تم ذلك؟ لقد حدد القراصنة نقطة ضعف في طريقة استخدامنا لهواتفنا للمصادقة على هوياتنا لمقدمي الخدمات النقالة (اللاسلكية)، فضلاً عن حساباتنا على الإنترنت. إنهم يستغلون نقطة الضعف هذه لسرقة كل ما تصل إليه أيديهم. وكل ذلك يعود إلى المصادقة ثنائية العامل، أو ما يُعرف باسم (2FA).
إذا فعّلت المصادقة ثنائية العامل على تويتر أو فسيبوك أو جوجل، فمن المحتمل أنك تلقيت كلمة مرور لمرة واحدة، من خلال رسالة نصية قصيرة، لتسجيل الدخول أو إجراء تغييرات على الحساب. وتستخدم العديد من محافظ العملة المشفرة والخدمات على الإنترنت الرسائل النصية القصيرة أيضاً كشكل آخر من المصادقة، بالإضافة إلى كلمة المرور التي تستخدمها للوصول إلى حسابك. كما اعتمدت قرصنة الهواتف المحمولة التي حدثت مؤخراً على مهاجمة رقم هاتفك كوسيلة للاتصال.
أما الهدف النهائي هنا هو ترجمة برمجية رقم هاتف الشخص إلى هاتف آخر مسبق الدفع أو شريحة هاتف محمول لا يمكن تتبعها للوصول إلى المهاجم. حالما يتمكن المهاجم من تلقي الرسائل القصيرة بدلاً من الهدف، يمكنه استخدام الرابط المتوفر "نسيت كلمة المرور؟" على صفحات تسجيل دخول مختلفة وتأكيد هويته عن طريق انتحال شخصية الضحية.
غالباً ما تكون كلمات السر لمرة واحدة، سواء تم تسليمها من خلال الرسائل القصيرة أو البريد الإلكتروني، هي أول شكل من أشكال المصادقة ثنائية العامل التي تعتمدها الشركات لتحسين إجراءاتها الأمنية. وعلى الرغم من أنّ الهجمات على الأجهزة المحمولة كانت تشكل تهديداً متزايداً لها، إلا أنّ هذه الطريقة ما زالت تُعتبر مفيدة. ويمكن القول أنّ مصادقة الرسائل النصية القصيرة أصبحت ناقلاً للهجوم أكثر من كونها إجراء أمنياً في سرقات العملة المشفرة التي حصلت مؤخراً.
كيف يمكننا حماية معلوماتنا إذاً من هذه الطريقة التي ظهرت مؤخراً، ومن احتيال التوثيق على نطاق أوسع؟ أليس من المنطقي أن نتمكن من جعل عملية المصادقة أكثر ذكاء وإدراكاً للمخاطر؟ تتمثل إحدى الطرق التي تشكل خطوة نحو الأمام في هذا المجال في استخدام الإخطار اللحظي بالرسائل لربط هويتك بجهازك بدلاً من رقم هاتفك. ويمكن الانطلاق من تطبيقات المصادقة كمكان جيد للبدء بهذا النوع من الوظائف (تصريح: إنّ آي بي إم فيريفاي IBM Verify، الذي يقدمه شركتي، يعد أحد الوسائل).
في حين أنّ طريقة الإخطار اللحظي بالرسائل تشكّل حلاً لهذه المشكلة بالتحديد، إلا أنه يتمثل الحل الأكبر للشركات في فهم أعمق لكل نقطة مصادقة في بيئتها الأمنية. وينبغي على المؤسسات والشركات الصغيرة والمتوسطة أن تنظر في استخدام حلول النفاذ إلى الهوية وإدارتها لتمكين الوصول إلى الموارد والتطبيقات، سواء كانت في السحابة (على مخدّمات مقدم الخدمة) أو في مبنى المستخدم (على مخدم المستخدم) أو في سحابة هجينة من الاثنين معاً. وتتعامل الحلول الحديثة مع المستخدمين الذين ينضمون إلى نظام إدارة الهوية أو الذين تتم إزالتهم منه، وشهادات الوصول، على فصل الواجبات لمساعدة المؤسسات على الحفاظ على الامتثال للوائح مثل اللائحة العامة لحماية البيانات وتوجيهات خدمات الدفع.
تتوصل الشركات التي تمعن النظر في عوامل الخطر لديها إلى أقوى الحلول الممكنة، أي تحديداً: المصادقة متعددة العوامل. واعتمدت معظم المؤسسات المالية الواسعة النطاق هذا النهج متعدد الطبقات لمصادقة الهويات في نقاط مختلفة خلال جميع مراحل العملية التي يقوم بها المستخدم. على سبيل المثال، سيقوم المستخدم بإدخال رقم التعريف الشخصي أو كلمة المرور أو بصمة الإصبع لتسجيل الدخول إلى التطبيق المصرفي عبر الهاتف المحمول، وإذا اكتشف النظام أي عوامل خطر إضافية، تكون هناك حاجة لأشكال أخرى من التوثيق. إذا أبلغ جهاز الجوال الخاص بالمستخدم أنه موجود في موقع خارج أنماط السفر المعتادة للمستخدم، على سبيل المثال، يشير النظام إلى حالة احتيال محتملة، مما يحدو به إلى طرح التحدي التالي للمستخدم، للتأكد من أنه حقاً صاحب الهوية التي يدعيها.
تُعتبر التحليلات السلوكية الطبقة الأمنية الأخرى التي يجري نشرها حالياً لمصادقة الهويات، والتي تُستخدم لاستكمال المصادقة متعددة العوامل، ما يسمح لفرق الأمن باتخاذ القرار المناسب بشأن رفع المستوى الأمني المطلوب أو تخفيضه، ولا يتوقف هذا الأمر على قيمة البيانات أو المعاملة فحسب ولكن أيضاً على المخاطر الأمنية المقدمة طوال مدة إجراء العملية. وفي الحالات التي يتم فيها تحديد المخاطر على أنها منخفضة وعندما تكون تجربة المستخدم أمراً بالغ الأهمية، يمكن التقليل من عوامل المصادقة الإضافية إذا لم يتم الكشف عن أي نشاط غير طبيعي، ما يقلل من عوائق إنجاز العملية.
تُشير كل هذه التحسينات الأمنية على الأجهزة المتنقلة (اللاسلكية) إلى استخدام الجهاز نفسه للمصادقة، عوضاً عن رقم الهاتف أو الرسالة النصية القابلين للنقل أو الاعتراض بسهولة من قبل البرامج الضارة المتنقلة. وتلعب كل طبقة من الطبقات الدفاعية دوراً هاماً، ولكن كما هو مبين في هذه الحالات من قرصنة الهواتف، تنجح تدابير المصادقة في عملها عندما لا تكون الحلقة الأضعف. ويمكن اعتبار الصورة الكبيرة هنا هي عدم توفر طريقة واحدة للمصادقة تناسب جميع الحالات. عاجلاً وليس آجلاً، ينبغي على الشركات اعتماد نهج قائم على المخاطر يستخدم المصادقة متعددة العوامل، مع الأخذ بعين الاعتبار الموقع، وتحليل السلوك، والعديد من المؤشرات الأخرى للهوية.