هل سمعت بأن الحسابات الإلكترونية يتم الدخول إليها دون تصريح أو إدن من مالكها... في هذه الحال تعرف على هجمة Credential Stuffing التي يستخدمها المخترقون لأخد صلاحيات الولوج إلى الحسابات دون تصريح أو إذن مالكها. عالم المعلوميات هو الآخر لا يخلو من المخاطر و التهديدات المتعلقة بسرقة البيانات للحصول على صلاحيات غير مصرح بها و هذا ما حصل للعديد من المستخدمين الذين و جدو أن معظم حساباتهم تم الدخول إليها دون إدن أو تصريح منهم... و في ما يلي من هذه التدوينة سنشاركك بواحد من الهجمات الإلكترونية التي يستخدمها مختبرو الاختراق للحصول على صلاحيات الدخول إلى مواقع و حسابات تابعة لأشخاص دون إدنهم مع الوسيلة التي تمكنك من كبح و حمايك من هذه الهجمة.
هجمة Credential Stuffing
ما سيسعى حوله مجرمو الأنترنيت هو الحصول على أي شيء يمكن استغلاله أو بيعه, و هنا يكرسون جل وقتهم في التعلم و البحت و التجربة... أما بخصوص موضوع اليوم فمجرمو الأنترنيت يسعون جاهدين و راء الحصول على قواعد بيانات تضم كل من كلمات المرور و أسماء المستخدمين و هذه القواعد تكون تابعة لمواقع كبيرة تضم عدد كبير من المستخدمين و بالفعل إما لبيعها أو استغلالها لإتمام الاختراق بأحد التقنيات التي يطلق عليها في عالم الحماية المعلوماتية Credential Stuffing
ماهي هجمة Credential Stuffing
بخلاصة عابرة حتى يتضح لك مفهوم Credential Stuffing هو أحد أنواع الهجمات الإلكترونية الرائدة بعالم الحماية المعلوماتية مبينة على أساس استغلال أسماء مستخدمين و كلمات المرور الخاصة بهم التي تمت سرقتها من أحد قواعد البيانات المخترقة و إعادة استغلالها لمحاولة فتح أو تسجيل الدخول لحسابات ثانية تعود لنفس المستخدمين بنفس أسم المستخدم و كلمة المرور المسروقة للحصور على دخول غير مصرح للحساب... ربما صادفتك بعض التعقيدات لفهم الهجمة لكن لا عليك صديقي صديقتي لأنه في ما يلي سنتطرق إلى شرح خطوات الهجمة و عندها سيسهل عليك فهمها بشكل جيد.
خطوات هجمة Credential Stuffing
الهجمة بالكامل مبنية على 4 خطوات أساسية متسلسلة و هم كالتالي:
الخطوة 1 – تنفيد الاختراق على قواعد البيانات – وهذه المرحلة هي بأساس البحت و اختبار الاختراق على كل الخوادم المصابة بثغرات أمنية التي تضم قاعد بيانات بها كل من أسماء المستخدمين و بمقابل كل اسم مستخدم كلمة المرور الخاصة به.
الخطوة 2 – إنشاء قاعدة بيانات خاصة بالمخترق – هذه الخطوة تأتي مباشرة بعد عملية البحت و جلب البيانات المحصل عليها من قواعد البيانات المصابة بثغرات و التي تم اختراقها كما في الخطوة الأولى... وتلك البيانات المحصل عليها يتم إدراجها بقاعدة بيانات من صنع المحترق نفصه أي لتصلك الفكرة بشكل أوضح كل تلك البيانات التي تمت سرقتها التابعة لمواقع معينة يتم تجميعها في قاعدة بيانات واحدة من صنع المخترق.
الخطوة 3 – إنشاء برامج مساعدة في عملية Credential Stuffing – بهذه الخطوة المخترق يقوم ببناء برمجيات تساعده لإتمام الهجمة الإلكترونية و هذه البرمجية تصمم بأساس تجربة محتوى قاعدة البيانات الخاصة بالمخترق التي تضم الملايين من كلمات المرور و أسماء المستخدمين على مواقع تانية حتى يتحصل المخترق على تصريح بالدخول إلى الموقع عن طريق أحد كلمات المرور و اسم المستخدم انطلاق من قاعدة البيانات التي تم تصميمها.
الخطوة الرابعة – بدأ اختبار الدخول الغير المصرح على المواقع – في هذه الحال يكون المخترق قد صمم قاعدة بيانات خاصة به تضم ملايين أسماء المستخدمين و كلمات المرور لحسابات و أيضا يكون قد صمم برنامج مساعد يساعده في تجربة كل تلك أسماء المستخدمين و كلمات المرور على مواقع تانية, تأتي الخطوة الأخيرة لبدأ الاختبار على المواقع حتى يتحصل المخترق على كلمة مرور و اسم مستخدم لأحد حسابات الضحايا تمكنه من ولوج إلى الحساب بالموقع.
الوسيلة الأفضل لحمايتك من هذه الهجمة
من الأخطاء التي يقوم بها المستخدمون أتناء تسجيلهم لحساب جديد, هو أنهم يستعملون اسم مستخدم واحد و كلمة مرور واحدة على العديد من الحسابات و هنا إذا تم اختراق حساب و معرفة كلمة المرور المستعملة لتسجيل الدخول عليه هذا يعني أن كل الحسابات التانئة بالمواقع الأخرى التي تستخدم نفس كلمة المرور سيكون سهل اختراقها عن طريق هذه الهجمة... لكن هناك سبب وراء استخدام المستخدم كلمة مرور واحدة و اسم مستخدم واحد و هذا بكون أنه يكون من الصعب تذكر كلمات المرور خصوصا إذا كنت تمتلك الكثير من الحسابات, و هنا يكون أنجع و أفضل خيار الذي سيسهل عليك تذكر كلمات المرور و أيضا سيحميك من هذا النوع من الهجمات هو استخدام برمجيات إدارة كلمات المرور...
برامج مدير كلمات المرور أو إدارة كلمات المرور يتسهل عليك إنشاء و إدارة كلمات المرور لحساباتك الخاصة دون الحاجة إلى تذكر كلمات المرور لأنه بشكل تلقائي يقوم بإنشاء كلمة مرور قوية للحساب و أيضا بشكل أوتوماتيكي يساعدك في تسجيل الدخول إلى المواقع أو إلى حساباتك الشخصية دون الحاجة إلى كتابة كلمة المرور.
الكاتب: بدر الدين فهيم
إرسال تعليق