_Tero_Vesalainen_Alamy.jpg?width=1280&auto=webp&quality=80&disable=upscale)
الخصوصية
#احتيال_تبديل_بطاقة_SIM
#الأمان_السيبراني
احتيال تبديل بطاقة SIM في ارتفاع — ما الذي يعنيه ذلك؟
التعليقات الأخيرة من قاعدة بيانات الاحتيال الوطنية في المملكة المتحدة تظهر زيادة عشرية في حالات احتيال تبديل بطاقة SIM خلال العام الماضي. يقوم المجرمون باختطاف أرقام الهواتف المحمولة لاعتراض رموز التحقق الثنائية (2FA)، والاستيلاء على حسابات المستخدمين، وفي حالات مثل ماركس آند سبنسر، اختراق الأنظمة المؤسسية.
قد يبدو هذا لكثيرين كارثة، لكن بالنسبة للمتخصصين في الأمن، فإنه يشير إلى شيء أكثر تعقيدًا. هذه الزيادة تخبرنا أن المهاجمين يتم دفعهم إلى أراضٍ جديدة. بدأت المؤسسات أخيرًا في اعتماد المصادقة متعددة العوامل على نطاق واسع، لذا لم يعد كافيًا اختراق كلمات المرور فقط.
الراحة الزائفة لرسائل SMS
على الرغم من كل ما تعلمناه على مدى العقدين الماضيين، لا تزال رسائل SMS تستخدم على نطاق واسع للمصادقة الثنائية. إنها سهلة وشاملة، لكنها أيضًا معيبة بشكل أساسي. رسائل SMS ليست مشفرة، يمكن اعتراضها، وترتبط ببروتوكولات الاتصالات القديمة مثل SS7 التي لم تُصمم أبدًا مع وضع الأمان في الاعتبار.
ترتبط رسائل SMS أيضًا ببطاقات SIM الخاصة بنا، والتي يمكن اختطافها بسهولة. بصراحة، استخدامه للمصادقة الثنائية يشبه تثبيت باب خزنة عالي الأمان لحماية ممتلكاتك — ثم وضع ملاحظة لاصقة تحمل الرمز السري على الباب. هذا يقوض تمامًا الأمان الذي قمت بإنشائه.
في هذا السياق، لا ينبغي أن تكون زيادة احتيال تبديل بطاقة SIM مفاجئة. لقد تم استخدام هذه التقنية لسنوات. هذه ليست اختراقات تقنية متقدمة — بل هي نتيجة لهندسة اجتماعية ذات احتكاك منخفض. يستغل المهاجمون البيانات الشخصية المخترقة ونصوص مراكز الاتصال لإقناع شركات الهاتف بإصدار بطاقات SIM جديدة أو تفعيل بطاقات eSIM التي يتحكمون بها. مع عدم وجود قيود مادية وغياب الرؤية المدمجة للمستخدم، غالبًا ما يمر التبديل دون أن يلاحظه أحد حتى يحدث الضرر.
الراحة على حساب المرونة
المشكلة الحقيقية ليست في التبديل نفسه، بل فيما يحدث بعد ذلك. عندما يمكن لرقم الهاتف أن يعمل كوسيلة تسجيل دخول احتياطية، أو كمدقق هوية، أو كإشارة لإعادة تعيين كلمة المرور، فإنه يصبح نقطة فشل واحدة. لم يعد الرقم مجرد معلومات اتصال. بل يصبح فعليًا رمز حيازة، وهذه هي الثغرة الحقيقية.
لقد سمحت الصناعة للراحة بتحديد بنية الأمان لفترة طويلة جدًا. على الرغم من أن المصادقة الثنائية المعتمدة على رسائل SMS أفضل من عدم وجود عامل ثانٍ على الإطلاق، إلا أنها تظل حلقة ضعيفة أساسية في سلسلة الأمان.
على سبيل المثال، المصادقة الثنائية تشبه استلام حزمة تتطلب توقيعين — توقيعك وتوقيع موثوق ثانٍ لإثبات أنك حقًا أنت. لكن استخدام SMS لذلك التوقيع الثاني يشبه أن يصرخ سائق التوصيل في شارع مزدحم، على أمل أن يسمع الشخص الصحيح. يمكن لأي شخص اعتراض ذلك والمغادرة بالحزمة.
مزودو الاتصالات هم نقطة ضعف غير ملحوظة في النظام. يعتمد النظام البيئي المحمول على الثقة الضمنية بين شركات الاتصالات، والبروتوكولات والمعايير التي غالبًا ما تم تصميمها دون الحاجة إلى الأمان اليوم، وعمليات دعم العملاء التي لا تزال تعتمد بشكل كبير على المصادقة المعتمدة على المعرفة. ومع ذلك، فقد تم اختراق هذه التقنية بشكل شامل بسبب تسريبات المعلومات الشخصية واسعة النطاق.
تقديم بطاقات eSIM يجعل الوضع أكثر سلاسة. بينما تحسن بطاقات eSIM تجربة المستخدم، فإنها تقلل أيضًا من الاحتكاك بالنسبة للمهاجمين. لم يعد المحتالون يحتاجون إلى الوصول الفعلي أو بطاقة SIM مسروقة؛ كل ما يحتاجونه هو مكالمة هاتفية مقنعة.
يجب على الشركات أن تسأل نفسها: ما الفائدة من ضخ الموارد في تشفير الشيفرات المتقدمة وآليات مكافحة التلاعب إذا كان بإمكان المهاجم تجاوز كل ذلك من خلال الباب الخلفي؟ هذه هي عبثية مشهد التهديدات اليوم. لا يحتاج المهاجمون إلى عكس هندسة تطبيق عندما يمكنهم ببساطة انتحال شخصية المستخدمين وإعادة تعيين كل شيء من الخارج.
الأمان الحقيقي هنا بالفعل
الرد الوحيد القابل للتطبيق هو تبني أساليب المصادقة الحديثة التي تقاوم التصيد، وتخزين بيانات الاعتماد، وإعادة التوجيه المعتمدة على SIM. هذا يعني التخلي عن أرقام الهواتف كعناصر أمان وفصل الهوية عن البنية التحتية للاتصالات.
تستند المصادقة متعددة العوامل القوية إلى بيانات الاعتماد المرتبطة بالجهاز، أو إشارات بيومترية مخزنة ومحققة على الجهاز نفسه. لا تسمح أكثر التطبيقات أمانًا بالعودة إلى SMS على الإطلاق. الرموز السرية، ورموز الأمان المادية، ومعايير FIDO2 هنا بالفعل. إنها ليست تجريبية. إنها مثبتة. ما ينقص هو التبني والإرادة لإعطاء الأولوية للأمان على المدى الطويل على الراحة على المدى القصير.
بالطبع، تتخذ بعض المؤسسات خطوات واعدة. على سبيل المثال، أعلنت الحكومة البريطانية مؤخرًا عن خطة للتخلص من استخدام كلمات المرور عبر خدماتها الرقمية، لصالح رموز سرية أكثر أمانًا. هذا النوع من القيادة مهم ونحتاج إلى رؤية المزيد منه عبر القطاعين العام والخاص.
يجب على الشركات أيضًا إعادة التفكير في عمليات الاسترداد والدعم الخاصة بها. إذا كانت عملية تبديل بطاقة SIM يمكن أن تؤدي إلى اختراق كامل للحساب، فإن هناك شيئًا مكسورًا هيكليًا. يجب ألا تعتمد إعادة تعيين كلمات المرور، وتصعيد الامتيازات، والمصادقة على المستخدمين على شيء يمكن إعادة تعيينه بسهولة مثل رقم الهاتف المحمول. نحتاج إلى مسارات استرداد هوية محصنة وتقسيم أفضل لتقليل نطاق الأضرار الناتجة عن نقاط الاتصال المخترقة.
عصر كلمات المرور وSMS ينتهي
بينما تعتبر زيادة احتيال تبديل بطاقة SIM دليلاً على أن المهاجمين يتكيفون، فهي أيضًا دليل على أن المدافعين يحققون تقدمًا. لم تعد كلمات المرور وحدها كافية، وهذا يجبر على تغيير. المشكلة هي أننا استبدلنا طريقة معيبة بأخرى معرضة للاعتراض. ما نحتاجه الآن ليس طبقة أخرى من مراقبة الاحتيال أو حملة توعية. نحتاج إلى إنهاء SMS كطريقة للمصادقة تمامًا. وهذا يعني إعادة بناء الأساس، وليس تعزيز هيكل يتداعى.
للأسف، لن تكون ماركس آند سبنسر آخر هدف بارز. لكن مع كل اختراق، يصبح صوت الدعوة للتحديث أعلى. إن عصر كلمات المرور وSMS ينتهي — ببطء، وبألم، ولكن حتمًا.
لذا نعم، إن احتيال تبديل بطاقة SIM في ارتفاع. وهذا أمر جيد. حان الوقت الآن لبناء أنظمة لا يمكن للمهاجمين إعادة توجيهها بمكالمة هاتفية.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!