در ایران، موسسه خیریه "جمعیت امام علی"، اعلام کرده که گروهی از اعضایش، هدف یک حمله "سازماندهی شده" سایبری قرار گرفته‌اند و کنترل چند حساب کاربری خود را از دست داده اند.

چرا این خبر بحث برانگیز شده است؟

آنچه این خبر را بحث برانگیز کرده این نکته است که اعضایی که هدف حمله قرار گرفته‌اند، برای محافظت از خود در برابر هکر‌ها از خدمات "عبور دو مرحله‌ای" استفاده می‌کنند.

عبور دو مرحله‌ای که یک لایه امنیتی دوم برای کاربران ایجاد می‌کند، اولین بار - به صورت گسترده و مجانی - از سوی گوگل برای سرویس ایمیلش، جی‌میل، معرفی شد. این لایه امنیتی به عنوان یکی از ایمن‌ترین روش‌های مقابله با دزدیده شدن حساب‌های کاربری حالا به صورت گسترده در بیشتر خدمات دهندگان آنلاین استفاده می‌شود. برای همین "دور زدن" این لایه امنیتی، خبرساز شده است.

عبور دو مرحله‌ای چطور کار می‌کند؟

این لایه امنیتی، بعد از وارد کردن شناسه و رمز کاربری در سایت‌ها یا اپلیکیشن‌های خدمات دهنده فعال می‌شود و از کاربر یک رمز دوم که به عنوان "رمز احراز هویت" شناخته می‌شود را سوال می‌کند.

این رمز، به صورت مجزا، به شماره‌ای که کاربر قبلا اعلام و تایید کرده است، ارسال می‌شود. البته این یکی از روش‌ها است. این رمز می‌تواند در یک اپلیکیشن، که قبلا نصب و به سرویس دهنده وصل شده است هم تولید شود.

نمونه آن، اپلیکیشن تایید هویت گوگل است با نام Google Authenticator بعد از متصل کردن این اپلیکیشن به حساب جی-میل می‌توانید حتی به صورت آفلاین از آن استفاده کنید. این اپلیکیشن، به طور منظم کدهایی را تولید می‌کند که بعد از چند ثانیه منقضی می‌شوند و کد جدیدی تولید می‌شود.

چطور ممکن است عبور دو مرحله‌ای هک شود؟

در صورتی که شما از روش دریافت رمز احراز هویت از طریق پیامک استفاده کنید، هکرها در صورت دسترسی به موبایل شما می‌توانند رمز را به دست بیاورند و وارد حساب کاربری شما شوند. تصویر زیر این روند را نمایش می‌دهد.

همانطور که نمایش داده شده است، اگر هکرها بتوانند، در مسیر عبور پیامک حامل رمز احراز هویت، از شرکت خدمات دهنده (مثلا گوگل) تا موبایل کاربر وارد شوند و این پیامک را بخوانند، می‌توانند وارد حساب کاربری شوند و کنترل آن را از دست صاحب آن خارج کنند.

چه کسی می‌تواند پیامک حاوی رمز احراز هویت شما را ببیند؟

از تصویر بالا می‌توان اینطور برداشت کرد که اتهام نفوذ، متوجه اوپراتور، یا شرکت مخابرات است. اما پاسخ به اینکه در ایران چه کسی می‌تواند پیامک‌ها را بخواند، بدون دسترسی به مقامات و اطلاعات بیشتر از زیرساخت شبکه موبایل ایران ممکن نیست.

در کشورهای غربی، دادگاه می‌تواند اجازه دسترسی به پیامک‌های صاحب یک شماره موبایل را صادر کند. برای همین هم در سال‌های اخیر استفاده از پیامرسان‌هایی که پیام‌ها را رمز گذاری می‌کنند افزایش یافته است و حتی در بسیاری از کشورها تبدیل به یک مشکل پیچیده برای پلیس و سرویس‌های امنیتی در مقابله با تروریسم و حتی جنایتکاران شده است.

اما در ایران، دستگاه امنیتی ایران بارها اقدام به شنود مکالمات یا تماس‌های اینترنتی کسانی کرده که به نوعی آنان را تهدید امنیتی می‌داند. این افراد مخالفان سیاسی، خبرنگاران و فعالان اجتماعی را هم شامل می‌شوند.

آیا می‌شود بدون استفاده از موبایل، رمز احراز هویت را دریافت کرد؟

همانطور که در شیوه کار عبور دو مرحله‌ای توضیح داده شد، در مورد گوگل می‌توان از اپلیکیشن تایید هویت Google Authenticator استفاده کرد. در مورد فیس بوک، اپلیکیشن موبایل کد احراز هویت را تولید می‌کند. همچنین بعضی از خدمات دهندگان اینترنتی، مانند گوگل و پی‌پل (سایت نقل و انتقال پول از طریق اینترنت) گزینه استفاده از کلیدهای امنیتی را هم ارائه می‌کنند. البته این کلید‌ها که زمان نیاز به احراز هویت به درگاه یو‌اس‌بی کامپیوترها متصل می‌شود، باید مجزا خریداری شود.

یکی از راه‌های دیگر هم تولید و چاپ کردن تعدادی از کد‌های احراز هویت است که از هر رمز می‌توان برای یک بار وارد شدن استفاده کرد.

با این حال همچنان محبوب‌ترین و شاید آسان‌ترین روش احراز هویت، پیامک موبایل است.

آیا همیشه پای مخابرات در میان است؟

اگر با دید وسیع‌تری به روش‌های ممکن برای به دست آوردن کد احراز هویت یک کاربر نگاه کنیم، می‌توان این فرض را هم در نظر گرفت که موبایل کاربر، قبلا به یک بد افزار آلوده شده باشد و به محض دریافت پیامک رمز، آن را بخواند و برای یک شماره دیگر که هکر تعیین کرده، بفرستد.

همچنین می‌توان این فرض را در نظر گرفت که هکرها، به شبکه اوپراتور موبایل نفوذ کرده باشند. البته در مورد اتفاقی که برای گروهی از اعضای جمعیت امام علی افتاده نیاز به بررسی‌های بیشتر و حتی شاید امکانات دولتی برای ردیابی مهاجمان است.