وكيفاش نقدرو نمنعوها قبل أنهم يدخلو لشبكة الشركة. دايما اعتبرت أساسية لإبعاد المزورين. مع هذا، المجرمين الإلكترونيين كانو يكتشفو طرق ذكية متزايدة للتحايل عليها.

خلال هجوم على أنظمة تقنية المعلومات في Uber سنة 2022، ما استخدموش أي تكتيكات معقدة للوصول. عوض ذلك، هاجمو موظف بطلبات دخول متكررة لحد أنه، من الإحباط الشديد، وافق على واحد منهم. هاذ النوع من الهجمات الإلكترونية معروف بـ "هجمات تعب MFA" و فيهم خطر حقيقي على المنظمات، كما قالات أنا كولارد، نائب الرئيس للمحتوى الاستراتيجي والمبشر في KnowBe4 AFRICA، مصمم تدريب الأمن السيبراني.

"هجمات تعب MFA، المعروفة أيضا بالطلبات المتكررة أو الطلب المتطرف، تستغل ضعف البشر، بدل ما تعتمد على طرق هجوم عالية التقنية،" هي توضح. "هذه الهجمات تتضمن إرسال إشعارات دفع متواصلة لضحية لديها بالفعل اسم المستخدم وكلمة المرور، بهدف إزعاجها أو إرباكها للسماح للمهاجم بالوصول إلى حسابها أو نظامها على غير قصد."

مع Uber، ربما اشترى المهاجم اسم المستخدم والكلمة السرية للمقاول في سوق الويب المظلم. بعدين، حاول بشكل متكرر الدخول إلى حساب Uber للضحية. كل مرة، تلقى الضحية طلب لتأكيد تسجيل الدخول بعامل اثنين، وده حال الوصول في البداية. مع هذا، في النهاية، وبعد ما اتصل المهاجم بالمقاول على WhatsApp متنازل أنه من IT في Uber وإن الوحيد الطريق للتخلص من الإشعارات اللا نهائية هو القبول بواحد منهم، وافق المقاول على طلب واحد، ومكن المهاجم من تسجيل الدخول بنجاح

في السابق، خبراء الأمن السيبراني اعتقدوا أن المصادقة متعددة العوامل (MFA) كانت طريقة مضمونة لحماية أنظمة تقنية المعلومات للشركات من المخترقين. "دلوقتي، بنشوف المهاجمين بيلاقوا طرق للتحايل عليها بإرسال عدد كبير من طلبات MFA للضحية أو بخداعهم عبر الهاتف،" كما قالات كولارد.

هذا التكتيك، مشابه لحشرة نحل تغزو شخص، هو تقنية هندسة اجتماعية بسيطة لكنها فعالة يستخدمها المخترقون. "بتطفال عليك لحد متسلم، الفاعلون الخبيثة ممكن يستغلو المستخدمين للموافقة على محاولات الوصول الاحتيالية،" كما تضيف كولارد.

كيفاش نمنعوه؟ أحسن طريقة لمنع هجمات تعب MFA في المنظمات هي عدم استخدام الإشعارات المنبثقة. "رغم أن MFA بتوفر درجة إضافية من الأمن، هي مش مضمونة 100%،" هي تؤكد. "من منظور أمن المعلومات، نصيحتي للمنظمات هي تعطيل الإشعارات المنبثقة نهائياً واستخدام طرق تحقق بديلة بدلاً من كدة."

مثال على طريقة تحقق أفضل هو مطابقة الرقم. "هذا يتضمن مطابقة رمز فريد يوفره تطبيق المصادقة مع الرمز المعروض على الشاشة خلال عملية تسجيل الدخول."

طريقة التحدي-الاستجابة هي طريقة أمنية فعالة أخرى. هذه الطريقة بتسأل المستخدم سؤال محدد للتحقق من هويته أو للقيام بمهمة معينة كتحد. "طريقة التحدي-الاستجابة أصعب على المخترقين للتحايل عليها. ممكن تتضمن آليات زي المصادقة البيومترية، وفيها المستخدمين لازم يمسحوا بصماتهم أو عيونهم أو يستخدموا التعرف على الوجه للوصول لشبكة."

مع هذا، الطريقتين السابقتين مش مضمونين ضد هجمات الرجل في المنتصف أو هجمات الهندسة الاجتماعية اللي بتخدع المستخدمين لتقديم رمزهم الأحادي أو استجابتهم للمزور.

طريقة تحقق فعالة أخرى هي FIDO2، معيار مصادقة مفتوح يسمح للمستخدمين بتسجيل الدخول بدون استخدام كلمات المرور. "تقدر تطبق FIDO2 باستخدام مفاتيح أمان مادية،" كما توضح. عادة، أقراص USB بتخزن المفتاح الخاص للمستخدم، في حين أن المفتاح العام بيتم تخزينه على خادم المصادقة. مجرد ما المستخدم يدخل اسم المستخدم وكلمة المرور، النظام بيطلب منهم استخدام المفتاح المادي. "هي أكثر مقاومة للخداع ، لأنها بتشتغل على بروتوكول التحدي-الاستجابة ومش معتمدة على رمز أحادي ممكن يتقرش،" هي تضيف.

اليقظة مهمة
كما في جميع محاولات الاختراق، من الحاسم أن يبقى المستخدمين هادئين ومدركين، بدلاً من الرد بشكل عاطفي. "ابقى منتبه لاستجابات جسدك عند التعامل مع تهديدات أمنية محتملة، سواء كانت رسائل التصيد أو هجمات تعب MFA،" كما تقول كولارد. "إذا في حاجة بتحس إنها غريبة، زي لو الوضع بيضغط عليك بشكل كبير، استمع لهذا الإشارة ومترد بطريقة عاطفية. بهالطريقة، هتفضل بعقلك مستقيم وتحبط محاولات انتهاك البيانات."