Get best of the week

لماذا تكون مصادقة الرسائل القصيرة سيئة وكيفية الحماية من سرقة بطاقة SIM

مرحبا يا هابر! في مقال سابق ، تطرقنا إلى موضوع أن مصادقة SMS ليست أفضل طريقة للمصادقة متعددة العوامل. يتم استخدام هذه الطريقة من قبل العديد من خدمات الويب: الشبكات الاجتماعية وعملاء البريد الإلكتروني وأنظمة الدفع. بالإضافة إلى ذلك ، يتم استخدام رقم الهاتف لتسجيل الدخول: لتسجيل VKontakte ، في Telegram ، وما إلى ذلك. 

إذا سُرقت بطاقة SIM وتم اعتراض الرسائل القصيرة ، فستكون العواقب وخيمة. يتراسل العديد من المستخدمين في الرسائل مع الزملاء والشركاء ، لذلك لن تكون البيانات الشخصية فقط ، ولكن أيضًا بيانات الشركة معرضة للخطر. إذا كانت شركتك لا تستخدم بنية تحتية مشتركة للاتصال ، فإن حسابات الموظفين غير المحمية تعرض العمل للخطر. لذا يجدر الاهتمام بالسلامة مسبقًا.

في هذه المقالة ، سنأخذ بعض الخدمات الشائعة ونستبدل مصادقة SMS بطرق أكثر أمانًا. في الوقت نفسه ، سنكتشف كيفية حماية الحسابات من السرقة والنوم بسلام.
المقال مستوحى من MyCrypto longread ، مخصص لـ SIMJacking (SimJacking). درسنا توصياتهم وقمنا بتجميع قائمة محدثة لروسيا. 


لماذا تخلص من مصادقة الرسائل القصيرة


يمكن للمهاجمين تلقي رسائل SMS وتسجيل الدخول إلى حساب شخص آخر بعدة طرق في وقت واحد:

  1. إذا كان يمكنك الحصول على هاتف ببطاقة SIM بالداخل. 
  2. إذا قمت بإعادة إصدار بطاقة SIM باستخدام وثائق مزورة. يشتري المحتالون بيانات جواز سفر مدمجة ويكوّنون وكالة أو حتى جواز السفر نفسه. يعتمد ما إذا كان عامل التشغيل يرسل المستندات لفحصها إلى خدمة الأمن على العامل البشري. 
  3. في حالة سرقة بطاقة SIM بالتواطؤ مع موظفي المشغل.   
  4. إذا اعترضوا الرسائل القصيرة باستخدام نقاط الضعف في بطاقة SIM نفسها أو في الهاتف.

الطريقتان الثانية والثالثة هي الأكثر ضخامة. الخطر هو أن الضحية لن تفهم على الفور أن سيمكا سُرقت. لدى المخادع كل فرصة للاستفادة من المال قبل أن تدرك المشكلة وتستطيع استعادة الوصول إلى بطاقة SIM الخاصة بك. 

ما العلامات التي تدل على أن سمكا سُرقت:


  • يرسل عامل الهاتف رسائل SMS لاستبدال بطاقة SIM.
  • تختفي شبكة المشغل على الهاتف ، ولا تساعد إعادة التشغيل.
  • تصل الرسائل إلى البريد حول محاولات إعادة تعيين كلمة المرور في خدمات مختلفة.
  • يبدأ معرف Apple أو حساب Google في طلب كلمة مرور.
  • تأتي رسائل حول ربط حساب بجهاز جديد.

  • إذا تم استخدام رسائل الدفع في مكان ما للمصادقة الثنائية ، فسيبدأ ظهور الرموز من الخدمات المختلفة. 

كيفية منع سرقة بطاقة SIM


  • , -, , , ( ).
  • , SIM- . « ».
  • /Face ID.
  • , . « » -, - . .   

, -   


إذا سُرقت بطاقة SIM بالفعل ، فلن يكون أمامك أكثر من يوم لقفلها. لذلك ، تحتاج إلى الاحتفاظ بنص قفل سريع في متناول اليد:

  • فكر في طريقة للاتصال بالمشغل إذا فقدت هاتفك ، على سبيل المثال ، من كمبيوتر محمول أو جهاز لوحي. على سبيل المثال ، قم بتثبيت Skype أو Viber هناك ؛
  • تجديد أرصدة المكالمات ؛
  • ابحث عن رقم مشغل الهاتف المحمول واكتبه في سجل Skype أو Viber ؛
  • تدرب على فقدان الهاتف: أخرج بطاقة SIM وحاول الاتصال بالمشغل بالطرق المحددة. 

كيفية التخلص من مصادقة SMS وحماية الحسابات 


توصيتنا العامة هي إلغاء الاشتراك في مصادقة SMS حيثما أمكنك ذلك. دعونا نرى كيفية القيام بذلك لخدمات الويب الشعبية. 

أولاً ، خذ بعين الاعتبار تلك التي تستخدم مصادقة SMS. ثم نحمي أولئك الذين ترتبط الخدمة نفسها برقم هاتف.

حساب جوجل


  1. Googl «».
  2. « Google» . .

  3. .
    , . 
    • : .
    • : , .
      , . -.
    • Google authenticator: , .
      , .
    • Google: push-   . 
    • : . , USB- Google-, , Bluetooth Google-. , , , . « ».

  4. , . , push-, ( - ).


  5. : . , . - .



  6. https://myaccount.google.com/security



    • : , . , .
    • : ,
    • : . , .
    • طرق التحقق من هويتك - عنوان البريد الإلكتروني الاحتياطي : قم بإزالة عنوان النسخ الاحتياطي. 


    • أجهزتك : قم بإزالة كل ما لا داعي له.


    • تطبيقات الطرف الثالث التي لها حق الوصول إلى الحساب : احذف جميع التطبيقات التي لا تستخدمها. 


    • تسجيل الدخول بحساب Google الخاص بك : حذف أي شيء لا تستخدمه.
    • الوصول إلى الحسابات المرتبطة : في حالة اختراق الحساب ، من الممكن تبسيط الوصول إلى مواقع أخرى للمهاجم. احذف كل شيء.
    • مدير كلمات المرور : نقل كلمات المرور إلى مدير كلمات مرور منفصل. تعطيل كلمات مرور الحفظ التلقائي.



ياندكس


في حساب Yandex ، لا توجد طريقة لتمكين المصادقة الثنائية بدون ربط الأرقام. لذلك ، سنستخدم "الرقم السري" وسندرج عوامل إضافية في مكان آخر.

  1. « ».



    • : (. )
    • : . .
    • : . , . 



  2. : « ». 


  3. " ". « ».


  4. قم بالتمرير إلى صناديق البريد وأرقام الهاتف. قم بإزالة عناوين الاسترداد.


  5. انتقل إلى إعدادات Yandex Money إلى علامة التبويب "كلمة المرور".
    هنا نذهب من خلال الأزرار الثلاثة.



    • إصدار رموز الطوارئ : إعادة كتابة رموز الطوارئ وحفظها ، تمامًا كما فعلت في حساب Google الخاص بك.


    • انتقل إلى كلمات المرور في التطبيق : حدد "التطبيق بكلمات المرور" وقم بالمزامنة مع أحد التطبيقات.


    • انقر فوق السؤال دومًا عن كلمة المرور.



الآن ، وبنفس الطرق ، قم بحماية جميع الخدمات التي يمكنها استخدام مصادقة SMS. 

إن أمكن ، استبدلها أو أرفقها بـ "رقم سري" وأضف إدخال بصمة الإصبع.

فيما يلي قائمة مرجعية بالخدمات مرتبة حسب الأولوية:
شخصي:
  • .
  • : , . . 
  • : LastPass, 1Password . .
  • : iCloud, Dropbox, OneDrive . .
  • : Mail.ru . .
  • : Vk, Facebook, Twitter, Instagram, LinkedIn, Medium . .
  • : iMessage, Skype, Slack, Facebook Messenger   . .
  • : iCloud, Google Photos . .
  • : Evernote, Scribd  . .
  • : Reddit, Stackoverflow . .
  • - . .

:
  • مستودعات رمز المصدر : Github ، Bitbucket ، Gitlab ، إلخ.
  • استضافة ومنصات للمواقع : Parking ، Wordpress ، AWS ، Microsoft Azure ، Digital Ocean ، إلخ. 
  • متتبع المهام ، CRM والمنصات الأخرى للعمل : Jira ، Mailchimp ، Trello ، إلخ.

برقية


حساب المراسلة مرتبط برقم هاتف ، لذلك ، بالإضافة إلى المصادقة الثنائية ، سنقوم بتكوين حماية إضافية. 

  1. قم بتعيين كلمة المرور وتسجيل الدخول ببصمة الإصبع: انتقل إلى إعدادات الأمان وحدد رمز المرور ومعرف اللمس.


  2. إخفاء رقم الهاتف: في إعدادات الأمان ، ابحث عن الخصوصية واضبط رقم الهاتف على "لا أحد". قم بتعطيل المكالمات هنا. أضف فقط استثناءات للأشخاص الذين تثق بهم.


  3. تمكين مصادقة كلمة المرور ذات العاملين. لا تستخدم البريد الأساسي للاسترداد.




  4. انتقل إلى الأجهزة وأغلق جميع الجلسات النشطة التي تبدو مريبة.



كل هذه الإجراءات لن تحمي بشكل كامل من سرقة بطاقات SIM ، ولكنها لن تسمح بإعطاء الجوائز للمحتالين. إذا قام المستخدمون بإجراء عمل عن بُعد باستخدام الأجهزة الشخصية وخدمات الويب المتاحة للجمهور ، فسيحمي ذلك البيانات الشخصية وبيانات الزملاء.

More articles:


All Articles