1 دقيقة قراءة Uncategorized

لماذا لا تزال بيانات الاعتماد المسروقة تعمل حتى مع وجود المصادقة متعددة العوامل

تعد مشكلة سرقة بيانات الاعتماد، مثل أسماء المستخدمين وكلمات المرور، من الأمور التي يعتقد الكثيرون أنها أصبحت من الماضي. فالتوثيق متعدد العوامل (MFA) أصبح معيارًا، والتدريب على الأمان يُعد من الروتين اليومي، وغالبًا ما يُنظر إلى سرقة البيانات على أنها خطر منخفض الأولوية. لكن هذه الثقة تتعارض بشكل متزايد مع الطريقة التي يتعامل بها المهاجمون مع الأمور اليوم.

تصاعد تهديدات سرقة البيانات عبر برامج التجسس

معظم حالات سرقة البيانات الحديثة تبدأ بواسطة برامج يُطلق عليها “برامج التجسس على المعلومات” (Infostealer malware). هذه البرمجيات تعمل بصمت، وتجمع مجموعة واسعة من البيانات من أجهزة الكمبيوتر المصابة، تتجاوز مجرد بيانات تسجيل الدخول. فهي تلتقط سجل التصفح، وبيانات الملء التلقائي، وعناصر الجلسة المحفوظة، والمعلومات المالية، ومعرفات النظام، وتجمعها في ما يُعرف عادة بـ”سجلات السارقين” (Stealer logs).

هذه السجلات تمنح المهاجمين صورة كاملة عن حياة المستخدم الرقمية، وتُعد سهلة التداول والتسويق، مما يسهل استخدامها في عمليات الاختراق.

كيف تستفيد الهجمات من هذه البيانات؟

ما يجعل هذه البيانات فعالة هو مدى شموليتها. بدلاً من التخمين حول كيفية تصرف المستخدم أو طرق التوثيق التي يستخدمها، يمكن للمهاجمين ببساطة نسخ البيانات الموجودة في السجلات. على وجه الخصوص، تُستخدم ملفات تعريف الارتباط للجلسات (Session cookies) لتمكين المهاجمين من انتحال شخصية المستخدمين الذين أكملوا عملية التوثيق بالفعل، مما يسمح لهم بتجاوز إجراءات الأمان الإضافية.

النتيجة هي وصول يبدو طبيعيًا، ويعمل بشكل مشابه للنشاط المعتاد للمستخدم، مما يصعب اكتشافه. لا يُعتبر هذا أمرًا بسيطًا، خاصةً أن الدراسات الحديثة من شركات مثل “فليير” و”سوكورا” تظهر أن تسريب بيانات الاعتماد منتشر حتى بين أكبر الشركات في المملكة المتحدة. فهناك أكثر من 460,000 حالة تسريب بيانات اعتماد مرتبطة بعناوين بريد إلكتروني خاصة بشركات مدرجة في مؤشر FTSE 100، وبعض الشركات لديها عشرات الآلاف من البيانات المعرضة التي تتداول بدون علمها.

دور برامج التجسس في عمليات الاختراق

الغريب أن جزءًا كبيرًا من هذه التسريبات لم يحدث نتيجة هجمات مباشرة على أنظمة الشركات، بل جاءت من سجلات برمجيات التجسس على المعلومات. على سبيل المثال، عملية Snow، وهي حملة واسعة لبرامج التجسس، انتشرت عبر نسخة مقرصنة من Microsoft Office 2022، حيث سرقت كلمات مرور، وبيانات من المتصفحات، وملفات تعريف الارتباط للجلسات من مختلف الدول وبعدة لغات.

تم تجميع هذه البيانات وبيعها لأطراف ثالثة، مما يمنح المجرمين القدرة على الوصول إلى الحسابات، إما لاستخدامها فورًا أو بيعها بكميات كبيرة لجهات أخرى.

المخاطر المرتبطة باستخدام البيانات خارج إطار العمل

تزداد التهديدات عندما يستخدم الموظفون عناوين البريد الإلكتروني الخاصة بالعمل على خدمات شخصية أو تطبيقات استهلاكية غير موثوقة، مما يزيد من احتمالية تعرض تلك البيانات للاختراق عبر خدمات طرف ثالث. فقد يؤدي الاختراق في منتدى شخصي أو خدمة خارجية إلى كشف هوية الشركات، وإذا كانت كلمات المرور مكررة، فإن المهاجمين يمكن أن يستغلوا ذلك للوصول بسهولة إلى أنظمة المؤسسة.

أيضًا، يستخدم الكثير من الموظفين أجهزة شخصية تحتوي على برامج استهلاكية أو تطبيقات مقرصنة أو تحميلات من مصادر غير موثوقة، وهذه الطرق تعتبر وسائل شائعة لنشر برامج التجسس على المعلومات. إذا قام أحد الموظفين بتسجيل الدخول إلى حساب عمل من جهاز ملوث، فإن بيانات الاعتماد وبيانات الجلسة قد تكون مخزنة بالفعل وتنتظر الاستغلال.

مخاطر الحسابات الحساسة وأهميتها

تُعتبر حسابات المديرين التنفيذيين والكبار في الشركة من الأهداف ذات القيمة العالية، حيث تمتلك وصولاً واسعًا وصلاحيات تنظيمية كبيرة. سرقة حساب من هؤلاء يمكن أن يؤدي إلى عمليات احتيال عبر البريد الإلكتروني، طلبات دفع مزورة، أو الوصول إلى معلومات سرية وملكية فكرية. والأمر المهم أن هذه الهجمات لا تتطلب دائمًا خبرة تقنية معقدة، فالثقة تُعد أداة استغلال فعالة.

الضعف في أنظمة الأمان التقليدية

رغم أهمية التوثيق متعدد العوامل، إلا أنه ليس ضمانًا كاملًا للأمان. عند نجاح المستخدم في تسجيل الدخول وإتمام تحدي MFA، يُمنح ملف تعريف ارتباط (Cookie) يُستخدم لتعزيز عملية التوثيق. لكن إذا استطاع المهاجم سرقة هذا الملف، يمكنه خداع الموقع بأن المستخدم قد قام بالفعل بتوثيق نفسه، مما يتجاوز خطوة التحقق الثانية.

علاوة على ذلك، تعتمد العديد من التدابير الأمنية الحديثة على تبسيط تجربة المستخدم، حيث يتم افتراض أن النشاط بعد التوثيق شرعي. في الواقع، يستغل المهاجمون هذا الأمر، حيث يتصرفون بطريقة طبيعية، متوافقين مع سلوك المستخدم المعتاد، مما يصعب اكتشافهم إلا بعد وقوع الضرر.

الحاجة إلى إدارة هوية أكثر ديناميكية

تُظهر هذه الثغرات أن الطريقة التقليدية التي تعتمد على الثقة المستمرة بالمستخدم عند كل دخول غير كافية. يجب أن تعتمد إدارة الهوية بشكل أكثر ديناميكية، مع تقييم مستمر للسلوك، والسياق، ومستوى المخاطر خلال الجلسة. بدون هذا التحول، تظل المؤسسات عرضة للهجمات التي تستغل الثقة الممنوحة، وتستخدم البيانات المخترقة بطرق خبيثة.

تعزيز الإجراءات الأمنية

لتقليل مخاطر استيلاء الحسابات، يجب تطبيق ممارسات صارمة لإنهاء الوصول عند مغادرة الموظف، واستخدام تقنية تسجيل الدخول الموحد (SSO) لتمكين إلغاء الوصول بشكل فوري من مركز واحد. بالإضافة إلى ذلك، ينبغي على الموظفين اعتماد كلمات مرور قوية وفريدة لكل حساب.

كما أن التعاون مع مزودين لمراقبة تعرض التهديدات يساعد المؤسسات على اكتشاف واستباق تسريب البيانات والجلسات قبل أن يستغلها المهاجمون.

الخلاصة

رغم توفر وسائل دفاع قوية، إلا أن طبيعة الوصول والبيانات المستخدمة اليوم تتغير باستمرار، مما يتطلب تحديث القواعد الأمنية باستمرار. فهم كيف يستخدم المهاجمون البيانات التي يسرقونها هو المفتاح لسد الثغرات، وضمان حماية المؤسسات والأفراد من الهجمات المستمرة والمتطورة.

نصائح مهمة للأمان الرقمي

  • تطبيق ممارسات إلغاء الوصول السريع عند خروج الموظف.
  • الاعتماد على نظام تسجيل الدخول الموحد (SSO).
  • استخدام كلمات مرور قوية وفريدة.
  • التعاون مع مزودي حماية التهديدات لمراقبة واستباق الاختراقات.

مواصلة تحديث استراتيجيات الأمان وتكييفها مع تطور التقنيات وأساليب المهاجمين هو السبيل الوحيد للحفاظ على البيانات والمعلومات الحساسة آمنة.

المصدر:
Latest from TechRadar


اترك تعليقاً

هل أنت مستعد لتكون قصة نجاحنا القادمة؟

دعنا نجرب رؤيتك الرقمية ونبني حضورك الرقمي بكل تفاصيل وإبداع.

ابدأ رحلتك معنا الآن
واتساب