أهم المخاطر والثغرات المرتبطة بالرموز المؤقتة عبر SMS

التصيد (Phishing) والتصيد عبر الرسائل (Smishing)

المصادقة باستخدام الرموز المؤقتة عبر الرسائل النصية القصيرة SMS عرضة بشكل كبير لهجمات التصيد والتصيد عبر الرسائل النصية. في هذا النوع من الهجمات، يقوم المهاجمون بإنشاء رسائل أو مكالمات أو صفحات مزيفة تحاكي تلك الخاصة بالتطبيق الأصلي أو الجهة الموثوقة، بهدف خداع المستخدمين ودفعهم إلى إدخال الرموز المؤقتة أو الإفصاح شفهيًا، والتي تصل مباشرة إلى أيدي المهاجمين.

أصبحت أدوات الهجوم المستخدمة من قبل المحتالين أكثر تطورًا، حيث يمكنها سرقة بيانات الاعتماد والرموز في الوقت الفعلي ومدد قصيرة للغاية عبر صفحات ويب مزيفة أو مكالمات هاتفية احتيالية أو رسائل توهم المستخدمين بأنهم يتحدثون مع ممثلي خدمة العملاء، مما يدفعهم لتسليم رموز التحقق الخاصة بهم دون إدراك أنه يتم سرقة حساباتهم.

هجمات تبديل الشريحة الاتصال (SIM Swap)

لا تزال عمليات الاحتيال عبر تبديل شريحة الاتصال واحدة من أخطر الهجمات المرتبطة بأمان الرموز المؤقتة عبر OTP. في هذا النوع من الهجمات، يستخدم المهاجم أساليب الهندسة الاجتماعية المختلفة للتواصل مع شركة الاتصالات وإقناعها بنقل رقم هاتف الضحية إلى شريحة SIM يمتلكها المهاجم منتحلًا شخصيته.

قد يحدث ذلك إما عبر خداع أحد الموظفين أو بتواطؤ متعمد مقابل منفعة معينة، وبمجرد أن يتمكن المهاجم من السيطرة على الرقم، يصبح بإمكانه استقبال رموز OTP والوصول إلى جميع حسابات الضحية المرتبطة بذلك الرقم بعد ذلك.

استغلال بروتوكول SS7 وثغرات الشبكات

يعتبر بروتوكول SS7 العمود الفقري لشبكات اتصال الهواتف، إلا أنه يفتقر إلى آليات إلزامية للمصادقة أو التشفير أثناء توجيه الرسائل النصية. يجعل ذلك الرسائل النصية القصيرة، بما في ذلك رسائل الـ OTP، عرضة لثغرات واضحة يمكن للمهاجمين المتقدمين استغلالها لاعتراض الرسائل أو إعادة توجيهها.

اعتراض الرسالة يتم أثناء انتقالها عبر الشبكة، دون الحاجة إلى اختراق جهاز المستخدم نفسه. وبما أن هذه الثغرات تقع على مستوى البنية التحتية المنتشرة حول العالم، فإن معالجتها وإصلاحها يُعد أمرًا معقدًا وصعبًا.

هجمات الرجل في الوسط (MitM) واختطاف الجلسات

قد يستخدم المهاجمون تقنيات "الرجل في الوسط" (Man-in-the-Middle)، حيث يتموضعون بين المستخدم والخدمة التي تعمل بشكل طبيعي، لالتقاط بيانات الاعتماد ورموز OTP أثناء إدخالها خلال جلسة تسجيل الدخول. يمكن أن تحدث هذه الهجمات أيضًا عبر شبكات Wi-Fi غير الآمنة أو من خلال اختراق جلسات المتصفح بالكامل.

في حالة اختطاف الجلسات، يحصل المهاجم على سيطرة كاملة على الجلسة، كما لو أنه قام بتسجيل الدخول إلى الحساب بنفسه، بينما يظل المستخدم غير مدرك لما يحدث.

إعادة تدوير أرقام الهواتف

تقوم شركات الاتصالات بشكل دوري بإعادة تخصيص أرقام الهواتف غير النشطة لمشتركين جدد. قد يؤدي ذلك إلى استلام مستخدم جديد لرموز OTP موجهة إلى المالك السابق للرقم. إذا لم يقم المستخدمون بتحديث بيانات الاتصال الخاصة بهم أو لم يكونوا على علم بالأمر، فقد يؤدي ذلك إلى وصول غير مقصود إلى رموز تحقق حساسة من قبل أشخاص عشوائيين.

واجهة برمجة تطبيقات التحقق من OTP الجاهزة من Authentica

توفر Authentica واجهة برمجة تطبيقات (API) سهلة الاستخدام للمطورين تُمكّن من التحقق من رموز OTP عبر الرسائل النصية بأعلى مستوى ممكن من الأمان، بهدف تقليل الثغرات التي يمكن الحد منها. من دون أي مجهود تطويري معقد، وبأبسط عملية تكامل ممكنة، ومع نموذج دفع حسب الاستخدام بحيث تدفع فقط عند الطلب، يمكنك اعتماد نظام OTP دون الحاجة إلى البدء من الصفر. كما يتيح لك ذلك الامتثال للمعايير المعتمدة، وتسريع الوصول إلى السوق، وخفض التكاليف الأولية بشكل كبير.

الأفكار النهائية

تمثل رموز OTP المعتمدة على الرسائل النصية تطورًا مهمًا مقارنة بكلمات المرور التقليدية، حيث توفر نموذج مصادقة ديناميكي أكثر أمانًا من كلمات السر فقط يضيف طبقة حماية ضد الوصول غير المصرح به. ومع ذلك، لا تزال هناك قائمة من الثغرات المرتبطة بها، كما ناقشنا في هذا المقال. بعض هذه الثغرات يقع على مستوى البنية التحتية، ولا يمكن معالجته بسهولة. وبما أن الـ OTP عبر الرسائل النصية القصيرة  تُعد وسيلة أساسية للمصادقة في معظم التطبيقات نظرًا لسهولة استخدامها وانتشارها، فمن الضروري التأكد من اختيار مزود خدمة آمن وموثوق لتقديم هذه الخدمة، مثل Authentica.