بعد سلسلة من الهجمات التي استهدفت المطورين المستقلين على منصة توزيع الألعاب Steam الخاصة بها، قالت شركة Valve الأسبوع الماضي إنها ستطلب من المطورين تقديم أرقام هواتفهم حتى تتمكن الشركة من استخدام الرسائل القصيرة للمصادقة الثنائية (2FA) بدءًا من 24 أكتوبر. .
"كجزء من التحديث الأمني، فإن أي إعداد لحساب Steamworks يتم إنشاؤه مباشرة على الفرع الافتراضي/العام للتطبيق الذي تم إصداره سيحتاج إلى رقم هاتف مرتبط بحسابه، حتى يتمكن Steam من إرسال رمز التأكيد إليك قبل المتابعة." وذكرت الشركة في إخطارها. "نحن نخطط أيضًا لإضافة هذا المطلب لإجراءات Steamworks الأخرى في المستقبل."
ولكن بما أن المصادقة الثنائية القائمة على الرسائل القصيرة يمكن التحايل عليها من قبل المهاجمين المستمرين باستخدام مجموعة متنوعة من الأساليب، فإن هذه الخطوة تثير السؤال: لماذا لا تزال الخدمات عبر الإنترنت التي تواجه المستهلك تجعل الرسائل القصيرة هي العامل الثاني، سواء داخليًا أو للعملاء؟
المصادقة الثنائية المستندة إلى الرسائل القصيرة: غير آمنة حقًا
لقد أصبح التغلب على المصادقة الثنائية عبر الرسائل النصية القصيرة أولوية بين المهاجمين، وبالفعل، فقد تم هزيمتها باستخدام كل شيء بدءًا من هجمات الآلة في الوسط وحتى الهندسة الاجتماعية - بما في ذلك الهجمات سيئة السمعة. قضية خرق أوبر، من خلال هجمات التعب 2FA.
في عام 2022، على سبيل المثال، أ حصان طروادة المصرفي المعروف باسم Xenomorph اخترق أكثر من 50,000 ألف جهاز يعمل بنظام Android بعد أن قامت مجموعة مجرمي الإنترنت التي تقف وراء البرامج الضارة بتمويهها كأداة مساعدة للأداء، وفقًا لتوني أنسكومب، كبير المبشرين الأمنيين لشركة الأمن الرقمي ESET.
ويقول: "في الواقع، كان الأمر يتعلق بسرقة بيانات اعتماد تسجيل دخول المستخدم للخدمات المصرفية والدفع ووسائل التواصل الاجتماعي والعملات المشفرة والتطبيقات الأخرى التي تحتوي على معلومات شخصية قيمة". "لقد أساءت البرامج الضارة أكثر من 50 تطبيقًا، بما في ذلك PayPal وCoinbase، وتضمنت القدرة على اعتراض الرسائل والإشعارات، مما يمنح المجرمين الإلكترونيين القدرة على تجاوز رموز المصادقة الثنائية.
ولكن حتى النهج منخفض التقنية المتمثل في مجرد الدخول إلى متجر للهواتف المحمولة (SIM مبادلة) أو العثور على فني فاسد يعمل بشكل جيد، كما يقول ديفيد ريتشاردسون، نائب رئيس نقطة النهاية وذكاء التهديدات في منصة الأمن السحابي Lookout. كل ما يجب على المهاجم فعله هو معرفة رقم هاتف الفرد المستهدف لمهاجمة القناة
يقول: "النظام بأكمله مبني أساسًا على افتراض الثقة - يمكنني الدخول إلى أي متجر وإلغاء عقدي بسهولة ونقل رقم هاتفي ... إلى أي شركة اتصالات تقريبًا". "في الأساس [يمكن للمهاجم] الاستيلاء على أي رقم هاتف والبدء في تلقي المكالمات الهاتفية، والأهم من ذلك في هذه الحالات، الرسائل النصية القصيرة التي تذهب إلى تلك الأرقام."
وتعد أرقام الهواتف المحمولة من أكثر المعلومات المسربة شيوعًا على الإنترنت. ال التنازلات الأخيرة على سبيل المثال، كشفت شركتا MGM Resorts وCaesars Entertainment عن ملايين السجلات الخاصة بمحترفي الأعمال والمستهلكين الأفراد، بما في ذلك أرقام الهواتف، والتي يمكن أن يستخدمها المهاجمون لمزيد من الهجمات.
2FA أفضل من لا شيء
يستمر المصادقة الثنائية المستندة إلى الرسائل القصيرة في مواجهة انعدام الأمان لسبب بسيط وهو أنها آلية أمان غير مؤلمة نسبيًا للمستخدمين النهائيين: تحتاج الشركة فقط إلى معرفة رقم هاتف العميل لإرسال رمز مرور لمرة واحدة للمصادقة. بالنسبة للشركات التي تتعامل مع المستهلكين، فإن الحد من الاحتكاك هو اسم اللعبة.
وفي الوقت نفسه، فإن جعل مهام المهاجمين أكثر صعوبة قليلاً يساعد في حماية المطورين واللاعبين في ألعابهم.
يقول ريتشاردسون من منظمة Lookout: "إن أي برنامج MFA أفضل من عدم وجود برنامج MFA، فهو متفوق إلى حد كبير". "ستكون عملية الاختراق أصعب بعشر مرات إذا كان لديك MFA يعتمد على الرسائل النصية القصيرة، لذا... من الأفضل أن يكون لديك شكل من أشكال المصادقة متعددة العوامل مقابل عدم وجود أي شكل من أشكال المصادقة متعددة العوامل."
من الممكن أن يكون رمز الرسائل النصية القصيرة (SMS) يحمي بينوا فريسلون، المطور المستقل وراء لعبة NanoWar: Cells VS Virus، على سبيل المثال. وقع فريسلون فريسة لعملية احتيال تتعلق بالهندسة الاجتماعية، على ما يبدو عندما أرسل له مجرمو الإنترنت الذين تظاهروا بأنهم مطور آخر رسالة مباشرة تحتوي على محتوى ضار، وفقًا لبيان نُشر على منتديات مجتمع Steam.
صرح أحد المطورين في منتديات Steam: "لقد تم اختراقي، وتم اختراق جميع حساباتي على الشبكات الاجتماعية بما في ذلك Discord وSteam... لقد قام المتسلل بتحميل برنامج ضار باستخدام حسابي". "كن حذرًا عندما يطلب منك أحد الأصدقاء اختبار لعبته عبر رسالة خاصة على Discord. … لقد كانت الأيام الأكثر إرهاقًا [كذا] في حياتي كمطور مستقل.
قامت Valve بإزالة اللعبة من Steam في 25 أغسطس، بعد يوم واحد من قيام المجموعة التي تقف وراء الاختراقات بنشر النسخة المصابة من حساب المطور. مطور اللعبة وشدد أن الإصدار الآمن من اللعبة أصبح متاحًا منذ 15 سبتمبر، وتم تحميله من "جهاز نظيف تمامًا".
الرسائل النصية القصيرة: خطوة أولى جيدة، ولكن...
ركزت الشركات على المستهلكين وشعرت بالقلق من أن الاحتكاك الإضافي الذي يشكله أمان المصادقة الثنائية (2FA) يمكن أن يستخدم العوامل المستندة إلى التطبيق والتي تم اعتمادها بالفعل على نطاق واسع، مثل أدوات مصادقة Google أو Microsoft، كما يقول Anscombe من ESET.
ويقول: "توفر العديد من الشركات التي تركز على المستهلك بالفعل خيار استخدام تطبيقات Microsoft أو Google Authenticator، وهذا يقلل من عائق التبني حيث قد يكون لدى المستهلكين هذه التطبيقات مثبتة بالفعل".
ويقول: "لا يخضع التطبيق لاستنساخ بطاقة SIM أو البرامج الضارة التي تستخدم نظام أذونات أنظمة التشغيل لقراءة الرسائل النصية القصيرة". "يجب أن يكون التطبيق نفسه محميًا بمفتاح مرور أو القياسات الحيوية مما يضيف طبقة إضافية من الأمان."
تعزيز الأمن قد أصبحت مهمة لشركات الألعاب، حيث يمتلك المستخدمون المزيد من الأصول الرقمية داخل اللعبة المخزنة في حسابات عبر الإنترنت يهدف مجرمو الإنترنت إلى تحقيق الدخل منها، وبينما يتطلع الغشاشون إلى الوصول إلى حسابات اللاعبين الآخرين للحصول على ميزة. وتتوقع شركة Steam طرح المزيد من الإجراءات الأمنية في المستقبل لتوفير حماية أفضل، ليس فقط للمطورين ولكن أيضًا لعملائها وسمعتها.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/valve-2fa-mandate-game-developers-sms-stickiness
- :لديها
- :يكون
- :ليس
- 000
- 10
- 15%
- 2022
- 24
- 25
- 2FA
- 50
- 7
- a
- القدرة
- الوصول
- وفقا
- حسابي
- الحسابات
- الإجراءات
- مضيفا
- إضافي
- اعتمد
- تبني
- مميزات
- بعد
- هدف
- الكل
- سابقا
- أيضا
- من بين
- an
- و
- الروبوت
- آخر
- أي وقت
- التطبيق
- نهج
- التطبيقات
- هي
- حول
- AS
- تطلب
- ممتلكات
- أسوشيتد
- افتراض
- At
- مهاجمة
- الهجمات
- أغسطس
- التحقّق من المُستخدم
- متاح
- البنوك والمصارف
- حاجز
- في الأساس
- BE
- أصبح
- كان
- قبل
- وراء
- أفضل
- القياسات الحيوية
- قطعة
- على حد سواء
- الفرع
- خرق
- يبني
- بنيت
- الأعمال
- لكن
- by
- سيزار
- دعوات
- CAN
- حذر
- حقيبة
- الحالات
- خلايا
- قناة
- رئيس
- سحابة
- سحابة الأمن
- الكود
- رموز
- coinbase
- عادة
- مجتمع
- الشركات
- حول الشركة
- تسوية
- تأكيد
- المستهلكين
- محتوى
- استمرار
- عقد
- استطاع
- أوراق اعتماد
- العملات المشفرة
- زبون
- العملاء
- الجريمة الإلكترونية
- مجرمو الإنترنت
- ديفيد
- يوم
- أيام
- المطور
- المطورين
- الأجهزة
- صعبة
- رقمي
- مباشرة
- خلاف
- do
- بسهولة
- إما
- النهاية
- نقطة النهاية
- الهندسة
- ترفيه
- مبشر
- حتى
- مثال
- تتوقع
- مكشوف
- الوجه
- عامل
- العوامل
- إعياء
- العثور على
- شركة
- الاسم الأول
- ركز
- في حالة
- النموذج المرفق
- المنتديات
- احتكاك
- صديق
- تبدأ من
- إضافي
- مستقبل
- ربح
- لعبة
- هدايا للجيمرس
- ألعاب
- إعطاء
- الذهاب
- خير
- شراء مراجعات جوجل
- حصلت
- تجمع
- الإختراق
- اخترق
- القراصنة
- الخارقة
- أصعب
- يملك
- وجود
- he
- يساعد
- وسلم
- له
- HTTPS
- i
- if
- أهمية
- الأهم
- in
- في لعبة
- شامل
- بما فيه
- في الواقع
- مستقل
- فرد
- سيء السمعة
- معلومات
- عدم الأمان
- تثبيت
- رؤيتنا
- داخليا
- Internet
- إلى
- IT
- انها
- نفسها
- المشــاريــع
- م
- علم
- معروف
- اسم العائلة
- طبقة
- الحياة
- مثل
- حي
- تسجيل الدخول
- بحث
- آلة
- صانع
- القيام ب
- البرمجيات الخبيثة
- تفويض
- كثير
- مايو..
- الإجراءات
- آلية
- الوسائط
- مجرد
- الرسالة
- رسائل
- طرق
- MFA
- مایکروسافت
- ملايين
- للكسب
- الأكثر من ذلك
- أكثر
- خطوة
- كثيرا
- مصادقة متعددة العوامل
- my
- الاسم
- حاجة
- إحتياجات
- الشبكات
- لا
- الإخطارات
- عدد
- أرقام
- أكتوبر
- of
- خصم
- on
- online
- فقط
- تعمل
- أنظمة التشغيل
- خيار
- or
- أخرى
- خارج
- على مدى
- جزء
- مفتاح خاص
- وسائل الدفع
- PayPal
- أداء
- أذونات
- لا يزال قائما
- الشخصية
- للهواتف
- المكالمات الهاتفية
- خطة
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- لاعبين
- طرح
- نشر
- رئيس
- جميل
- فريسة
- الأولوية
- خاص
- المهنيين
- حماية
- محمي
- تزود
- نشرت
- سؤال
- يثير
- RE
- عرض
- واقع
- سبب
- تسلم
- تسجيل
- يقلل
- تقليص
- نسبيا
- صدر
- إزالة
- سمعة
- تطلب
- المتطلبات
- منتجعات
- لفة
- s
- خزنة
- قال
- نفسه
- يقول
- احتيال
- الثاني
- أمن
- التدابير الأمنية
- أرسلت
- سبعة
- خدماتنا
- ضبط
- ينبغي
- يظهر
- الشريحة
- الاشارات
- منذ
- SMS
- So
- منصات التواصل
- هندسة اجتماعية
- وسائل التواصل الاجتماعي
- الشبكات الاجتماعية
- بعض
- بداية
- ابتداء
- ذكر
- ملخص الحساب
- بخار
- خطوة
- لا يزال
- متجر
- تخزين
- موضوع
- هذه
- أعلى
- نظام
- أنظمة
- أخذ
- المستهدفة
- استهداف
- تجربه بالعربي
- نص
- من
- أن
- •
- المستقبل
- من مشاركة
- تشبه
- هؤلاء
- التهديد
- عبر
- الوقت
- مرات
- إلى
- توني
- تماما
- حصان طروادة
- الثقة
- تحديث
- تم التحميل
- تستخدم
- مستعمل
- المستخدمين
- يستخدم
- استخدام
- سهل حياتك
- القيمة
- صمام
- تشكيلة
- إلى حد كبير
- Ve
- الإصدار
- مقابل
- رذيلة
- Vice President
- فيروس
- vs
- سير
- المشي
- وكان
- طريق..
- we
- أسبوع
- حسن
- كان
- متى
- التي
- في حين
- كامل
- لماذا
- على نحو واسع
- سوف
- مع
- أعمال
- قلق
- أنت
- زفيرنت