جوجل تزيل عدة تطبيقات أندرويد من متجرها تسرق بيانات دخول المستخدم على فيس بوك

كُتب يوم 5 يوليو، 2021 بواسطة سهيل القاسم

تبذل جوجل Google جهوداً كبيرة في سبيل جعل تطبيقات متجرها (جوجل بلاي) آمنة.

وآخر ما تم الإعلان عنه هو قيام جوجل بإزالة تسعة تطبيقات من متجر Play بعد أن اكتشفت شركة الحماية Dr. Web أن أحصنة طروادة (تراجون) موجودة فيها.

وتقوم بسرقة تفاصيل تسجيل الدخول إلى حساب فيس بوك Facebook.

وتملك هذه التطبيقات شعبية جيدة حيث بلغ عدد تنزيلاتها مجتمعة أكثر من 5.8 مليون مرة.

كما حملت أسماء يسهل العثور عليها مثل “Horoscope Daily” و “Rubbish Cleaner”.

أما عن آلية عمل هذه التطبيقات فقد خدعت المستخدمين عن طريق تحميل صفحة تسجيل الدخول الحقيقية على فيسبوك Facebook.

وذلك فقط لتحميل JavaScript، وباستخدام أوامر برمجية “hijack” لسرقة بيانات الاعتماد وتمريرها إلى التطبيق.

كما قامت أيضاً بسرقة ملفات تعريف الارتباط من جلسة توثيق الدخول.

وكان فيس بوك Facebook هو الهدف في كل حالة، ولكن كان بمقدور هذه التطبيقات سرقة البيانات من باقي التطبيقات بسهولة.

وكان هناك خمسة أنواع مختلفة من البرامج الضارة التي تستخدم هذا الأسلوب.

ولكن جميعها استخدمت نفس كود JavaScript وتنسيقات ملفات التكوين لتمرير المعلومات.

وقالت جوجل إنها حظرت جميع مطوري هذه التطبيقات من المتجر .

على الرغم من أن ذلك قد لا يمثل رادعاً كبيراً باعتبار أن الجناة يستطيعون إنشاء حسابات مطورين جديدة.

وتحتاج جوجل Google إلى فحص البرامج الضارة (التراجون) نفسها لإبعاد المهاجمين.

السؤال ، بالطبع ، هو كيف جمعت التطبيقات العديد من التنزيلات قبل الإزالة.

ويبقي الفحص الآلي إلى حد كبير الكثير من البرامج الضارة خارج متجر Play.

إلا أن دقة هذه التقنية ربما ساعدت التطبيقات في تجاوز هذه الدفاعات، وترك الضحايا غير مدركين أن بيانات Facebook الخاصة بهم سقطت في الأيدي الخطأ.

مهما كان السبب من الآمن القول أنه يجب عليك توخي الحذر بشأن تنزيل الأدوات المساعدة من مطورين غير معروفين بغض النظر عن مدى شعبيتها.

مقالات قد تعجبك

سامسونج ستكشف عن هواتف Z Fold 3 و Z Flip 3 القابلة للطي في 11 آب القادم

سوني توضح أنها ستستمر في بيع ألعاب بلاي ستيشن بورتبل PSP

مجموعة REvil تنفذ هجوم فدية استهدف عشرات الشركات الأمريكية

كيفية حظر فيس بوك أو أي موقع ويب آخر على الكمبيوتر وأندرويد وآيفون

كيفية البحث عن الإصدار الأصلي من صورة على موقع الويب

كيفية إصلاح عدم توافق جهاز الكمبيوتر مع نظام ويندوز 11

مايكروسوفت حذرت من وجود ثغرة أمنية خطيرة عمرها 17 عاماً

كُتب يوم 15 يوليو، 2020 بواسطة Hussam Shaaban

حذرت شركة Microsoft من وجود ثغرة أمنية خطيرة في Windows DNS Server تبلغ من العمر 17 عاماً والتي صنفتها الشركة على أنها Wormable (قابلة للانتشار بين خوادم DNS الضعيفة دون تفاعل المستخدم).

يمكن أن يسمح هذا الخلل للمهاجمين بإنشاء برامج ضارة خاصة تقوم بتنفيذ التعليمات البرمجية عن بُعد على خوادم ويندوز Windows وإنشاء استعلامات DNS ضارة يمكن أن تؤدي في النهاية إلى اختراق البنية التحتية للشركة.

يوضح MecheleGruhn مدير برنامج الأمان الرئيسي في مايكروسوفت Microsoft ذلك بالقول:

من المحتمل أن تنتشر الثغرات عبر البرامج الضارة بين أجهزة الكمبيوتر الضعيفة دون تفاعل المستخدم. يعد Windows DNS Server مكوناً أساسياً للشبكات. بينما لا يُعرف حالياً مدى استغلال هذه الثغرة الأمنية في الهجمات النشطة، من الضروري أن يقوم العملاء بتطبيق تحديثات ويندوز Windows لمعالجة هذه الثغرة الأمنية في أقرب وقت ممكن.

اكتشف الباحثون في Check Point العيب الأمني في Windows DNS وأبلغوا شركة مايكروسوفت Microsoft بذلك في شهر أيار.

إذا تُركت هذه الثغرة دون إصلاح، فستظل خوادم ويندوز Windows عرضة للهجمات، على الرغم من أن مايكروسوفت Microsoft تلاحظ أنها لم تجد أدلة على أن هذا الخلل تم استغلاله حتى الآن.

يتوفر تصحيح لإصلاح الثغرة عبر جميع الإصدارات المدعومة من Windows Server اليوم، ولكن السباق مستمر لمسؤولي النظام لتصحيح الخوادم بأسرع ما يمكن قبل أن يقوم الفاعلون الضارون بإنشاء برامج ضارة بناءً على هذا الخلل.

يحذر Omri Herscovici، قائد فريق أبحاث الثغرات في Check Point:

يعد اختراق خادم DNS أمراً خطيراً للغاية. لا يوجد سوى عدد قليل من أنواع الثغرات الأمنية هذه. كل مؤسسة -كبيرة أو صغيرة- تستخدم بنية مايكروسوفت Microsoft التحتية، معرضة لمخاطر أمنية كبيرة، إذا تُركت دون إصلاح. الخطر سيكون خرق كامل لشبكة الشركة بأكملها. هذه الثغرة موجودة في كود مايكروسوفت Microsoft لأكثر من 17 عاماً؛ لذا إذا وجدناها، فليس من المستحيل افتراض أن شخصاً آخر قد وجدها بالفعل أيضاً.

لا يتأثر نظام Windows 10 والإصدارات الأخرى من نظام ويندوز Windows بالخلل، لأنه يؤثر فقط على Microsoft DNS Server Server.

أطلقت مايكروسوفت Microsoft أيضاً حلاً قائماً على التسجيل للحماية من العيب إذا كان المسؤولون غير قادرين على تصحيح الخوادم بسرعة.

قامت مايكروسوفت Microsoft بإعطاء هذه الثغرة الأمنية أعلى درجة للمخاطر وتبلغ 10 نقاط في نظام تسجيل نقاط الضعف الشائعة (CVSS)، مما يؤكد مدى خطورة المشكلة.

للمقارنة، تم تصنيف نقاط الضعف التي استغلها هجوم WannaCry عند 8.5 على CVSS. حذرت مايكروسوفت Microsoft من ثغرات WannaCry في ويندوز Windows من قبل، لكن الباحثين يحثون المسؤولين على الاستجابة لأحدث المطالبات لتثبيت آخر تحديثات مايكروسوفت Microsoft في أقرب وقت ممكن.

مقالات قد تعجبك:

ون بلس ستطلق أول سماعات أذن لاسلكية لها في حدث إطلاق هاتف ون بلس Nord

استبدال المصطلحات البرمجية المتعلقة بالعنصرية كـ Blacklist و Master المستخدمة في نواة لينكس

الرئيس ترامب اعترف أن بلاده شنت هجوماً إلكترونياً عام 2018 على وكالة أبحاث روسية

كيفية صنع مقاطع فيديو جيدة من أجل يوتيوب؟

كيفية استخدام مدير مقاطع الفيديو في يوتيوب

كيفية بث الألعاب مباشرةً على يوتيوب؟

ثغرة أمنية في نظام ماك macOS منذ 6 أشهر لم يتم إصلاحها حتى الآن

كُتب يوم 1 يوليو، 2020 بواسطة Hussam Shaaban

في العام الماضي، قامت آبل Apple بتوسيع برنامج مكافأة الأمان ليشمل macOS بعد عدة سنوات من تقديم الشيء نفسه لمطوري آيفون iPhone.

ولكن وفقاً لواحد من الباحثين على الأقل، فإن الشركة لا تتصرف بالسرعة الكافية من أجل بعض ممارسات استغلال الثغرات.

فقد أبلغ المطور Jeff Johnson شركة آبل Apple عن ثغرة سمحت للمهاجمين بسرقة بيانات خاصة مع استنساخ خبيث من سفاري Safari منذ أكثر من ستة أشهر.

بمجرد خداع المستخدم لتنزيل الملف الضار، يتم منح تطبيق سفاري Safari المزيّف وصولاً غير مبرر بواسطة macOS. ثم يصبح أي ملف مقيد متاح لتطبيق سفاري Safari الأصلي متاحاً للمهاجم.

يوضح جونسون أن الثغرة تعمل لأن حماية خصوصية آبل Apple تقوم بإجراء فحص فيه بعض الأخطاء لأصالة الملف، وهذا يعني أنه يمكن تشغيل النسخة المعدلة من سفاري Safari دون تفعيل الحماية المذكورة.

في هذه الحالة ، يجب أن يؤذن (من آبل Apple) فقط لـ سفاري Safari و Finder بالوصول إلى الملفات الموجودة في ~/Library/Safari، ما لم تمنح إذناً خاصاً لتطبيق آخر، مثل منح الوصول الكامل إلى القرص إلى Terminal.

التطبيق المصمم ضار يمكنه أيضاً الوصول إلى هذه الملفات، دون الحصول على إذن. يوجد في الواقع تطبيقان ضاران هنا: إصدار معدّل من سفاري Safari، والذي يصل إلى الملفات المحمية، والتطبيق الذي يعدل سفاري Safari ويطلق الإصدار المعدل منه.

يمكن لأي تطبيق تقوم بتنزيله من الويب تحقيق تجاوزات حماية الخصوصية هذه. حيث يقوم النموذج المستنسخ بتحميل بعض بياناتك الخاصة (على سبيل المثال، أفضل المواقع الخاصة بك) إلى خادم تتحكم فيه، لأن هذا أمر سهل القيام به عندما يمكننك تشغيل أي جافاسكريبت JavaScript تريده.

ونعم، هذه الثغرة موجودة على الإصدار التجريبي الحالي Big Sur من macOS 11. من المفارقات إلى حد ما، أن شركة آبل Apple قامت بعمل كبير حول تحديثات سفاري Safari في أحدث نظام تشغيل لها.

يقول جونسون إن أبل Apple أخبرته أن الشركة لا تزال تحقق في المشكلة، بعد أن أخبرته في البداية أنه سيتم حلها في ربيع عام 2020.

بالطبع، العالم غارق حالياً في وباء مستمر، ويعمل الموظفون في جميع أنحاء العالم مع محدودية مصادر؛ من المحتمل أن يكون هذا الشيء قد أسهم في التأخير.

مقالات قد تعجبك:

الهند حظرت تطبيقات تيك توك TikTok ووي تشات WeChat وتطبيقات أخرى

مايكروسوفت ستكشف قريباً عن نسخة ثانية للجيل الجديد من إكس بوكس

شاومي أعلنت عن هواتف Redmi 9C و 9A

كيفية تجاوز قفل الشاشة والتحقق من حساب جوجل على أجهزة أندرويد

كيفية حماية حساب واتساب من الاختراق

كيفية تقليل المساحة المستخدمة من قبل تطبيق واتساب على أندرويد وآيفون

إنستغرام اختبرت طريقة جديدة لاستعادة الحسابات المسروقة

كُتب يوم 18 يونيو، 2019 بواسطة محمد عبد الرحمن بركات

قالت منصة إنستغرام Instagram أنها بدأت باختبار ميزات جديدة قد تساعد الأشخاص الذين فقدوا حساباتهم على المنصة من خلال السرقة والاختراق على استعادة تلك الحسابات بطريقة أسرع ومن داخل التطبيق نفسه.

وبحسب الأخبار التي نشرها موقع Motherboard، فإن الحسابات التي تمت قرصنتها على إنستغرام قد زادت في الفترة الأخيرة بعد اتباع المهاجم العديد من وسائل الخداع مثل إرسال روابط التصيد الاحتيالي.

حيث تطلب تلك الروابط من أصحاب الحسابات إضافة معلوماتهم الشخصية التي تتضمن بيانات تسجيل الدخول، وبمجرد وصول تلك البيانات إلى المهاجم يكون قد سيطر بالكامل على حساب إنستغرام.

لكن بدءاً من الآن ستتيح إنستغرام للمستخدمين إجراء اختبار جديد يطلب إدخال عنوان البريد الإلكتروني أو رقم الهاتف المرتبط بحسابهم أو تلك التي استخدموها عند التسجيل في النظام الأساسي في البداية.

سيتم بعد ذلك إرسال رمز مكون من ستة أرقام يسمح لهؤلاء المستخدمين بإعادة إدخاله مجدداً والوصول إلى حسابهم المسروق.

وقال متحدث باسم إنستغرام لموقع Motherboard:

عندما تفقد الوصول إلى حسابك، سنتخذ تدابير إضافية لضمان عدم تمكن المتسلل من استخدام الرموز المرسلة إلى عنوان بريدك الإلكتروني و رقم الهاتف للوصول إلى حسابك من جهاز مختلف.

كما قالت إنستغرام أن هناك ميزة أخرى متوفرة بالفعل على نظام الأندرويد والتي تضمن أن اسم المستخدم الخاص بك آمن لفترة من الوقت بعد أي تغييرات في الحساب.

وهذا يعني أنه لا يمكن أن يطالب باسم حسابك أي شخص آخر حتى إذا فقدت الوصول إلى حسابك، وستأتي هذه الميزة إلى نظام iOS الآن.

حيث أن أغلبية عمليات سرقة الحسابات التي تمت في الفترة الأخيرة كانت بهدف الاستحواذ على اسم مميز للحساب أو الحصول على حساب مع عدد متابعين كبير نسبياً.

مقالات قد تعجبك:

هل من الممكن معرفة من زار حسابك على تويتر؟

كيفية معرفة إن كان حساب فيسبوك مخترقاً؟ وكيفية استعادته؟

كيفية التقاط الصور باستخدام سيري

كيفية إلغاء تفعيل بيكسبي Bixby في أجهزة سامسونج؟

هل يمكن إنشاء واستخدام حساب فيس بوك باسم وهمي ؟

فيسبوك وإنستغرام رفعتا دعوى قضائية على شركات صينية

كُتب يوم 3 مارس، 2019 بواسطة محمد عبد الرحمن بركات

رفعت كل من شركة فيسبوك Facebook وشركة إنستغرام Instagram المملوكة للأولى دعوى قضائية في محكمة اتحادية أمريكية ضد أربع شركات وثلاثة أشخاص مقرهم في جمهورية الصين الشعبية.

وكانت التهمة الأساسية لهؤلاء الشركات والأشخاص هي قيامهم بالترويج من أجل بيع حسابات مزيفة على المنصتين المذكورتين.

الدعوى القضائية لم تكن من قبل فيسبوك فقط، بل قام بها العديد من مزودي الخدمات الآخرين عبر الإنترنت بما في ذلك أمازون Amazon وآبل Apple وجوجل Google و LinkedIn وتويتر Twitter.

وقالت فيسبوك أنها ستطالب بحقوقها بموجب قانون الملكية الفكرية في الولايات المتحدة وذلك للاستخدام غير المشروع لعلامتها التجارية.

من خلال رفع الدعوى القضائية، تأمل فيسبوك أن تؤكد أن هذا النوع من النشاط الاحتيالي غير مسموح به وأنها ستتصرف بقوة لحماية سلامة المنصة.

تطلب الدعوى القضائية من المحكمة أن تمنع هؤلاء الأشخاص والكيانات من إنشاء وترويج بيع الحسابات المزيفة وإبداء الإعجاب وشراء المتابعين على فيسبوك و إنستغرام.

كذلك تريد فيسبوك منع التعدي على علامتها التجارية على المواقع الإلكترونية، واستخدام أسماء النطاقات ذات العلامات التجارية على فيسبوك لتشغيل مواقع الويب الخاصة بها.

وقالت فيسبوك في بيانها:

النشاط المخالف ليس له مكان على منصتنا، ولهذا السبب نخصص موارد كبيرة لاكتشاف هذا السلوك وإيقافه، بما في ذلك تعطيل ملايين الحسابات المزيفة كل يوم، وتمثل الدعوى القضائية اليوم خطوة أخرى في جهودنا المستمرة لحماية الأشخاص على فيسبوك وإنستغرام.

تخشى فيسبوك من استخدام الحسابات المزيفة المباعة في الحملات الإعلانية والأنشطة المتعلقة بنشر الأخبار المزيفة أو التأثير في الأحداث العالمية مثل الانتخابات الرئاسية الأمريكية.

الأمر الذي يسبب للشركة الكثير من المتاعب والانتقادات، وهو آخر ما تحتاجه حالياً بسبب انشغالها بعشرات القضايا المتعلقة بالفضائح وخصوصية البيانات والمستخدمين.

مقالات قد تعجبك:

كيفية معرفة إصدار البلوتوث على نظام التشغيل ويندوز أو ماك

ماذا تفعل أزرار الوظائف في مايكروسوفت إكسل

كيفية حذف الخلفية من صورة في مايكروسوفت وورد

ماذا تفعل أزرار الوظائف في مايكروسوفت باور بوينت

ما هي ميزة ترتيب النوافذ التلقائي في ويندوز 10 ؟

مبرمج استغل ثغرة في نظام بنك صيني وسرق مليون دولار

كُتب يوم 11 فبراير، 2019 بواسطة محمد عبد الرحمن بركات

هل شاهدت يوماً ما مشهداً سينمائياً لأحد المبرمجين المحترفين وهو يجبر الصرافات الآلية على ضخ آلاف الدولارات بعد عملية اختراق ناجحة؟

حسناً، يبدو أن هذا المشهد تحوّل إلى حقيقة في الصين بحسب ما ذكرت كل من صحيفة The South China Morning Post وصحيفة Daily Economic News المحلية في البلاد.

حيث استطاع Qin Qisheng وهو مبرمج صيني محترف يبلغ من العمر 43 عاماً من سحب ما يزيد عن مليون دولار أمريكي من بنك Huaxia الذي يعمل فيه مستغلاً وجود ثغرة في نظام السحب النقدي.

ووفقاً للتقارير، فإن الثغرة الموجودة في النظام منعت عمليات تسجيل سحب الأموال التي يتم القيام بها في منتصف الليل تقريباً.

حيث كان من المفترض أن تؤدي عمليات السحب إلى إرسال تنبيه عاجل بأن عملية السحب قد فشلت، لكن بسبب وجود الثغرة في نظام عمل البنك فقد تمكن المبرمج من سحب مبالغ نقدية مختلفة دون أن يعلم أحد.

بدأ المبرمج السارق بسحب الأموال منذ شهر تشرين الثاني من عام 2016 على شكل مبالغ نقدية مختلفة القيمة في كل مرة، وعند اكتشاف أمره مؤخراً اعترف بسرقة ما يزيد عن مليون دولار أمريكي.

ولعل الجزء الأكثر إثارة للدهشة في هذه القصة هو أن البنك الصيني لم يرغب بالاستمرار في محاكمة المبرمج السارق والموظف لديه، حيث طالب الشرطة بإسقاط القضية.

من المحتمل أن إدارة البنك كانت قلقة بشأن تضخم القضية والتسبب بدعاية سيئة لأعمال البنك وأمن نظامه، وقالت الإدارة بأنها قبلت واقتنعت بتبرير المبرمج الصيني.

حيث برّر المبرمج سرقته أثناء التحقيق بأن ما كان يقوم به هو مجرد اختبار لأنظمة الأمان في البنك، وأنه يعتزم إعادة كافة الأموال التي سحبها.

في الحقيقة يبدو هذا التبرير غير مقنعاً أبداً نظراً لأن الأموال المسحوبة كانت تُحوّل إلى حساب المبرمج الصيني الخاص وليس إلى خزينة البنك، كما قام المبرمج باستثمار جزء من هذه الأموال في سوق الأسهم أيضاً.

رفضت المحكمة طلب البنك بإسقاط القضية، ووجهت حكم نهائي على المبرمج الصيني بالسجن لمدة 10 سنوات ونصف بعد أن خسر استئنافه.

مقالات قد تعجبك:

كيفية استعادة المبالغ المدفوعة باستخدام البطاقة الائتمانية

كيفية استعادة الملفات المحذوفة على نظام ماك macOS

كيفية إضافة منافذ USB-C إلى حواسيب ويندوز

كيفية إصلاح صوت الكمبيوتر إذا قام تحديث ويندوز بتعطيله

طرق العمل المشترك المتوفرة بين ويندوز 10 وبين هواتف أندرويد أو آيفون

ثغرة أمنية في Fortnite سمحت للقراصنة بسرقة حسابات اللاعبين

كُتب يوم 18 يناير، 2019 بواسطة محمد عبد الرحمن بركات

تم اكتشاف ثغرة أمنية خطيرة في اللعبة الشهيرة فورتنايت Fortnite سمحت للمهاجمين والقراصنة الإلكترونيين بالوصول إلى معلومات تسجيل الدخول لحسابات اللاعبين.

حيث كان يتطلب ذلك الضغط على رابط مريب يتم إرساله للاعبين، وبمجرد الضغط عليه فإن هنالك فرصة للقراصنة بسرقة كلمات المرور الخاصة بحسابات اللاعبين في اللعبة.

تم الكشف عن الثغرة من قبل فريق Check Point Research الذين قاموا بتنبيه Epic Games الشركة المطورة للعبة في شهر تشرين الثاني الماضي، وقد تم إغلاق الثغرة الأمنية خلال أسابيع.

بالتأكيد فإن الخبر المتعلق بهذه الثغرة لم يصل إلى وسائل الإعلام والمواقع التقنية إلى بعد أن تأكدت الشركة من إغلاق الثغرة بشكل كامل، وقالت شركة Epic Games في بيان أرسلته إلى موقع The Verge:

لقد علمنا بالثغرة الأمنية المكتشفة وسرعان ما تم معالجتها وإغلاقها، نشكر فريق Check Point على لفت انتباهنا، وكما هو الحال دائماً، فإننا نشجع اللاعبين على حماية حساباتهم من خلال عدم إعادة استخدام كلمات المرور الخاصة بحسابات اللعبة واستخدام كلمات مرور قوية وعدم مشاركة معلومات الحساب مع الآخرين.

قبل إغلاق الثغرة كان يمكن للمهاجمين الاستيلاء على حسابات اللاعبين ومن ثم استخدام تلك الحسابات من أجل المشتريات داخل اللعبة أو شراء عملات V-Bucks.

ونظراً لأن اللعبة لا تسمح بتسجيل الدخول المتعدد إلى الحساب نفسه، فإذا كان المخترق موجوداً على حساب الضحية فلن يتمكن الضحية من تسجيل الدخول.

تقرير Check Point أوضح أن هذه الثغرة سمحت للقراصنة بالتنصت على المحادثات داخل اللعبة، بالإضافة إلى إمكانية المخترق أن يقدّم نفسه على أنه الضحية ويتحدث إلى أصدقاء اللاعب.

حتى يعمل الاختراق، يرسل المهاجم رابطاً خبيثاً إلى حساب Fortnite الخاص بالمستخدم، وإذا نقر المستخدم عليه فسوف يعيد توجيهه إلى صفحة تسرق بيانات تسجيل الدخول الخاصة به.

على الرغم من إغلاق هذه الثغرة، فلا يزال هناك الكثير من القراصنة الذين يستهدفون حسابات Fortnite، خلال هذا الأسبوع فقط ذكرت صحيفة The Independent أنه تم الكشف عن بطاقة ائتمان مسروقة كانت تُستخدم لشراء عملات V-Bucks ثم يتم بيعها للاعبين بسعر مخفض عبر الويب المظلم.

مقالات قد تعجبك:

كيفية تحسين دقة الإصابة في ألعاب الكمبيوتر

كيفية استخدام وضعية عزل جوجل بالكاميرا على أي هاتف أندرويد

كيفية تنصيب ويندوز 10

أفضل الاشياء التي يمكن لمساعد جوجل القيام بها على هواتف أندرويد

كيفية معرفة ما الذي يستهلك مساحة التحزين في أندرويد

إنستغرام ستقدّم نظاماً للتحقق بخطوتين أكثر أماناً وتطوراً

كُتب يوم 23 يوليو، 2018 بواسطة محمد عبد الرحمن بركات

بحسب تقرير جديد نشره موقع TechCrunch فإن شبكة إنستغرام Instagram ستقدم نظاماً جديداً للتحقق بخطوتين لا يستخدم رقم هاتف المستخدم وسيكون أكثر أماناً من النظام الحالي.

وجاءت هذه الأخبار بعد فترة قليلة من نشر تقرير مفصّل حول قرصنة بطاقات SIM وكيف يمكن لذلك أن يؤثر على طريقة التحقق بخطوتين في الشبكات الاجتماعية والتي تتطلب وجود رقم هاتف فعّال للمستخدم.

بالنسبة لنظام إنستغرام الجديد فسيتم استخدام تطبيقات ترميز مشفرة معروفة مثل الأنظمة الأساسية الأخرى للشبكات الاجتماعية بما فيها شبكة فيسبوك، من هذه التطبيقات Google Authenticator و Authy.

وكانت الباحثة البرمجية Jane Manchun Wong قد كشفت عن وجود إصدار أولي من النظام المحدث لطريقة التحقق بخطوتين في الإصدار الأحدث من تطبيق إنستغرام على أندرويد.

Instagram is finally working on token-based two-factor authentication!! 🎉

Thank you Instagram! I have been waiting for this since 2016! We finally won't have to rely our account's security on SMS! 😍 pic.twitter.com/u0iIPTaZO2

— Jane Manchun Wong (@wongmjane) July 17, 2018

الآن، يتيح لك تطبيق إنستغرام استرداد حسابك وتسجيل الدخول على أجهزة جديدة طالما يمكنك تأكيد هويتك عبر رقم هاتف مرتبط بحسابك.

ولكن أدى الشكل الجديد المتنامي من سرقة الإنترنت إلى حصول المخترقين بشكل غير قانوني على إمكانية الوصول إلى رقم هاتف المستخدم وربطه ببطاقة SIM جديدة.

حيث يمكن فعل ذلك باستخدام القليل من المعلومات مثل رقم الضمان الاجتماعي، وقد أدى ذلك إلى حدوث أعداد هائلة من حالات قرصنة بطاقات SIM الخاصة بالمستخدمين واستخدام ميزة التحقق بخطوتين لسرقة الحسابات.

حيث يمكن للقراصنة ابتزاز الضحية لتحقيق مكاسب مالية، أو يمكنهم استخدام رقم الهاتف لإعادة تعيين كلمة المرور الخاصة بالدخول إلى حسابات أمازون و إنستغرام وتويتر.

في الفترة الأخيرة، قامت العديد من شركات التكنولوجيا ببناء أدوات للحماية من الثغرة الموجودة في طريقة التحقق بخطوتين المستندة إلى الرسائل القصيرة SMS واستخدام رقم هاتف المستخدم.

على سبيل المثال، لدى جوجل Google تطبيق Authenticator الذي يستخدم رمزاً رقمياً يتم إنشاؤه عشوائياً مع حد زمني صارم.

وتستخدم فيسبوك الآن أداة مشابهة مدمجة في تطبيق فيسبوك نفسه، لذلك من الجيد أن نرى إنستغرام الآن تحذو حذوها.

مقالات قد تعجبك:

نصائح لتحديد خصوصية وأمان حساب إنستغرام

نصائح لاستعراض أفضل لموجز إنستغرام

أفضل الوسائد القطنية لحماية الظهر أثناء فترات العمل الطويلة

كيفية حفظ مستند مايكروسوفت وورد كصفحة ويب

نظام Usenet البديل الأفضل للتورينت، ما هو؟ وكيف يستخدم؟

إلقاء القبض على الهاكر الذي سرق 1.2 مليار دولار

كُتب يوم 29 مارس، 2018 بواسطة محمد عبد الرحمن بركات

بعد تحقيق دام أربع سنوات، أعلنت وكالة تطبيق القانون الأوروبية Europol أنها اعتقلت القائد المشتبه به المسؤول عن سرقة مبلغ 1.2 مليار دولار من أكثر من 100 مصرف في أكثر من 40 دولة باستخدام البرمجيات الخبيثة.

وفقاً لبيان الوكالة فقد ألقت الشرطة الوطنية الإسبانية القبض على المشتبه به في مدينة Alicante في إسبانيا وذلك بدعم من مكتب التحقيقات الفيدرالي والسلطات الرومانية والبيلاروسية والتايوانية إلى جانب شركات الأمن المعلوماتي.

ابتداءً من عام 2013، استخدمت مجموعات السرقة حملات البرمجيات الخبيثة المتعددة، أولها كان باسم Anunak ثم تبعها المزيد من الإصدارات المعقدة المعروفة باسم Carbanak و Cobalt.

وذلك بهدف الوصول إلى أجهزة الحاسوب الخاصة بموظفي البنك باستخدام بعض الحيل، ومن ثم الاستيلاء على النظم المصرفية والوصول إلى الخوادم التي تتحكم بأجهزة الصراف الآلي.

استخدمت تلك المجموعات بعض الحيل لتضخيم أرصدة الحسابات ومن ثم سحب الأموال من أجهزة الصراف الآلي أو تحويل الأموال من البنوك المستهدفة إلى حسابات أخرى تابعة للسارقين.

ويقول بيان وكالة Europol أن تلك المجموعات استخدمت بعد ذلك بطاقات مسبقة الدفع مرتبطة بمحفظة العملات الرقمية لغسل الأموال وشراء السيارات والمنازل الفاخرة.

في ذروة قوّتها تمكنت مجموعة السارقين من سرقة 10 مليون يورو في كل عملية سرقة.

وقال Steven Wilson رئيس مركز الجريمة الأوروبية : إن القبض على الشخصية الرئيسية في المجموعة يوضّح أن المجرمين الإلكترونيين الآخرين لم يعد بإمكانهم الاختباء وراء إخفاء الهوية الدولية.

علماً أن البيان الصحفي الخاص بوكالة Europol لم يحدّد اسم المشتبه به الذي تم إلقاء القبض عليه.