تخيل السيناريو التالي: تستيقظ في صباح يوم عادي، وتنظر إلى هاتفك لتجد إشعاراً من تطبيق PlayStation App يقول: "تم تغيير معرف تسجيل الدخول (Sign-In ID Changed)". يخفق قلبك. تسرع إلى جهاز الكونسول الخاص بك. تضغط على زر PS. وبدلاً من واجهتك المألوفة، تستقبلك الشاشة الرمادية الباردة: "تم تسجيل خروجك". تتحقق من بريدك الإلكتروني، فتجد أن عنوان الاسترداد قد تم تغييره إلى نطاق روسي (.ru). تتحقق من إشعار البنك، لتكتشف أنه تم إنفاق 300 دولار على نقاط FIFA في الدقائق العشر الماضية. هذه ليست قصة رعب خيالية. هذا هو الواقع لآلاف اللاعبين كل يوم. وبناءً على التقارير الواردة في الـ 48 ساعة الماضية، حتى الصحفيون التقنيون البارزون يقعون ضحية لموجة جديدة من الهجمات التي تتجاوز المصادقة الثنائية التقليدية (2FA). لقد انتهى عصر "كلمة المرور القوية". وعصر "التحقق عبر الرسائل القصيرة" يلفظ أنفاسه الأخيرة. لقد دخلنا عصر **الأمان القائم على انعدام الثقة (Zero-Trust Security)**. في هذا التقرير الخاص من "تيكين جيم"، لا نقدم لك مجرد نصائح؛ نحن نبني قلعة. سنرشدك خلال تنفيذ **مفاتيح المرور (Passkeys)** - معيار التشفير العسكري الذي اعتمدته سوني أخيراً. بحلول نهاية هذا الدليل المكون من 2000 كلمة، سيكون حساب PSN الخاص بك محصناً افتراضياً ضد الرصاص.
١. تشريح الاختراق: لماذا فشلت الدروع القديمة؟ لهزيمة العدو، يجب أن تفهم كيف يفكر. لسنوات، قيل لنا إن كلمة مرور مثل Tr0ub4dor&3 آمنة. وقيل لنا إن تفعيل التحقق عبر الرسائل القصيرة (SMS) يجعلنا غير قابلين
للمس. أحداث هذا الأسبوع حطمت تلك الأوهام. موت كلمة المرور تعتمد كلمات المرور على مفهوم يسمى "الأسرار المشتركة". أنت تعرف السر، وسوني تعرف السر. لتسجيل الدخول، تخبر سوني بالسر. المشكلة؟ الأسرار تتسرب. إذا
كنت تستخدم نفس كلمة المرور في منتدى تم اختراقه، فإن كلمة المرور هذه موجودة الآن في قاعدة بيانات على الويب المظلم (Dark Web). يستخدم المتسللون روبوتات "حشو الاعتمادات" (Credential Stuffing) لتجربة مجموعة
البريد الإلكتروني/كلمة المرور تلك على ملايين المواقع، بما في ذلك PSN. إذا أعدت استخدام كلمة مرورك، فسيتم اختراقك فوراً. كابوس تبديل الشريحة (SIM Swap) "لكن لدي مصادقة ثنائية عبر SMS!" تقول أنت. لدى المتسللين
حل بديل يسمى تبديل الشريحة (SIM Swapping) . يتصلون بمشغل شبكة الجوال الخاص بك، ويتظاهرون بأنهم أنت (باستخدام بيانات مسربة مثل عنوانك أو رقم هويتك)، ويدعون أنهم فقدوا هاتفهم. يقوم المشغل بنقل رقم هاتفك
إلى بطاقة SIM الخاصة بالمخترق. الآن، عندما ترسل سوني رمز تسجيل الدخول، يستلمه المخترق ، وليس أنت. الرسائل القصيرة ليست طبقة أمان؛ إنها طبقة راحة بها ثقوب ضخمة. الهندسة الاجتماعية: اختراق وكيل الدعم أكثر
النواقل رعباً - والمستخدمة على الأرجح في الهجمات البارزة الأخيرة - هي مهاجمة موظفي دعم سوني، وليس الخوادم. يتصل المخترق بدعم PlayStation عبر الدردشة، مدعياً أنه فقد الوصول إلى بريده الإلكتروني. إذا لم
يكن وكيل الدعم مدرباً جيداً، أو إذا قدم المخترق بيانات "تحقق" كافية (مثل الرقم التسلسلي للكونسول، والذي يمكن تخمينه أحياناً أو العثور عليه في الصور)، فقد يقوم الوكيل بإعادة تعيين البريد الإلكتروني يدوياً،
اقرأ المزيد على الموقع