العربية
  • روبوتات OTP
  • MFA
  • المصادقة
  • الأمان
  • بدون استخدام كلمة مرور

روبوتات OTP: ما هي وكيفية منع الهجمات

تعلم ما هي روبوتات OTP، وكيف تستغل كلمات المرور المؤقتة من خلال حالات حقيقية، واستراتيجيات لحماية عملك من هذه التهديدات الإلكترونية. يقدم هذا الدليل نصائح عملية للمحترفين في تطوير المنتجات وإدارة المؤسسات.

Ran
Ran
Product & Design

مع الاعتماد المتزايد على الخدمات عبر الإنترنت، أصبحت المصادقة متعددة العوامل (MFA) خطًا حاسمًا للدفاع ضد الهجمات الإلكترونية. من بين العناصر الأكثر استخدامًا في MFA هو كلمة المرور المؤقتة (OTP)، وهي رمز مؤقت وفريد يهدف إلى حماية الحسابات من الوصول غير المصرح به. ومع ذلك، لم تعد كلمات المرور المؤقتة أمنة تمامًا كما كانت تبدو. موجة جديدة من النشاط الإجرامي الإلكتروني التي تتضمن روبوتات OTP تتحدى فعاليتها وتشكل تهديدًا خطيرًا للأعمال والأفراد على حد سواء.

فهم كيفية عمل روبوتات OTP، وأساليب الهجوم، واستراتيجيات الدفاع ضدها أمرًا ضروريًا. سيوضح هذا الدليل آلية عمل روبوتات OTP وسيقدم خطوات عملية يمكن لمؤسستك اتخاذها لتعزيز الأمن.

ما هي OTP؟

كلمة المرور المؤقتة (OTP) هي رمز فريد وحساس للوقت يستخدم لمصادقة الاستخدام مرة واحدة. تُولد من خلال خوارزميات بناءً على تزامن الوقت أو الحسابات التشفيرية، وتُوفر طبقة إضافية من الأمن لتوقيعات الدخول أو أنظمة المصادقة متعددة العوامل (MFA).

يمكن تسليم كلمات المرور المؤقتة بطرق مختلفة:

  • أكواد SMS: تُرسل عبر الرسائل النصية أو الصوتية.
  • أكواد البريد الإلكتروني: تُرسل مباشرة إلى صندوق الوارد للمستخدم.
  • تطبيقات المصادقة: تُولد محليًا من خلال خدمات مثل Google Authenticator أو Microsoft Authenticator.

كائن هجوم روبوتات OTP.png

طبيعتها قصيرة الأمد تعزز الأمان، حيث تنتهي صلاحية الأكواد المولدة من التطبيقات عادة في 30 إلى 60 ثانية، بينما تدوم أكواد SMS أو البريد الإلكتروني من 5 إلى 10 دقائق. تجعل هذه الوظيفة الديناميكية كلمات المرور المؤقتة أكثر أمانًا بكثير من كلمات المرور الثابتة.

ومع ذلك، تكمن نقطة ضعف رئيسية في تسليمها، حيث يمكن للمهاجمين استغلال ضعف الأنظمة أو خطأ بشري لاعتراضها. رغم هذا الخطر، لا تزال كلمات المرور المؤقتة أداة موثوقة وفعالة لتعزيز أمن الإنترنت.

ما هو دور OTP في MFA؟

فهم المصادقة متعددة العوامل (MFA) يعتبر أمرًا حاسمًا في البيئة الرقمية اليوم. تُعزز MFA الأمان من خلال مطالبة المستخدمين بالتحقق من هويتهم عبر عوامل متعددة، مما يضيف طبقة إضافية من الحماية لمنع الوصول غير المصرح به.

عملية MFA النموذجية تتضمن الخطوات التالية:

  1. معرف المستخدم: هذا هو كيفية تعرف النظام على المستخدمين. يمكن أن يكون اسم مستخدم، عنوان بريد إلكتروني، رقم هاتف، معرف مستخدم، معرف موظف، رقم بطاقة بنكية، أو حتى هوية اجتماعية.
  2. العامل الأول للمصادقة: في العادة هو كلمة مرور، لكنه يمكن أن يكون أيضًا OTP للبريد الإلكتروني أو SMS.
  3. العامل الثاني للمصادقة: تستخدم هذه الخطوة طريقة مختلفة عن الأولى، مثل OTPs لـ SMS، OTPs لتطبيق المصادقة، المفاتيح الأمنية الفيزيائية، أو البيومتريات مثل بصمات الأصابع والتعرف على الوجه.
  4. طبقة المصادقة الثالثة اختيارية: في بعض الحالات، يتم إضافة طبقة إضافية. على سبيل المثال، قد يتطلب تسجيل الدخول إلى حساب Apple على جهاز جديد التحقق الإضافي.

عملية MFA

هذه العملية متعددة الطبقات تُعزز الأمان بشكل كبير، حيث سيحتاج المهاجمون لاختراق كل طبقة للوصول إلى حساب.

تعتمد MFA عادة على ثلاث فئات من عوامل المصادقة:

ماذا تعنيعوامل التحقق
المعرفةشيء تعرفهكلمات مرور، OTPs للبريد الإلكتروني، أكواد النسخ الاحتياطي
الامتلاكشيء تمتلكهOTPs لـ SMS، OTPs لتطبيق المصادقة، مفاتيح الأمان، بطاقات ذكية
الوراثةشيء أنت عليهبيومتريات كالبصمات أو التعرف على الوجه

من خلال دمج هذه الطرق، تصنع MFA دفاعًا قويًا ضد الوصول غير المصرح. تضمن أن حتى إذا تم اختراق طبقة واحدة، فإن الأمن العام للحساب يبقى سليماً، مما يوفر للمستخدمين حماية متزايدة في عالم متصل بشكل متزايد.

ما هي روبوتات OTP؟

روبوتات OTP هي أدوات تلقائية مصممة خصيصًا لسرقة كلمات المرور المؤقتة (OTPs). على عكس هجمات القوة الغاشمة، تعتمد هذه الروبوتات على الخداع والتلاعب، وتستغل الأخطاء البشرية، وتقنيات الهندسة الاجتماعية، أو نقاط ضعف النظام لتجاوز بروتوكولات الأمان.

عند أخذ عملية التحقق الشائعة لـ "البريد الإلكتروني (كمعرف) + كلمة السر (كخطوة التحقق الأولى) + OTP البرمجية/SMS (كخطوة التحقق الثانية)" كمثال، ي unfolded الهجوم عادة في الخطوات التالية:

  1. يقوم المهاجم بالوصول إلى صفحة تسجيل الدخول للتطبيق أو API، مثل المستخدم العادي.
  2. المهاجم يدخل بيانات الاعتماد الثابتة للضحية، مثل عنوان بريدهم الإلكتروني وكلمة السر الخاصة بهم. غالبًا ما يتم الحصول على هذه البيانات من قواعد بيانات لمعلومات المستخدم المسربة المتاحة للشراء عبر الإنترنت. يميل العديد من المستخدمين إلى إعادة استخدام كلمات المرور عبر منصات مختلفة، مما يجعلهم أكثر عرضة للخطر. بالإضافة إلى ذلك، تُستخدم تقنية الخداع بشكل شائع لتضليل المستخدمين للكشف عن تفاصيل حساباتهم.
  3. باستخدام روبوت OTP، يلتقط المهاجم أو يسترد كلمة المرور المؤقتة للضحية. في غضون الإطار الزمني الصالح، ي bypass عملية التحقق المكونة من خطوتين.
  4. بعد الحصول على وصول إلى الحساب، قد يقوم المهاجم بالانتقال لنقل الأصول أو المعلومات الحساسة. لتأخير اكتشاف الضحية لحدوث الاختراق، عادة ما يتخذ المهاجمون خطوات مثل حذف تنبيهات الإشعارات أو علامات التحذير الأخرى.

الآن، دعونا نستكشف بتفصيل أكبر كيف يتم تنفيذ روبوتات OTP والآليات التي تمكنها من استغلال هذه الثغرات.

كيف تعمل روبوتات OTP؟

فيما يلي بعض أكثر التقنية شيوعًا التي تستخدمها روبوتات OTP، موضحة بجانب أمثلة من العالم الحقيقي.

روبوتات التصيد الاحتيالي

التصيد هو من الأساليب الأكثر شيوعًا المستخدمة بواسطة روبوتات OTP. إليك كيفية عملها:

  1. الطعم (الرسالة الاحتيالية): يتلقى الضحية بريدًا إلكترونيًا أو رسالة نصية تحاكي مصدرًا موثوقًا، مثل بنكه، منصات التواصل الاجتماعي، أو خدمة عبر الإنترنت شهيرة. تدعي الرسالة غالبًا بوجود مشكلة ملحة، مثل محاولة تسجيل دخول مشبوهة، مشكلة في الدفع، أو تعليق الحساب، مما يضغط على الضحية لاتخاذ إجراء فوري.

  2. صفحة تسجيل الدخول الوهمية: تحتوي الرسالة على رابط يوجه الضحية إلى صفحة تسجيل دخول وهمية صُممت لتبدو مثل الموقع الرسمي تمامًا.تم إعداد هذه الصفحة من قِبَل المهاجمين لالتقاط بيانات اعتماد تسجيل الدخول للضحية.

  3. تم سرقة بيانات الاعتماد وتم تحفيز MFA: عندما يقوم الضحية بإدخال اسم المستخدم وكلمة المرور الخاصة به على الصفحة الوهمية، يستخدم روبوت التصيد بسرعة هذه البيانات المسروقة لتسجيل الدخول إلى الخدمة الحقيقية. يتحفز هذا المحاولة لتسجيل الدخول ثم يطلب مصادقة متعددة العوامل (MFA)، مثل كلمة مرور مؤقتة (OTP) المرسلة إلى هاتف الضحية.

  4. تضليل الضحية للحصول على OTP: يخدع روبوت التصيد الضحية لتقديم OTP من خلال عرض توجيه على الصفحة الوهمية (مثلاً، “الرجاء إدخال الرمز المرسل إلى هاتفك للتحقق”). وهي تظن أنه جزء من عملية مشروعة، تدخل الضحية OTP، مما يعطي المهاجم كل ما يحتاجه لإكمال تسجيل الدخول على الخدمة الفعلية.

على سبيل المثال، في المملكة المتحدة، تستخدم أدوات مثل "SMS Bandits" لتوصيل هجمات التصيد المتقدمة عبر الرسائل النصية. هذه الرسائل تحاكي الاتصالات الرسمية، فتخدع الضحايا للكشف عن بيانات اعتماد حساباتهم. بمجرد أن يتم اختراق البيانات، تسمح لمجرمين بروبوت SMS Bandits بتجاوز المصادقة متعددة العوامل (MFA) من خلال بدء سرقة OTP. مما يثير القلق، تحقق هذه الروبوتات معدل نجاح حوالي 80% بمجرد إدخال رقم الهاتف المستهدف، مما يبرز فعالية مثل هذه مخططات التصيد الخادعة. تعلم المزيد

روبوتات البرامج الضارة

تشكل روبوتات OTP القائمة على البرامج الضارة تهديدًا خطيرًا، حيث تستهدف الأجهزة مباشرة لاعتراض OTPs القائمة على SMS. إليك كيفية عملها:

  1. يقوم الضحايا بتنزيل تطبيقات ضارة دون علم: ينشئ المهاجمون تطبيقات تبدو وكأنها برامج شرعية، مثل أدوات البنوك أو الإنتاجية. غالبًا ما يقوم الضحايا بتثبيت هذه التطبيقات الوهمية من خلال إعلانات مضللة، متاجر التطبيقات غير الرسمية، أو روابط التصيد التي تُرسل عبر البريد الإلكتروني أو الرسائل النصية.
  2. تصل البرامج الضارة إلى أذونات حساسة: بمجرد تثبيتها، يطلب التطبيق أذونات للوصول إلى الرسائل النصية، الإشعارات أو البيانات الحساسة الأخرى على جهاز الضحية. العديد من المستخدمين، غير مدركين للخطر، يمنحون هذه الأذونات أنفسهم دون إدراك النية الحقيقية للتطبيق.
  3. تراقب البرامج الضارة وتسرق OTPs: تعمل البرامج الضارة بهدوء في الخلفية، تراقب الرسائل النصية الواردة. عندما يتم تلقي OTP، تقوم البرامج الضارة تلقائيًا بنقلها إلى المهاجمين، مما يتيح لهم إمكانية تجاوز المصادقة ذات العاملين.

كشف تقرير عن حملة تستخدم تطبيقات أندرويد ضارة لسرقة الرسائل النصية، بما في ذلك OTPs، أثرت على 113 دولة، حيث كانت الهند وروسيا الأكثر تضررًا. تم العثور على أكثر من 107,000 عينة من البرامج الضارة. قد تستخدم الهواتف المصابة دون علم للتسجيل في الحسابات وحصاد OTPs لـ 2FA، مما يشكل مخاطر أمان خطيرة. تعلم المزيد

التبديل بين الشرائح SIM

من خلال التبديل بين الشرائح SIM، يأخذ المهاجم السيطرة على رقم هاتف الضحية بخداع مزودي الاتصالات. كيف تعمل:

  1. التنكر:  يجمع المهاجم معلومات شخصية عن الضحية (مثل الاسم، تاريخ الميلاد، أو تفاصيل الحساب) عن طريق التصيد، الهندسة الاجتماعية، أو تسريبات البيانات.
  2. الاتصال بالمزود:  باستخدام هذه المعلومات، يقوم المهاجم بالاتصال بمزود الاتصالات للضحية، متظاهرًا بأنه الضحية، ويطلب استبدال شريحة SIM.
  3. الموافقة على النقل:  يتم خداع المزود بنقل رقم الضحية إلى شريحة SIM جديدة يتحكم فيها المهاجم.
  4. الاعتراض:  بمجرد اكتمال النقل، يحصل المهاجم على حق الوصول إلى المكالمات والرسائل وكلمات المرور المؤقتة (OTPs) القائمة على SMS، مما يسمح لهم بتجاوز إجراءات أمان لحسابات بنكية وبريد إلكتروني وخدمات حساسة أخرى.

تتزايد هجمات التبديل بين الشرائح SIM، مما يسبب أضرارًا مالية كبيرة. في عام 2023 وحده، حققت FBI في 1,075 حادثة تبديل بين الشرائح SIM، نتج عنها خسائر بقيمة 48 مليون دولار. تعلم المزيد

روبوتات المكالمات الصوتية

تستخدم الروبوتات الصوتية تقنيات الهندسة الاجتماعية المتقدمة لخداع الضحايا للكشف عن OTPs (كلمات المرور المؤقتة) الخاصة بهم. تم تجهيز هذه الروبوتات بنصوص لغة معدة مسبقًا وخيارات صوتية قابلة للتخصيص، مما يسمح لها بتقليد مراكز الاتصال الشرعية. من خلال التظاهر بأنها جهات موثوقة، تستغل الضحايا للكشف عن الأكواد الحساسة عبر الهاتف. كيف تعمل:

  1. الروبوت يقوم بالمكالمة: يقوم الروبوت بالاتصال بالضحية، متظاهرًا بأنه من بنكهم أو مزود خدمة. يُعلم الضحية بوجود "نشاط مشبوه" تم اكتشافه في حسابهم لخلق حالة من الاستعجال والخوف.
  2. طلب التحقق من الهوية: يطلب الروبوت من الضحية "التحقق من هويتهم" لتأمين حسابهم. يتم ذلك بطلب إدخال OTP من الضحية (الذي أرسله المزود الفعلي للخدمة) عبر الهاتف.
  3. اختراق الحساب الفوري: بمجرد توفر الضحية OTP، يستخدم المهاجم للأستيلاء على حساب الضحية، غالبًا ما يسرق المال أو البيانات الحساسة.

يستخدم المجرمون الإلكترونيون منصة Telegram بصورة متكررة إما لإنشاء وإدارة روبوتات أو لتقديم قناة دعم للعملاء لعملياتهم. مثال على ذلك هو BloodOTPbot، وهو روبوت قائم على الرسائل النصية قادر على إنشاء مكالمات تلقائية تحاكي دعم العملاء للبنك.

هجمات SS7

SS7 (نظام الإشارات 7) هو بروتوكول اتصالات حيوي لتوجيه المكالمات، الرسائل، والتجوال. ومع ذلك، يحتوي على نقاط ضعف يمكن للقراصنة استغلالها لاعتراض الرسائل النصية، بما في ذلك كلمات المرور المؤقتة (OTPs)، وتجاوز المصادقة ذات العاملين (2FA). تم استخدام هذه الهجمات، على الرغم من تعقيدها، في جرائم إلكترونية كبيرة لسرقة البيانات والمال. يسلط هذا الضوء على الحاجة إلى استبدال OTPs القائمة على الرسائل النصية بخيارات أكثر أمانًا مثل مصادقات التطبيقات أو الرموز المادية.

كيفية إيقاف هجمات روبوتات OTP؟

أصبحت هجمات روبوتات OTP أكثر فعالية وانتشارًا. يجعل ارتفاع قيمة الحسابات عبر الإنترنت، بما في ذلك الحسابات المالية، المحافظ المشفرة، وملفات تعريف وسائل التواصل الاجتماعي، أهداف مغرية للمجرمين الإلكترونيين. بالإضافة إلى ذلك، جعلت وسائل التهديد الآلية مثل الروبوتات القائمة على Telegram هذه التهديدات أكثر وفرة، حتى للمبتدئين في القرصنة. أخيرًا، يثق العديد من المستخدمين بشكل أعمى في أنظمة MFA، وغالبًا ما يقللون من كيفية استغلال كلمات المرور المؤقتة بسهولة.

وبالتالي، فإن حماية مؤسستك من روبوتات OTP يتطلب تعزيز الأمان عبر عدة مناطق رئيسية.

تعزيز أمان المصادقة الأساسية

يتطلب الوصول إلى حساب المستخدم تجاوز طبقات متعددة من الحماية، مما يجعل الطبقة الأولى من المصادقة مهمة.

  • استفد من تسجيل الدخول الاجتماعي أو SSO المؤسسي: استخدم موفري الهوية من الأطراف الثالثة (IdPs) لتوثيق الأساسية، مثل Google، Microsoft، Apple لتسجيل الدخول الاجتماعي، أو Okta، Google Workspace، و Microsoft Entra ID لـ SSO. تقدم هذه الطرق الخالية من كلمات المرور بديلاً أكثر أمانًا لكلمات المرور التي يمكن استخدامها بسهولة.
  • تطبيق CAPTCHA وأدوات كشف الروبوت: أحمي النظام الخاص بك باستخدام حلول كشف الروبوتات لحظر محاولات الوصول الآلي.
  • تعزيز إدارة كلمات المرور: إذا ظلت كلمات المرور قيد الاستخدام، فرض سياسات إدارة كلمات المرور أكثر صرامة، وشجع المستخدمين على استخدام مديري كلمات المرور (مثل Google Password Manager أو iCloud Passwords)، وطلب تحديثات كلمات المرور الدورية لتعزيز الأمان.

تطبيق المصادقة متعددة العوامل الذكية

عندما يتم انتهاك خط الدفاع الأول، تصبح العملية الثانية من التحقق مهمة.

  • الانتقال إلى المصادقة القائمة على الأجهزة: استبدال OTPs لـ SMS بمفاتيح الأمان (مثل YubiKey) أو ميداليات المرور باتباع معيار FIDO2. تتطلب هذه الإجراءات الحيازة المادية، ومقاومة للهندسة الاجتماعية، وتصيد الشرائح، وهجمات ضمن الرجل في الوسط، مما يوفر طبقة أمان أقوى.
  • تطبيق MFA التكيفي: يقوم MFA التكيفي بمواصلة تحليل العوامل السياقية مثل موقع المستخدم، والجهاز، وسلوك الشبكة، وأنماط تسجيل الدخول. على سبيل المثال، إذا تم القيام بمحاولة تسجيل دخول من جهاز أو موقع جغرافي غير معروف، يمكن للنظام تلقائيًا طلب خطوات إضافية مثل الإجابة على سؤال أمني، أو التحقق من الهوية من خلال المصادقة البيومترية.

تعليم المستخدمين

يبقى البشر الحلقة الأضعف، لذا يعد التعليم أولوية.

  • استخدام العلامات التجارية الواضحة وعناوين URL لتقليل خطر التصيد.
  • تدريب المستخدمين والموظفين على التعرف على محاولات التصيد والتطبيقات الضارة. تذكير المستخدمين بانتظام بتجنب مشاركة OTPs عبر المكالمات الصوتية أو صفحات التصيد، بغض النظر عن مدى احتمال صحتهم.
  • عندما يتم اكتشاف نشاط حساب غير طبيعي، يجب إبلاغ المسؤولين على الفور أو إنهاء العملية بشكل برنامج. سجلات التدقيق وwebhooks يمكن أن تساعد هذه العملية في العمل.

إعادة التفكير في المصادقة باستخدام الأدوات المخصصة

تنفيذ نظام إدارة الهوية الداخلي مكلف ويستهلك الموارد. بدلاً من ذلك، يمكن للأعمال حماية حسابات المستخدمين بكفاءة أكبر عن طريق الشراكة مع خدمات مصادقة احترافية.

تقدم حلول مثل Logto مزيجًا قويًا من المرونة والأمان القوي. مع ميزات التكيف وخيارات الدمج السهلة، تساعد Logto المنظمات على البقاء في مقدمة التهديدات الأمنية المتطورة مثل روبوتات OTP. كما أنها اختيار مناسب من حيث التكلفة لمقياس الأمان مع نمو الأعمال.

اكتشف النطاق الكامل لقدرات Logto، بما في ذلك Logto Cloud وLogto OSS، بزيارة موقع Logto:

اكتشف Logto — أفضل حل CIAM ملائم للمطورين