لقد تطورت هجمات التصيد الاحتيالي. الآن لم تعد بحاجة إلى سرقة كلمة المرور الخاصة بك أو تجاوز المصادقة متعددة العوامل (MFA). يستغل مجرمو الإنترنت بروتوكول OAuth لخداعك لمنح تطبيق ضار الإذن. بفعلك ذلك، تمنحهم الوصول إلى بياناتك دون علمك، ولا يتم تفعيل المصادقة متعددة العوامل لأن عملية الموافقة تتم خارج إطار المصادقة التقليدية. في foro3d.com نشرح لك كيفية عمل هذا التهديد الصامت.
الآلية التقنية وراء هجوم OAuth 🛡️
يبدأ الهجوم برابط يحاكي كونه من خدمة شرعية، مثل Google أو Microsoft. عند النقر عليه، يتم إعادة توجيه الضحية إلى شاشة موافقة OAuth، حيث يُطلب الإذن للوصول إلى رسائل البريد الإلكتروني أو جهات الاتصال أو الملفات. المستخدم، بثقته، يوافق. يتلقى المهاجم رمز وصول يسمح له بالتفاعل مع واجهة برمجة التطبيقات (API) الخاصة بالخدمة دون الحاجة إلى بيانات اعتماد. المصادقة متعددة العوامل (MFA)، المصممة لحماية عملية تسجيل الدخول، لا تتدخل هنا لأن الرمز قد تم منحه بالفعل. يعتمد الدفاع على مراجعة كل إذن مطلوب.
الموافقة: الباب الدوار الجديد للأمن 🚪
اتضح أنه بعد سنوات من إعداد المصادقة متعددة العوامل واستخدام كلمات مرور معقدة، لا تزال الحلقة الأضعف هي حماسنا للنقر على كل ما يلمع. الآن، بدلاً من سرقة مفتاحك، يطلبون منك الإذن باستخدام نموذج جميل، وأنت، كمضيف كريم، تفتح لهم الباب على مصراعيه. في النهاية، لماذا السرقة إذا كان بإمكانك طلب المفاتيح بأدب؟ المفارقة هي أن المصادقة متعددة العوامل تبقى هادئة، مثل حارس البوابة الذي قيل له إنه لا يعمل اليوم.