القراء مثلك يساعدون في دعم MUO. عند إجراء عملية شراء باستخدام الروابط الموجودة على موقعنا ، فقد نربح عمولة تابعة. اقرأ أكثر.

تبدأ العديد من الهجمات الإلكترونية بوصول المهاجمين إلى شبكتك. قد لا يكونون موضع ترحيب ، لكن مجرمي الإنترنت لا يحتاجون إلى إذن منك لاقتحام.

مع تقنيات مثل هجمات التعداد ، يمكن أن تتخطى دفاعاتك. يقع على عاتقك عبء أن تجعل الأمر صعبًا عليهم ، إن لم يكن مستحيلًا. ما هي حقا هجمات التعداد؟ كيف يعملون؟ وكيف يمكنك منعهم؟

ما هي هجمات العد؟

هجمات التعداد هي تقنيات قرصنة يستخدمها المهاجمون للحصول على وصول غير مصرح به إلى نظام من خلال تخمين بيانات اعتماد تسجيل دخول المستخدمين. أ شكل من أشكال هجوم القوة الغاشمة، يحاول المخترق تجربة أسماء مستخدمين وكلمات مرور مختلفة حتى يحصلوا على المجموعات الصحيحة.

كيف تعمل هجمات العد؟

يحتوي النظام المتوسط ​​على مصادقة أو تفويض يحمل في ثناياه عوامل يجب على المستخدمين الخضوع له للوصول. غالبًا ما يكون هذا في شكل نافذة تسجيل دخول للمستخدمين الحاليين ، ونافذة تسجيل للمستخدمين الجدد للتسجيل ، وعلامة تبويب "نسيت كلمة المرور" للمستخدمين الحاليين الذين ربما نسوا كلمات المرور الخاصة بهم.

instagram viewer

يستفيد المخترق من الميزات المذكورة أعلاه لشن هجمات التعداد بالطرق التالية.

1. التخمين بأسماء المستخدمين الموجودة بقوة غاشمة

في المرحلة الأولى من هجوم التعداد ، يقوم المتسلل بإدخال أي بيانات اعتماد لتسجيل الدخول للحصول على تعليقات من النظام. على سبيل المثال ، دعنا نقول اسم المستخدم أ موجود في قاعدة بيانات تطبيق الويب الخاص بك. إذا أدخلها المهاجم مع كلمة المرور ، فسيتلقى إشعارًا يفيد بأن كلمة المرور التي أدخلها صحيحة ولكن كلمة المرور ليست كذلك. و إذا اسم المستخدم أ ليس في قاعدة البيانات الخاصة بك ، فسيتلقون إشعارًا بعدم وجود اسم المستخدم أو كلمة المرور.

يهدف المهاجم إلى الحصول على أكبر عدد ممكن من أسماء المستخدمين الصالحة. لكل اسم مستخدم غير صالح يحصلون عليه ، يحاولون استخدام أشكال مختلفة من اسم المستخدم بقوة غاشمة.

نظرًا لأن مستخدمي الويب عادةً ما ينشئون أسماء مستخدمين مألوفة لدى الأشخاص أو يمكنهم الارتباط بها ، فمن بين العديد من أشكال اسم المستخدم التي يدخلها المهاجم في النظام ، سيكون بعضها صالحًا.

2. إقران أسماء المستخدمين الموجودة بكلمات المرور المحتملة

تخمين اسم المستخدم بشكل صحيح هو نصف المهمة فقط. للوصول إلى نظامك ، يجب على المهاجمين تقديم كلمة المرور الصحيحة لاسم المستخدم أيضًا. يستخدمون القوة الغاشمة لإنشاء العديد من أشكال كلمة المرور ، على أمل العثور على تطابق لكل اسم مستخدم.

3. استخدام حشو بيانات الاعتماد للبحث عن أسماء مستخدمين وكلمات مرور صالحة

المهاجمون الاستفادة من حشو بيانات الاعتماد لتنفيذ هجمات التعداد من خلال استخدام أزواج اسم المستخدم وكلمة المرور التي سرقوها من الشبكات الأخرى للوصول إلى شبكتك.

يعد استخدام نفس اسم المستخدم وكلمة المرور في أكثر من تطبيق ويب غير صحي ويمكن أن يعرضك لاختراقات متعددة. إذا وقعت بيانات اعتماد تسجيل الدخول الخاصة بك في الأيدي الخطأ ، فكل ما عليهم فعله هو تجربتها على تطبيقات الويب الأخرى التي تستخدمها.

في حين أن جميع بيانات اعتماد تسجيل الدخول التي يستردها المهاجم من مواقع الويب الأخرى قد لا تكون صالحة ، فقد تبين أن بعضها صالح ، خاصة وأن بعض الأشخاص يكررون نفس اسم المستخدم وكلمة المرور.

4. استخدام الهندسة الاجتماعية لتجميع بيانات اعتماد تسجيل الدخول الكاملة

يمكن للمتسلل المصمم الاستفادة من الهندسة الاجتماعية لتنفيذ هجوم التعداد. كيف؟ بعد استخدام القوة الغاشمة للحصول على أسماء مستخدمين صالحة في تطبيق ويب ، إذا فشلت الجهود الأخرى للحصول على كلمات المرور الصحيحة لأسماء المستخدمين هذه ، فقد اللجوء إلى الهندسة الاجتماعية للحصول على كلمات المرور مباشرة من المستخدمين.

مع وجود أسماء مستخدمين صالحة في متناول اليد ، يمكن للمتسلل إرسال رسائل ضارة إلى المستخدمين عبر البريد الإلكتروني أو الرسائل النصية ، منتحلاً صفة مشغلي النظام الأساسي. يمكنهم خداع المستخدمين لتقديم كلمات المرور الخاصة بهم بأنفسهم. قد تبدو مثل هذه الرسائل مشروعة للضحايا المطمئنين لأن المجرمين الإلكترونيين لديهم بالفعل أسماء مستخدمين صحيحة.

كيف يمكنك منع هجمات التعداد؟

تزدهر هجمات التعداد على الاستجابة التي تتلقاها من تطبيقات الويب عندما يحاول المستخدمون تسجيل الدخول. إذا قمت بإخراج هذه المعلومات من المعادلة ، فسيكون تنفيذها أكثر صعوبة لأن مجرمي الإنترنت سيكون لديهم معلومات قليلة أو معدومة للعمل معها. إذن ، كيف يمكنك منع هذه الهجمات أو تقليل حدوثها إلى الحد الأدنى؟

1. امنع تعليقات تسجيل الدخول باستخدام المصادقة متعددة العوامل

كل ما يحتاج المهاجم فعله لمعرفة صلاحية اسم المستخدم على تطبيق الويب هو إدخال أي اسم مستخدم تقريبًا ، وسيعطيهم الخادم المعلومات التي يحتاجون إليها. يمكنك منعهم من الحصول على هذه المعلومات بسهولة عن طريق تنفيذ المصادقة متعددة العوامل.

عندما يقوم مستخدم ، أو مهاجم في هذه الحالة ، بإدخال بيانات اعتماد تسجيل الدخول للوصول إلى التطبيق الخاص بك ، اطلب منهم التحقق من هويتهم بطرق متعددة مثل توفير كلمات المرور لمرة واحدة (OTPs)أو رموز البريد الإلكتروني أو استخدام تطبيقات المصادقة.

2. قلل محاولات تسجيل الدخول باستخدام CAPTCHA

يتمتع مجرمو الإنترنت بحرية شن هجمات التعداد عندما يكون لديهم محاولات تسجيل دخول غير محدودة. من النادر بالنسبة لهم تخمين أزواج اسم المستخدم وكلمة المرور الصحيحين ببضع محاولات لتسجيل الدخول.

قم بتطبيق CAPTCHA لإبطائهم وإحباط جهودهم. نظرًا لأنه لا يمكنهم تجاوز اختبار CAPTCHA تلقائيًا ، فمن المرجح أن يشعروا بالإحباط للتحقق من أنهم بشر بعد عدة محاولات.

3. اعتماد تحديد السعر لمنع عمليات تسجيل الدخول المتعددة

تزدهر الجهات الفاعلة في التعداد من خلال محاولات تسجيل الدخول المتعددة المتاحة على تطبيقات الويب. يمكنهم تخمين أسماء المستخدمين وكلمات المرور طوال اليوم حتى يعثروا على تطابق.

إذا كان لديك حد للمعدل على شبكتك ، فيمكنهم فقط محاولة تسجيل الدخول لعدد معين من المرات. إذا لم تنجح هذه المحاولات ، فستحظر شبكتك عناوين IP أو أسماء المستخدمين.

يتمثل الجانب السلبي في تحديد المعدل في أنه يؤثر على المستخدمين الشرعيين الذين قد لا يتذكرون حقًا بيانات اعتماد تسجيل الدخول الخاصة بهم. يمكنك التخفيف من ذلك من خلال توفير بدائل لهؤلاء المستخدمين لاستعادة الوصول.

4. قم بتثبيت جدار حماية تطبيق ويب

جدار حماية تطبيق الويب هو أداة تمنع محاولات تسجيل الدخول المتعددة من عناوين IP الضارة أو المشبوهة. إنه يعمل مع مجموعة من معايير الأمان لفحص حركة المرور إلى خوادم الشبكة الخاصة بك ، وتلبية متطلبات أمان HTTPS و SSL المحددة.

مع وجود جدار ناري لتطبيق الويب ، لا يملك ممثلو التعداد متسعًا من الوقت لاختراق نظامك.

تأمين بيانات اعتماد تسجيل الدخول الخاصة بك لمنع هجمات التعداد

تثير هجمات التعداد مخاوف بشأن الوصول إلى الشبكة وقابليتها للاستخدام. قد ترغب في أن يتمكن مستخدمو الشبكة من الوصول دون أي متاعب. ولكن عند القيام بذلك ، يجب عليك اتخاذ تدابير لن تعرض شبكتك للتهديدات والهجمات الإلكترونية.

لا تطلق النار على نفسك من خلال مساعدة الجهات الفاعلة عبر الإنترنت ببيانات اعتماد تسجيل الدخول إلى الشبكة. اجعل من واجبك إخفاء مثل هذه المعلومات بقدر ما تستطيع. إذا كانوا لا يعرفون ذلك ، فسيكونون في الظلام حيث يستحقون أن يكونوا.