أفضل 9 طرق لحماية عملك من حشو بيانات الاعتماد

نشرت: 2022-12-08

هل تعلم أنه في عام 2019 ، سُرقت أسماء المستخدمين وكلمات المرور لحوالي 4 ملايين مستخدم Canva وفك تشفيرها ومشاركتها عبر الإنترنت؟

كان هذا هجوم حشو أوراق الاعتماد.

خجول؟

قبل المضي قدمًا ، دعونا نفهم ما يعنيه هذا المصطلح.

ما هو هجوم حشو أوراق الاعتماد؟

هجوم حشو بيانات الاعتماد هو أسلوب هجوم إلكتروني يستولي فيه المجرمون الإلكترونيون على قواعد بيانات ضخمة تحتوي على بيانات اعتماد المستخدم لخرق النظام. يستخدم هؤلاء المجرمون نظامًا آليًا للوصول إلى أزواج أسماء المستخدمين وكلمات المرور المخترقة مسبقًا في حقل تسجيل الدخول إلى موقع الويب.

يحاولون الوصول إلى حساب المستخدم على منصات مختلفة عند العثور على الزوج الصحيح من أسماء المستخدمين وكلمات المرور.

ما هو هجوم حشو أوراق الاعتماد؟

مصدر

يقوم مجرمو الإنترنت باختطاف الحسابات التي يمكنهم تسجيل الدخول إليها.

أصبحت هذه التقنية شائعة بشكل متزايد حيث أن المتسللين المبتدئين لديهم أدوات متاحة بسهولة لتسجيل الدخول إلى مئات الخدمات والمواقع على الإنترنت.

وفقًا للبحث ، تواجه الشركات ما معدله 12.7 هجوم حشو بيانات الاعتماد كل شهر ، مما يتسبب في خسارة هائلة قدرها 6 ملايين دولار.

مع وجود الكثير على الطاولة ، يجب على الشركات حماية أعمالها من هجمات حشو بيانات الاعتماد.

أفضل 9 طرق لحماية عملك من حشو بيانات الاعتماد

أفضل 9 طرق لحماية عملك من حشو بيانات الاعتماد

استخدم هذه الأساليب لحماية عملك من جرائم حشو بيانات الاعتماد المحتملة:

  1. استخدم المصادقة متعددة العوامل أثناء تسجيل الدخول

لمنع حدوث الجرائم الإلكترونية ، استخدم المصادقة متعددة العوامل (MFA) للسماح للعملاء بالوصول إلى الأنظمة الأساسية الخاصة بك على الإنترنت. الهدف الأساسي من استخدام أسلوب العائالت المتعددة MFA هو تقليل مخاطر الاستحواذ على الحساب وتوفير الأمان لحسابات العملاء.

إلى جانب طلب اسم المستخدم وكلمة المرور ، يتطلب MFA من العملاء إكمال عامل تحقق آخر ، مما يقلل بشكل كبير من احتمالية حدوث هجوم ناجح عبر الإنترنت.

استخدم المصادقة متعددة العوامل أثناء تسجيل الدخول

مصدر

تفضل معظم الشركات استخدام كلمات مرور لمرة واحدة أو OTP ، وهي عبارة عن رموز مكونة من 4 إلى 8 أرقام تتلقاها على هاتفك المحمول أو بريدك الإلكتروني.

إحصائيات مثيرة للاهتمام: يستخدم 61٪ من العملاء نفس كلمة المرور في خدمات متعددة ، مما يجعل MFA أمرًا ضروريًا لمنع اختراق حساب عميلك.

  1. تجنب استخدام عناوين البريد الإلكتروني كأسماء مستخدمين

نظرًا لأن أساس هجمات بيانات الاعتماد هو إعادة استخدام الأشخاص لنفس اسم المستخدم وكلمة المرور ، فإنه يجعل مهمة مجرم الإنترنت أسهل كثيرًا عندما يستخدم عملاؤك عنوان بريدهم الإلكتروني كاسم مستخدم.

اطلب من المستخدمين أن يكون لديهم عناوين بريد إلكتروني وأسماء مستخدمين مختلفة ، لأن ذلك يقلل من احتمالية استخدام العملاء لنفس مجموعة أسماء المستخدمين وكلمات المرور على مواقع ويب متعددة.

  1. ركز على تنبيه العتبة لاكتشاف محاولات تسجيل الدخول الفاشلة

إنها تقنية فعالة للغاية لإيقاف حالات الهجمات الإلكترونية التي تقوم بحشو بيانات الاعتماد. عندما يكتشف النظام عدد "x" من محاولات تسجيل الدخول الفاشلة ، فإنه يرسل رسالة آلية إلى المستخدم حول المحاولات الفاشلة وينفذ نصًا مخصصًا لإيقافها.

تعمل هذه البرامج النصية على تعطيل وظيفة تسجيل الدخول مؤقتًا أو حتى إيقاف تشغيل الخادم ، مما يمنع المجرمين الإلكترونيين من الوصول غير المرغوب فيه إلى حساب المستخدم.

إحصاءات مثيرة للاهتمام: في عام 2020 ، أثرت 3.4 مليار من هجمات حشو الاعتماد على البنوك والخدمات المالية الأخرى.

  1. امتلك كلمة مرور قوية وسياسة مصادقة

من أسهل طرق المنع وأكثرها استخدامًا وجود كلمة مرور قوية وسياسة مصادقة. شجع العملاء والموظفين على استخدام مديري كلمات المرور لإنشاء كلمات مرور فريدة وقوية.

امتلك كلمة مرور قوية وسياسة مصادقة

مصدر

علم موظفيك وعملائك فوائد وجود كلمات مرور مختلفة لحسابات مختلفة.

أيضًا ، ضع حدًا صارمًا لعدد طلبات تسجيل الدخول الفاشلة.

على سبيل المثال ، تسمح البنوك فقط بـ 3-5 محاولات قبل تجميد حساب العميل مؤقتًا.

يجب على العملاء زيارة أحد البنوك أو التحدث مع أحد موظفي خدمة العملاء لإلغاء تجميد حساباتهم.

بالإضافة إلى ذلك ، شجع موظفيك وعملائك على إعادة تعيين كلمات المرور الخاصة بهم بانتظام.

ومن المثير للاهتمام أن 81٪ من خروقات البيانات تحدث عندما يستخدم العملاء كلمة مرور ضعيفة أو بيانات اعتماد مخترقة بطريقة أخرى لتسجيل الدخول إلى حساباتهم.

  1. اعتماد المصادقة بدون كلمة مرور

تستخدم العديد من الشركات طريقة جديدة ومبتكرة لمنع الهجمات الإلكترونية المزودة ببيانات الاعتماد - المصادقة بدون كلمة مرور.

بدلاً من استخدام كلمة مرور لتحديد هوية العميل ، تتحقق المصادقة بدون كلمة مرور من العميل باستخدام أجهزته أو حساب آخر أو القياسات الحيوية.

تأخذ المصادقة بدون كلمة مرور أمان تسجيل الدخول من الأفضل إلى الأفضل. يقضي على السرقة المحتملة لكلمات المرور.

تحمي هذه الأساليب عملائك من متاعب تذكر كلمات المرور الطويلة والمعقدة.

إحصائيات مثيرة للاهتمام: يستخدم 78٪ من عملاء Gen-Z نفس كلمة المرور لعدة حسابات عبر الإنترنت.

  1. استخدام جدار حماية تطبيق الويب (WAF)

يعد تنفيذ جدار حماية لتطبيق الويب طريقة ممتازة لاكتشاف حركة المرور غير الطبيعية من مجرمي الإنترنت.

تحدد معظم WAFs محاولات تسجيل الدخول المحتملة ، خاصةً عندما يحاول مجرمو الإنترنت فجأة العديد من المحاولات.

بصرف النظر عن تحديد حالات حشو بيانات الاعتماد المحتملة ، يمنع WAF خروقات البيانات التي تحدث أثناء هجوم الويب.

نصيحة احترافية: قم بتطبيق WAF على جميع مواقع الويب الخاصة بك لمنع انتهاكات البيانات وحشو بيانات الاعتماد.

  1. استخدم تجزئة بيانات الاعتماد

لمنع مجرمي الإنترنت من سرقة كلمات المرور ، استخدم تجزئة بيانات الاعتماد. في عملية تجزئة بيانات الاعتماد ، يقوم النظام بتشويش كلمة مرور المستخدم قبل تخزينها في قاعدة البيانات الخاصة بك. حتى إذا تمكن مجرمو الإنترنت من الوصول إلى كلمات المرور هذه ، فلن يتمكنوا من استخدامها.

على الرغم من أن تجزئة كلمات المرور قد تكون فعالة للغاية في منع حشو بيانات الاعتماد ، إلا أنها تساعد في الحد مما يمكن لمجرمي الإنترنت فعله بكلمات المرور المسروقة.

نصيحة احترافية: تختلف اختراق بيانات الاعتماد عن التشفير لأنها وظيفة تشفير أحادية الاتجاه ، بينما يعمل التشفير في كلا الاتجاهين. نظرًا لأن عملية التشفير قابلة للعكس ،

يحصل مجرمو الإنترنت على المفتاح السري لفك تشفير النص.

  1. استخدم القائمة السوداء لعناوين IP

عادة ، يمكن لمجرمي الإنترنت الوصول إلى مجموعة محدودة من عناوين IP. عندما تلاحظ محاولات تسجيل الدخول إلى حسابات متعددة من نفس عنوان IP ، قم بإدراج جميع عناوين IP هذه في القائمة السوداء.

لتجنب الوقوع فريسة للإيجابيات الكاذبة ، تتبع آخر عناوين IP المتعددة المستخدمة لتسجيل الدخول إلى حساب عميلك. ثم قارن بين عناوين IP والعناوين المشبوهة.

استخدم القائمة السوداء لعناوين IP

مصدر

الجانب السلبي الوحيد لاستخدام قائمة IP الخلفية هو أن مجرمي الإنترنت قد يستخدمون تقنيات مثل انتحال IP ، مما يعطي انطباعًا بأنهم يتصلون بالنظام باستخدام عنوان IP مختلف.

يسمح هذا لمجرمي الإنترنت بتجاوز القائمة السوداء مع إخفاء هويتهم.

نصيحة احترافية: تمنع عملية القائمة السوداء الشاملة لعناوين IP المجرمين الإلكترونيين من سرقة بيانات الاعتماد والوصول إلى بيانات اعتماد العميل.

  1. منع استخدام المتصفحات بدون رأس

المتصفح بدون رأس هو متصفح ويب بدون واجهة مستخدم. على الرغم من وصول هذه المتصفحات إلى صفحة الويب ، فإن واجهة المستخدم الرسومية أو واجهة المستخدم الرسومية مخفية عن المستخدمين.

عادةً ما يستخدم المطورون متصفحات بدون رؤوس لاختبار مواقع الويب والتطبيقات واختبار مكتبة JavaScript ، لكن مجرمي الإنترنت يستخدمونها لخداع النقرات والوصول إلى بيانات اعتماد العملاء.

يعني حظر الوصول إلى هذه المتصفحات الخالية من الرأس منع الأنشطة المشبوهة.

نصيحة احترافية: نظرًا لأن هذه المتصفحات لا تحتوي على واجهة مستخدم رسومية للتنقل ، يمكنك التحكم في هذه المتصفحات أو حظرها باستخدام البرامج النصية الآلية أو واجهة سطر الأوامر.

أمثلة على هجمات حشو بيانات الاعتماد

منذ نشأتها ، أثرت هجمات حشو بيانات الاعتماد على الشركات في كل قطاع. بعض الهجمات البارزة والجديرة بالملاحظة هي:

الوجه الشمالي

واجه North Face ، وهو تاجر تجزئة معروف في الهواء الطلق ، هجومًا هائلًا على حشو بيانات الاعتماد في عام 2020. تمكن المهاجمون من الوصول إلى المعلومات ، مثل أسماء العملاء وأرقام الهواتف والفواتير وعناوين الشحن وتفضيلات البريد الإلكتروني والسلع المفضلة.

بعد الهجوم ، اضطر North Face إلى إعادة تعيين كلمات المرور لعدد غير محدد من العملاء. أيضًا ، خفضت الشركة معدل تسجيل الدخول إلى الحساب من أي مصدر مشبوه.

HSBC

قرب نهاية عام 2018 ، واجه HSBC هجومًا كبيرًا لحشو بيانات الاعتماد ، مما أدى إلى تهديد الأمن المالي لآلاف العملاء.

علق البنك الوصول إلى الحسابات عبر الإنترنت لجميع العملاء المتأثرين وبدأ إجراءات لتغيير كلمات المرور للحسابات المصرفية عبر الإنترنت. قام البنك في النهاية بتطبيق العديد من إجراءات الأمن السيبراني لمنع حدوث هجمات مستقبلية.

ديلي موشن

في عام 2019 ، واجهت DailyMotion هجومًا واسع النطاق ومستمرًا بحشو بيانات الاعتماد من قبل مجرمي الإنترنت. نبهت منصة مشاركة الفيديو جميع عملائها المتأثرين وقدمت دعمًا مخصصًا لكل منهم.

دنكن "للكعك المقلي

في غضون ثلاثة أشهر ، أصبح Dunkin Donuts ضحية لهجوم حشو أوراق الاعتماد مرتين. تمكن المهاجمون من الوصول إلى الاسم الأول لعميلهم واسم العائلة وعنوان البريد الإلكتروني ورقم حساب Dunkin Donuts المكون من 16 رقمًا ورمز QR للامتيازات. أخطرت Dunkin Donuts العملاء بنشاط بهذا الهجوم.

استخدمت الشركة تدابير مختلفة لمنع المزيد من الهجمات وضمان أمن تفاصيل العملاء.

منع هجمات حشو بيانات الاعتماد مثل المحترفين

على الرغم من عدم وجود حل نهائي لمنع الهجمات الإلكترونية المزودة ببيانات الاعتماد ، فإن اتباع الإجراءات المذكورة أعلاه يوفر طبقة إضافية من الأمان.

يستخدم مجرمو الإنترنت وعملائك نفس المتصفحات ، لذلك يتطلب عملك حماية قوية وفعالة من حشو بيانات الاعتماد لاكتشاف الهجمات المحتملة.

بصرف النظر عما إذا كنت شركة صغيرة أو متوسطة الحجم ، فمن الضروري أن يكون لديك شريك أمان حسن السمعة يساعدك على تحقيق متطلبات الأمان الخاصة بك ويضمن بقاء بيانات اعتماد العميل في أيدٍ أمينة.

لا تدخر جهداً عند تنفيذ هذه النصائح التسع ، فهي عملك وعملائك ، ويجب عليك حماية بيانات اعتمادهم.