الخلاصة السريعة

تعني اختراقات من فئة Salt Typhoon أن رموز SMS للمصادقة الثنائية قابلة للاعتراض على طبقة إشارة المشغّل، لا على هاتفك وحده. تطبيقات المصادقة TOTP (Google Authenticator وMicrosoft Authenticator وAuthy و1Password وBitwarden) لا تتأثر بالاعتراض على مستوى المشغّل لأن الرمز يُولَّد على جهازك من سر مشترك. إرشادات CISA لشبكات الجوّال الصادرة في ديسمبر 2024 صريحة: ابتعدوا عن SMS. رقِّ اليوم حساباتك على Google وApple وMicrosoft وCoinbase وBinance وGitHub وX وDiscord وInstagram وFacebook وSteam إلى TOTP. انقل البنوك والبريد الإلكتروني إلى مفاتيح FIDO2 الفعلية أو مفاتيح المرور Passkeys إن دعمت ذلك. الميزانية الزمنية: 12 دقيقة لكل حساب.

ما الذي تغيّر في أمن المصادقة الثنائية الأمريكية خلال 2024 و2025

طوال معظم عصر SMS كعامل ثانٍ، كان نموذج المخاطر العملي واضحاً. إما أن يقوم مهاجم بتبديل شريحة SIM الخاصة بك (بهندسة اجتماعية يخدع بها موظف متجر المشغّل لينقل رقمك)، أو يُشغّل طقم تصيّد يُمرّر صفحة دخول مزيفة ويلتقط الرمز في الوقت الفعلي. الفئة الأولى كانت نادرة ومُكلفة ومُوجَّهة في معظمها ضد أهداف عالية القيمة. الفئة الثانية كانت تُهزَم بيقظة المستخدم الأساسية وبتدفقات مقاومة التصيّد الحديثة. اعتُبرت SMS عموماً كافية للحساب العادي.

كسرت Salt Typhoon هذا النموذج علناً. وفقاً لتصريحات FCC الرسمية وتغطية Wired وWall Street Journal من أواخر 2024 إلى 2025، نجحت الحملة في الحصول على وصول مستمرّ إلى المعدات التي تحمل المكالمات والرسائل والإشارة بين كبار المشغّلين الأمريكيين. مثل هذا الوصول يُغيّر ما يستطيع المهاجم رؤيته وفعله على طبقة البروتوكول. هم لا يسرقون هاتفاً، بل يجلسون على السلك الذي يوصل رمز SMS من خدمة التحقق إلى هاتفك.

جاء ردّ CISA في 18 ديسمبر 2024 على شكل النشرة المشتركة AA24-352A "إرشادات الرؤية المعزّزة وتحصين البنية التحتية للاتصالات" مع FBI وNSA وCSE، إضافة إلى ورقة "إرشادات أفضل ممارسات اتصالات الجوّال" الموجّهة للمستهلكين. إرشادات المشغّلين تقنية، أما ورقة المستهلكين فصفحتان فقط، وعنوان الإجراء فيها لا لبس فيه: لا تستخدم SMS كعامل ثانٍ؛ استخدم مصادِقاً مقاوماً للتصيّد بدلاً منها.

هذه ليست نصيحة نظرية. تُحذّر NIST SP 800-63B من المصادقة عبر SMS منذ 2017. كان كشف Salt Typhoon في 2024 هو اللحظة التي تحوّل فيها هذا التراجع الأكاديمي إلى إلحاح تشغيلي. معظم من يقرأ هذا المقال ما زال يستقبل رموز SMS لحساب حساس واحد على الأقل. هذا ما يجب أن يتغيّر.

ما الذي نشرته CISA فعلاً في ديسمبر 2024

تتجنّب الإرشادات الفنية أي نقاش حول نسبة التهديد إلى دولة بعينها، وتركّز على السلوكيات المرصودة. ثلاث نقاط تهمّ الإنسان العادي.

  • إشارة المشغّل مخترقة في بعض الشبكات. تصف النشرة اختراقات طالت المعدات التي يستخدمها المشغّلون لتوجيه الحركة بين بعضهم البعض. هذه هي الطبقة التي يستطيع فيها المهاجم طلب رسائل SMS أو إعادة توجيهها دون أن يلمس هاتفك أبداً.
  • يجب استبدال رموز SMS لمرة واحدة بمصادقة مقاومة للتصيّد. تذكر ورقة المستهلكين مفاتيح الأمان الفعلية وتطبيقات المصادقة بوصفها البدائل المُوصى بها، بهذا الترتيب. أما SMS فمُدرجة صراحة تحت بند "تجنّب".
  • المراسلة المُشفّرة طرفاً إلى طرف هي الحدّ الأدنى الجديد للمحادثات الحساسة. توجّه الإرشادات المستهلكين إلى Signal، وiMessage بين أجهزة Apple، وGoogle Messages بنظام RCS بين أجهزة Android. أما SMS وRCS العابرة للمنصّات بلا تشفير طرفي، فمُعاملة افتراضياً على أنها مكشوفة.

لا تُسمّي الإرشادات دولة بعينها، ولا تحتاج إلى ذلك. السلوكيات هي الوقائع التشغيلية؛ أما السياسات فمتروكة لـ FCC والبيت الأبيض. بالنسبة للمستخدم النهائي، الخلاصة المهمّة أن افتراض الثقة الذي اعتمدت عليه SMS دائماً، وهو أن إشارة المشغّل آمنة افتراضياً، لم يعد قابلاً للاستمرار.

كيف يعمل اعتراض SMS فعلياً على مستوى المشغّل

تفشل SMS أمام عدة فئات من الهجمات، يستهين بها المستخدم العادي.

إساءة استخدام SS7 وDiameter. SS7 بروتوكول إشارة قديم يربط شبكات الجوّال العالمية منذ سبعينيات القرن الماضي. وDiameter هو خليفته الحديث المستخدم في LTE و5G. كلاهما صُمّم في زمن لم يكن يلمسه سوى حفنة من المشغّلين الوطنيين الموثوقين، ولا يتضمّن أي مصادقة لهوية الطرف الآخر في طلب الإشارة. مهاجم يصل إلى مشغّل سيّئ التهيئة أو إلى محور SS7 مخترَق، يستطيع إصدار رسالة "تحديث موقع المشترك" أو "إعادة توجيه SMS" لتحويل النصوص المُوجّهة لرقمك إلى عقدة يتحكّم بها. الخدمة المُرسِلة، بنكك أو Google، ترى أن التسليم تمّ. أنت لا ترى شيئاً، ولا يصلك النص. يقرأ المهاجم الرمز ويستخدمه. هذا ليس جديداً؛ فقد أثبت الباحثون هذه المخاطر منذ 2014. ما تغيّر في 2024 هو أن الوصول المطلوب لتنفيذها على نطاق واسع لم يعد فرضية.

هجمات VoLTE وIMS في 5G. الصوت عبر LTE والنظام الفرعي للوسائط المتعدّدة عبر IP في 5G يُمرّران SMS كحزم على شبكة IP الخاصة بالمشغّل. أظهرت أبحاث أكاديمية حديثة نُشرت بين 2024 و2025 أن وصلات IMS سيّئة التهيئة تُسرّب محتوى SMS بشكل نصّي صريح في بعض الشبكات، وأن مهاجمين موجّهين متمركزين عند مشغّل يمكنهم قراءة SMS دون أن يلمسوا SS7 أصلاً. تُشير إرشادات CISA الموجّهة للمشغّلين في ديسمبر 2024 إلى "الإشارة المعتمدة على IP" بوصفها أولوية تحصين محدّدة. هذه هي طبقة IMS.

هجمات المحطّات الأساسية المزيّفة (IMSI catcher). جهاز صغير في شاحنة مركونة يُجبر الهواتف القريبة على الارتباط به كبرج خلوي مزيّف. يمكن التقاط SMS أثناء العبور. كان هذا هجوماً على مستوى الدول قبل عشر سنوات. أما اليوم، فالعتاد متاح في القنوات التجارية بأقل من بضعة آلاف من الدولارات. مُوجَّه لا جماعي، لكنه حقيقي.

تبديل شريحة SIM. النسخة الاستهلاكية من المشكلة نفسها. يتّصل مهاجم بمشغّلك أو يزور متجره، ينتحل شخصيتك ببيانات شخصية مسروقة (تُشترى عادة في منتديات سرّية)، ويُقنع موظف المتجر بنقل رقمك إلى شريحة بحوزته. يموت هاتفك. يصل رمز SMS التالي إليه. وثّق Krebs on Security عشرات حالات تبديل SIM عالية القيمة خلال 2024 و2025، بينها سرقات عملات رقمية بستة أرقام. اعتمدت FCC قواعد جديدة لتبديل SIM ونقل الأرقام سارية منذ يوليو 2024 خصيصاً لإبطاء هذا الهجوم، لكن التطبيق على موظفي المتاجر يظل متفاوتاً.

الخيط المشترك: SMS كعامل ثانٍ يفترض أن المسار بين خدمة التحقق وهاتفك خاص. لا يحتاج أيّ من هذه الهجمات إلى كسر التشفير؛ بل تلتفّ حوله جميعها. أما TOTP، فلا يُرسِل رمزاً عبر أي مسار شبكي أصلاً.

لماذا لا تتأثر تطبيقات المصادقة TOTP

تُعرَّف TOTP في RFC 6238. حين تمسح رمز QR لإعداد Google Authenticator أو أي تطبيق متوافق، ما يُخزَّن على جهازك هو سرّ مشترك. كل 30 ثانية، يدمج التطبيق هذا السر مع طابع Unix الزمني الحالي عبر HMAC-SHA1، فيُنتج رمزاً من 6 إلى 8 أرقام. الخادم، الذي يحتفظ بالسرّ نفسه، يُجري الحساب نفسه ويقبل رمزك إذا تطابق.

لا يوجد إرسال للرمز عبر أي شبكة قبل أن تكتبه أنت. لا توجد SMS. لا يتدخّل مشغّل. لا توجد طبقة SS7. لا يغادر السرّ المشترك جهازك بعد مسح QR الأولي. مهاجم يمتلك إشارة شبكة مشغّل أمريكي لا يستطيع قراءة رمز TOTP الخاص بك ولا تزويره، لأن الرمز لا يعبر شبكة المشغّل في أي مرحلة.

لهذا تُقدّم CISA وNIST، وعملياً كل إرشاد مصادقة حديث، تطبيقات TOTP فوق SMS. ليست مثالية. طقم تصيّد يُمرّر صفحة دخول مزيفة لا يزال قادراً على خداعك لكتابة رمز TOTP في الموقع الخطأ. تلك فئة هجوم مختلفة (تناولنا نسختها الحديثة في تحليلنا المعمّق لتجاوز المصادقة الثنائية بهجوم الخصم في المنتصف). لكن اختراقات شبكات الاتصالات من فئة Salt Typhoon لا علاقة لها على الإطلاق بـ TOTP.

التطبيقات الأربعة الجديرة بالتثبيت في مايو 2026:

  • Google Authenticator (iOS وAndroid). يدعم الآن نسخاً احتياطياً سحابياً مرتبطاً بحساب Google، فلا تفقد الرموز عند تبديل الهاتف. فعّل خيار النسخ الاحتياطي عند التثبيت، وإلا ستندم يوم يتعطّل هاتفك.
  • Microsoft Authenticator (iOS وAndroid). قوي لبيئات Microsoft 365 وAzure، يدعم تطابق الأرقام للسيناريوهات المؤسسية (شرحنا لماذا يهزم تطابق الأرقام هجمات إغراق إشعارات MFA)، ويوفّر نسخاً احتياطياً عبر iCloud وحساب Microsoft.
  • Authy (iOS وAndroid وسطح المكتب). مزامنة متعدّدة الأجهزة عبر منصّة Twilio المالكة، مفيد إن أردت رمزاً على لابتوبك دون هاتفك. خسر بعض الثقة في 2024 بعد اختراق كشف 33 مليون رقم هاتف (لا أسرار، لكن تذكير بأن المزامنة السحابية تنطوي على مقايضات).
  • 1Password وBitwarden. كلا مديري كلمات المرور يُخزّنان أسرار TOTP إلى جانب كلمات المرور بتشفير طرفي كامل. خيار جيد إن كنت تستخدم مدير كلمات مرور أصلاً وأردت تطبيقاً واحداً أقل.

قاعدة تثبيت واحدة. حين تمسح رمز QR، احفظ أيضاً أكواد الاسترداد التي تعرضها لك الخدمة على الشاشة نفسها. سنعود لهذه النقطة لاحقاً لأن الجميع تقريباً يتخطّاها، والجميع تقريباً يندم.

طبقة المفاتيح الفعلية وموقع مفاتيح المرور Passkeys

فوق TOTP تأتي المصادقة المقاومة للتصيّد. التطبيق المرجعي هو مفتاح أمان FIDO2 فعلي مثل YubiKey أو Google Titan أو OnlyKey. تلمس المفتاح، يتبادل المتصفّح تحدّياً تشفيرياً مع الموقع، ويُربط الردّ بنطاق المجال الذي تتصفّحه بالضبط. موقع تصيّد على نطاق متشابه لا يستطيع إعادة تشغيل الردّ أو تمريره لأن النطاق في التحدّي لن يتطابق. هذه هي الفئة الوحيدة من العامل الثاني التي تهزم أطقم تصيّد الخصم في المنتصف في الوقت الفعلي.

أما مفاتيح المرور Passkeys، التي رسمتها مبادرة FIDO Alliance لمفاتيح المرور، فهي بيانات اعتماد FIDO2 مخزّنة في منصّتك (iCloud Keychain على Apple، Google Password Manager على Android، Windows Hello على Microsoft) ومُتزامنة عبر أجهزتك الموثوقة. التشفير مطابق لمفتاح الأمان الفعلي. المقايضة أن بيانات الاعتماد تعيش في خزينة مُتزامنة سحابياً بدلاً من رمز فعلي، وهو أسهل للناس العاديين لكنه يُدخل أمن حساب مزوّد الخزينة ضمن نموذج التهديد. بحسب تقارير FIDO Alliance لعام 2024، عبر دعم Passkeys كل خدمة استهلاكية كبرى (Google وApple وMicrosoft وAmazon وPayPal وeBay وGitHub وX وWhatsApp وTikTok وAdobe). كثير من الخدمات تتيح إعداد Passkeys دون أي عتاد إضافي.

الترتيب العملي لعام 2026:

  1. مفتاح FIDO2 فعلي (YubiKey أو Titan). الأقوى. الأنسب لحسابات استرداد البريد، وتسجيل الدخول للبنوك، وحسابات المسؤول المؤسسية، ومنصّات تداول العملات الرقمية.
  2. مفتاح مرور على جهاز موثوق. يكاد يُضاهيه قوة، وتجربة استخدام أسهل، مناسب للحسابات الاستهلاكية. استخدمه لـ X وDiscord وSteam وAmazon وeBay.
  3. تطبيق مصادقة TOTP. أرضية جيدة لكل ما لا يدعم بعد مفاتيح المرور. انقل كل حساب يستخدم SMS إلى هذه الأرضية.
  4. SMS للمصادقة الثنائية. فقط كاحتياط مؤقّت، فقط حين لا يتوفّر غيره. خطّط لإزالته.
  5. بلا مصادقة ثنائية إطلاقاً. غير مقبول على أي حساب يحوي مالاً أو هوية أو بيانات عمل.

سلّم الترقية بجملة لكل مرتبة

إن لم تأخذ من هذا المقال شيئاً، فخذ هذا. انقل كل حساب يدعم ذلك إلى TOTP. انقل الحسابات الأهمّ (استرداد البريد، البنك، منصّة العملات الرقمية الأساسية، هوية العمل) إلى مفاتيح FIDO2 الفعلية أو مفاتيح المرور. عطّل SMS للمصادقة الثنائية حيثما استطعت دون فقدان الاسترداد. اطبع أكواد الاسترداد. خزّنها في مكان آمن غير هاتفك.

انقل حسابك على Google إلى TOTP في 6 دقائق

Google هي البداية الصحيحة لأن Gmail هو مسار الاسترداد لمعظم حساباتك الأخرى. إذا اختُرق بريدك، لا تنفع بقيّة الترقيات.

  1. افتح myaccount.google.com/security.
  2. تحت "كيف تسجّل الدخول إلى Google"، اضغط "التحقق بخطوتين".
  3. اضغط "تطبيق المصادقة" واتّبع إرشادات رمز QR. امسح بـ Google Authenticator (أو 1Password أو Bitwarden). تحقّق برمز واحد.
  4. انزل إلى "الرسائل الصوتية أو النصية" واضغط أيقونة الحذف (سلّة المهملات). يُزيل ذلك SMS كعامل ثانٍ. ستحذّرك Google. أكِّد.
  5. اصعد إلى "الأكواد الاحتياطية" ونزّل أو اطبع الأكواد العشرة لمرة واحدة. خزّنها في مدير كلمات المرور وعلى ورقة في مكان آمن غير متّصل بالإنترنت.
  6. اختياري لكن موصى به بشدّة: تحت "مفاتيح المرور والأمان"، أعدّ مفتاح مرور على الجهاز الذي أمامك وYubiKey إن كنت تملك واحداً.

كرّر التدفّق نفسه لكل حساب Google ثانوي (عمل، مشروع جانبي، عائلة). خمس دقائق لكل واحد.

انقل Apple ID إلى عوامل ثانية مقاومة للتصيّد

Apple لا تتيح إيقاف المصادقة الثنائية لـ Apple ID لأنها مدمجة بـ iCloud. ما يمكنك فعله هو التأكّد من نظافة قائمة الأجهزة الموثوقة، وإضافة جهات اتصال للاسترداد، وطباعة مفتاح الاسترداد.

  1. على iPhone، افتح الإعدادات، اضغط اسمك، ثم تسجيل الدخول والأمان، ثم المصادقة الثنائية.
  2. راجع قائمة الأجهزة الموثوقة. أزل ما لا تعرفه. كل جهاز موثوق متبقٍ يعمل كعامل ثانٍ يُكافئ مفتاح مرور.
  3. اضغط "استرداد الحساب" وأضف جهة اتصال استرداد واحدة على الأقل (فرد عائلة موثوق بحساب Apple ID) ووَلِّد مفتاح استرداد. اكتب مفتاح الاسترداد. خزّنه دون اتصال.
  4. اضغط "رقم الهاتف الموثوق" وأضف رقماً ثانياً تتحكّم به. ستظل SMS لـ Apple ID تصل إليه، لكنه لم يعد طريقك الوحيد للعودة.
  5. إن كنت تستخدم Apple Pay أو لديك بصمة كبيرة في iCloud Keychain، أعدّ مفتاح أمان فعلياً واحداً على الأقل تحت تسجيل الدخول والأمان، مفاتيح الأمان. الإعداد القياسي: YubiKey للجيب، وآخر مخزّن في مكان آمن.

انقل حسابات Microsoft 365 وحسابات Microsoft الشخصية

  1. افتح account.microsoft.com/security.
  2. اضغط "خيارات الأمان المتقدّمة".
  3. تحت "طرق إثبات هويتك"، اضغط "أضف طريقة جديدة لتسجيل الدخول أو التحقق" واختر "استخدام تطبيق". أعدّ Microsoft Authenticator.
  4. بمجرد عمل Authenticator، أزل رقم هاتف SMS من الشاشة نفسها. ستحذّرك Microsoft. أكِّد.
  5. انزل إلى "مفاتيح المرور والأمان" وأضف مفتاحاً فعلياً أو مفتاح مرور للمنصّة. Microsoft 365 هي أكثر هوية سحابية استهلاكية مُستهدَفة في 2026 (راجع تحليلنا لتحذير FBI من Kali365 لتعرف السبب)، فيستحق هذا الحساب عاملاً فعلياً إن استحقه أي حساب.
  6. وَلِّد كود استرداد واحفظه تحت "كود الاسترداد".

انقل منصّات تداول العملات الرقمية (Coinbase وBinance)

حسابات منصّات العملات الرقمية هي أعلى أهداف تبديل SIM قيمة على الإنترنت. انقلها بعيداً عن SMS أولاً وثانياً وثالثاً.

  • Coinbase. الإعدادات، الأمان، التحقق بخطوتين، اختر Authenticator. امسح بـ Google Authenticator. تحقّق. ثم أزل SMS من الشاشة نفسها. تتيح Coinbase أيضاً اشتراط YubiKey للسحوبات؛ فعّل ذلك إن كانت أرصدتك معتبرة. اطبع أكواد الاحتياط واخزنها.
  • Binance. قائمة الأمان، المصادقة الثنائية، فعّل تطبيق المصادقة. عطّل SMS بعد عمل Authenticator. تدعم Binance أيضاً مفاتيح أمان FIDO2 ومفاتيح المرور؛ فعّل واحداً على الأقل. احفظ سرّ المصادقة الثنائية ومفتاح الاسترداد في مدير كلمات المرور.
  • Kraken وGemini وBitstamp وBitGo وCrypto.com. النمط نفسه. انقل إلى TOTP، ثم أضف مفتاح مرور أو YubiKey إن توفّر، ثم أزل SMS.

سحوبات منصّات العملات الرقمية هي المكان الذي يُفرغ فيه تبديل SIM المحافظ فعلاً. خطر اعتراض SMS على مستوى المشغّل هو التزيين فوق كعكة كانت تحترق. إن كنت تحوز أرصدة معتبرة، فعّل أيضاً قوائم العناوين المسموح بها وأقفال زمن السحب حيثما تُدعم.

انقل منصّات التواصل: X وInstagram وFacebook وDiscord وSteam

الحسابات الاجتماعية تُختطف لاحتيالات الانتحال (تناولنا احتيال الاعتقال المزيف بالاستنساخ الصوتي)، وللإضرار بالسمعة، ولاستخدامها منصّات إطلاق لتصيّد إضافي. التدفّق نفسه، بمسارات قوائم مختلفة قليلاً.

  • X (تويتر سابقاً). الإعدادات، الأمان والوصول إلى الحساب، الأمان، المصادقة الثنائية. فعّل "تطبيق المصادقة". عطّل "الرسائل النصية". أضف مفتاح مرور أو مفتاح أمان في الشاشة نفسها. وَلِّد كود احتياط. ملاحظة: تشترط X اشتراك Blue / Premium المدفوع لاستخدام SMS للمصادقة الثنائية أصلاً، لكن خيار TOTP المجاني هو المطلوب على أي حال.
  • Instagram. الإعدادات، مركز الحسابات، كلمة المرور والأمان، المصادقة الثنائية. اختر الحساب. فعّل تطبيق المصادقة. عطّل SMS. احفظ أكواد الاسترداد.
  • Facebook. المسار نفسه عبر مركز الحسابات. أضف مفتاح مرور وأنت هناك؛ دعم Facebook لمفاتيح المرور صدر أواخر 2024.
  • Discord. إعدادات المستخدم، حسابي، فعّل تطبيق المصادقة. احفظ أكواد الاحتياط فوراً (لا تعرضها Discord لاحقاً بسلاسة). عطّل SMS Backup في الشاشة نفسها.
  • Steam. Steam Guard عبر تطبيق Steam Mobile يُكافئ TOTP وهو الخيار الوحيد الذي توصي به Valve. ثبّت Steam Mobile، فعّل Steam Guard Mobile Authenticator، اكتب كود الاسترداد. تداول Steam يشترط مصادق الجوّال، فيُفتح بذلك تداول أكثر أماناً.

انقل حساب GitHub

بالنسبة للمطوّرين، GitHub هو الهوية. حساب GitHub مخترَق قد يقود إلى التزامات خبيثة في مشاريع مشتركة، واستيلاء على حزم NPM وPyPI، وتسريب أسرار Actions. عامله كحساب مسؤول.

  1. افتح github.com/settings/security.
  2. تحت "المصادقة الثنائية"، اضغط تفعيل 2FA. اختر تطبيق المصادقة. امسح بمصادقك. تحقّق.
  3. احفظ أكواد الاسترداد ذات الستة عشر حرفاً فوراً. تعرضها GitHub مرة واحدة فقط.
  4. تحت "Passkeys"، أضف مفتاح مرور أو مفتاح أمان فعلياً.
  5. إن كان لديك رقم SMS على الحساب، أزله بعد عمل Authenticator وPasskey معاً.
  6. إن كنت تنشر حزماً أو تدير مستودعات بمتعاونين، فعّل أيضاً اشتراط توقيع الالتزام وراجع رموز الوصول الشخصية لأي رمز بصلاحيات واسعة.

قاعدة طباعة أكواد الاسترداد

كل خدمة من الخدمات أعلاه ستعرض عليك كود استرداد لمرة واحدة، أو مفتاح استرداد، أو قائمة أكواد احتياطية أثناء الترقية. عاملها كأهمّ سلاسل في حياتك. فهي طريقك للعودة حين يموت هاتفك، أو يتعطّل تطبيق المصادقة، أو تفقد الجهاز الذي أعددت عليه مفتاح المرور.

القاعدة بثلاثة أجزاء.

  1. احفظها في مدير كلمات المرور. 1Password وBitwarden وApple iCloud Keychain وGoogle Password Manager كلها تدعم الملاحظات الآمنة. ضع أكواد الاسترداد هناك، مع وسم اسم الخدمة والتاريخ.
  2. اطبع نسخة ورقية واحدة. نعم، ورق. خزّنها في صندوق وثائق مقاوم للحريق، أو خزينة منزلية، أو لدى فرد عائلة موثوق. نموذج تهديد الاسترداد هو "احترق بيتي وهاتفي في النهر"، لا "مهاجم يقرأ بريدي". الورق يصمد أمام الأول.
  3. لا تخزّن أكواد الاسترداد على الجهاز نفسه الذي يحوي تطبيق المصادقة فقط. إن كانت على الهاتف نفسه، فقدان الهاتف يفقدهما معاً. الهدف فصل عامل الاسترداد عن العامل الأساسي.

تخطّي هذه الخطوة هو السبب الأشيع لانتهاء الناس مُقفلين خارج حساباتهم بعد ترقية المصادقة الثنائية. تستغرق 90 ثانية لكل حساب. افعلها الآن.

ماذا تفعل إن وقعت ضحية تبديل SIM فعلاً

ستعرف ذلك حين يفقد هاتفك الخدمة فجأة ولا تستطيع إجراء مكالمات أو إرسال رسائل. تختفي الإشارة وتعرض أيقونة الشريحة "لا توجد خدمة" أو "SOS فقط". إن حدث ذلك دون تفسير (لم تبدّل هاتفك، ولم تُغيّر باقتك)، فافترض نقلاً غير مشروع وتحرّك خلال الـ 15 دقيقة التالية.

  1. اتّصل بمشغّلك من هاتف آخر. Verizon 800-922-0204، وAT&T 800-331-0500، وT-Mobile عبر 611 من خطّ T-Mobile آخر أو 800-937-8997. أخبرهم بأنك تشتبه بنقل غير مشروع. اطلب عكس النقل وقفل الحساب.
  2. من جهاز نظيف معروف، سجّل دخولك إلى أهم حساباتك بترتيب الأولوية: البريد الأساسي أولاً، ثم البنك، ثم منصّة العملات الرقمية، ثم البقية. غيّر كلمات المرور. ألغِ الجلسات النشطة. أزل SMS كخيار مصادقة ثنائية. أضف مفتاح مرور أو TOTP.
  3. قدّم بلاغات. شكوى مستهلك FCC على consumercomplaints.fcc.gov، وFBI IC3 على ic3.gov، وFTC على reportfraud.ftc.gov. إن انتقل مال، فمحضر شرطتك المحلي مطلوب أيضاً لأي مطالبة استرداد أو تأمين.
  4. عيّن رمز PIN لنقل الرقم لدى مشغّلك لا يكون رقم هاتفك ولا تاريخ ميلادك. كل مشغّلي الولايات المتحدة الكبار الأربعة يوفّرون رمز PIN منفصلاً لنقل الرقم مختلفاً عن رمز PIN الحساب. عيّن الاثنين، اجعلهما طويلين، خزّنهما في مدير كلمات المرور. هذا أكبر إجراء وقائي ضد تكرار تبديل SIM.
  5. انقل البريد والبنك بعيداً عن SMS نهائياً. إن لم تفعل قبل التبديل، فافعل الآن.

لماذا ننشر هذا الآن

يقضي SafeBrowz معظم وقته في حجب صفحات التصيّد في المرحلة الثانية التي تستهدف رمز المصادقة الثنائية بعد نجاح الهندسة الاجتماعية. نرى الأطقم. نرى النطاقات المتشابهة. نرى البنية التحتية لوكلاء الخصم في المنتصف التي تلتقط رمز TOTP في الوقت الفعلي وتعيد تشغيله خلال 30 ثانية. الجواب الصحيح لتلك الفئة من الهجمات هو المصادقة المقاومة للتصيّد: المفاتيح الفعلية ومفاتيح المرور.

لكن شرط ذلك الحوار أن المستخدم لم يعد على SMS للمصادقة الثنائية. ما دامت SMS هي العامل الثاني، لا تُهمّ أيّ من التحسينات اللاحقة. كانت Salt Typhoon اللحظة العامة التي انهارت فيها الأرضية الفنية لـ SMS. قالت CISA ذلك صراحة. تقوله NIST منذ سنوات. الانتقال إلى TOTP هو الأرضية لا السقف.

سبب آخر للتحرّك الآن. طبقة إشارة الاتصالات نفسها التي تُسلّم رمز SMS للمصادقة الثنائية، تُسلّم أيضاً SMS لاسترداد الحساب من إعادة كلمات المرور، ومطالبات "هل هذا أنت من يسجّل الدخول؟" بخطوتين، وتنبيهات الاحتيال النصية من بنكك. حتى لو نجحت في ترقية تدفّق المصادقة الثنائية نفسه، فكل خدمة تعامل رقم هاتفك كعامل هوية احتياطي تظل مكشوفة على الخطر نفسه. إزالة SMS من مسار أمنك تعني إزالتها من كل مكان تعمل فيه كعامل استرداد، لا حيث تظهر كرمز فقط. دقّق في حقول "رقم هاتف بديل" و"هاتف استرداد" لكل حساب بالانضباط نفسه الذي طبّقته على حقول المصادقة الثنائية. لا يكتمل الانتقال إلا حين تتوقّف الثقة بـ SMS في أي مكان داخل حساباتك.

كيف يحجب SafeBrowz تصيّد رموز المصادقة الثنائية في المرحلة الثانية

الترقية من SMS إلى TOTP تُزيل سطح الهجوم على مستوى المشغّل. لا تُزيل سطح التصيّد. الهجوم التالي الذي ستواجهه بعد الترقية هو صفحة دخول متشابهة تسألك رمز TOTP في الوقت الفعلي وتُمرّره إلى جلسة المهاجم ضمن نافذة الـ 30 ثانية. تلك الفئة من الهجمات هي بالضبط ما بُني محرّك كشفنا لاصطيادها.

يُشغّل SafeBrowz معمارية كشف ثلاثية الطبقات: محلية + واجهات برمجة + ذكاء اصطناعي.

  • الطبقة 1 - الكشف المحلي: أكثر من 60 نمط رابط بالإضافة إلى 550+ توقيع علامة تجارية محدّد (Google وApple وMicrosoft وCoinbase وBinance وGitHub وX وDiscord وInstagram وFacebook وSteam، وكل بنك ومنصّة عملات في قائمة تغطيتنا)، بالإضافة إلى كشف الحروف السيريلية وPunycode، بالإضافة إلى قوائم حجب المجتمع، تعمل كلها مباشرة داخل الإضافة قبل عرض الصفحة. صفحات الدخول المتشابهة للخدمات التي رقّيتها للتوّ تُمسك على طبقة الرابط.
  • الطبقة 2 - سمعة الواجهات البرمجية: تجميع جانب الخادم لـ Google Safe Browsing وPhishTank وURLhaus وScamAdviser و30+ من قواعد TLDs الاحتيالية. النطاقات المتشابهة المُسجّلة حديثاً (تُدير معظم أطقم التصيّد بطريقة الخصم في المنتصف نطاقات تتغيّر كل 24 إلى 72 ساعة) تظهر في هذه الموجزات بسرعة.
  • الطبقة 3 - فحص AI العميق (Premium): محلّل محتوى متعدّد اللغات يقرأ الصفحة المعروضة ويتعرّف على نية الهندسة الاجتماعية بصرف النظر عن النطاق. لفئة تصيّد رموز المصادقة الثنائية، التوقيع المميّز هو "نموذج دخول بعلامة تجارية على مضيف غير قانوني يطلب رمزاً من ستة أرقام". مستخدمو Premium يحصلون على هذه الطبقة بأكثر من 100 لغة.

توقيعات الكشف مأخوذة من أبحاث استخبارات التهديدات وقاعدة بياناتنا الداخلية للعلامات التجارية، لا من بيانات تصفّح المستخدمين. لا يُخزّن SafeBrowz سجلّ تصفّح خاصاً بأي مستخدم.

اقرن SafeBrowz بترقية TOTP لتُغلق نصفَي نموذج هجوم المصادقة الثنائية الحديث: نصف إشارة المشغّل (يحلّه TOTP)، ونصف صفحات الدخول المتشابهة (يحلّه SafeBrowz).

احجب صفحة دخول المصادقة الثنائية المتشابهة قبل أن تطلب رمزك

SafeBrowz إضافة متصفّح مجانية لـ Chrome وFirefox وEdge تُشغّل محرّك كشف ثلاثي الطبقات (محلية + واجهات برمجة + ذكاء اصطناعي) على كل صفحة قبل عرضها. أكثر من 550 علامة تجارية مُتتبَّعة، منها Google وApple وMicrosoft وCoinbase وBinance وGitHub وكل بنك رئيسي. Premium يضيف تحليل محتوى بالذكاء الاصطناعي بأكثر من 100 لغة مقابل 14.99 دولاراً سنوياً، ثلاثة أجهزة لكل رخصة. انظر الأسعار.

Chrome أضف إلى Chrome Firefox أضف إلى Firefox Edge أضف إلى Edge

الأسئلة الشائعة

هل SMS للمصادقة الثنائية غير آمنة فعلاً للشخص العادي، أم للأهداف عالية القيمة فقط؟

غير آمنة للفئتين في 2026، لكن بمقاييس مختلفة. تبديل SIM وإساءة استخدام SS7 نزلا في سلّم التهديد من حصري للدول إلى مجرمين فرصيّين، خصوصاً للحسابات التي تحوي أرصدة عملات رقمية أو بنكية. إرشادات CISA الموجّهة للمستهلكين في ديسمبر 2024 مكتوبة للشخص العادي لا للأهداف عالية القيمة وحدها. كلفة الترقية إلى TOTP نحو 12 دقيقة لكل حساب؛ كلفة الخطأ هي حسابك.

إن انتقلت من SMS إلى TOTP، هل أصبح في مأمن من التصيّد؟

أكثر أماناً، لا محصّن. يهزم TOTP الاعتراض على مستوى المشغّل وتبديل SIM كلياً. لا يهزم طقم تصيّد بطريقة الخصم في المنتصف في الوقت الفعلي يلتقط الرمز وأنت تكتبه ويعيد تشغيله ضمن نافذة الـ 30 ثانية. للحسابات الأهمّ (استرداد البريد، البنك، منصّة العملات الرقمية الأساسية، هوية العمل)، رقّ ما بعد TOTP إلى مفاتيح FIDO2 الفعلية أو مفاتيح المرور، لأنها مرتبطة بنطاق المصدر بالضبط ولا يستطيع وكيل تمريرها.

أي تطبيق مصادقة أُثبّت إن كان عليّ اختيار واحد؟

Google Authenticator هو الافتراضي الأكثر أماناً لمعظم المستخدمين لأن خيار النسخ الاحتياطي مدمج جيداً، والواجهة بسيطة، ومن غير المرجّح أن يختفي. Microsoft Authenticator هو الخيار الصحيح إن كنت تعيش في Microsoft 365 أو Azure. 1Password أو Bitwarden مناسبان إن كنت تستخدم مدير كلمات مرور أصلاً وأردت تطبيقاً واحداً أقل لإدارته. Authy جيد فنياً لكن اختراق أرقام الهواتف في 2024 يجعلنا أقل حماسة لترشيحه للمستخدمين الجدد.

ماذا يحدث لرموز TOTP إن فقدت هاتفي؟

إن فعّلت النسخ الاحتياطي السحابي (Google Authenticator بحساب Google، وMicrosoft Authenticator بحساب Microsoft، و1Password وBitwarden افتراضياً، وAuthy افتراضياً)، فستُستعاد الرموز على هاتف جديد بعد تسجيل الدخول. إن لم تُفعّله ولم تطبع أكواد الاسترداد لكل حساب، فعليك استخدام تدفّق استرداد الحساب لكل خدمة. لهذا خطوة "طباعة أكواد الاسترداد" ليست اختيارية.

ماذا لو كانت خدمة أستخدمها تعرض SMS للمصادقة الثنائية فقط؟

ثلاثة خيارات بالترتيب. أولاً، راجع صفحة الأمان مرة كل ثلاثة أشهر؛ كثير من الخدمات أضافت دعم TOTP أو مفاتيح المرور بهدوء. ثانياً، اسأل دعم العملاء عن خيار خفي (بعض البنوك تخفي مصادقة أقوى خلف اتصال هاتفي). ثالثاً، عيّن أقوى رمز PIN لنقل الرقم يسمح به مشغّلك، استخدم رقماً ليس هاتفك الأساسي (رقم Google Voice أو eSIM ثانوي مخصّص للمصادقة الثنائية نمط شائع)، وعامل الحساب على أنه أكثر هشاشة في الاسترداد من غيره.

هل اعترضت Salt Typhoon فعلاً SMS المستهلكين على نطاق واسع، أم اعتراضات موجّهة فقط؟

تصف التقارير العامة وصولاً موجّهاً يُركّز على أرقام هواتف محدّدة، بينها أهداف اعتراض قانوني، لا قراءة SMS استهلاكية بالجملة. إرشادات CISA في ديسمبر 2024 احترازية؛ تتعامل مع مستوى الوصول المُثبت بأنه كافٍ لتبرير نقل المستهلكين بعيداً عن SMS، رغم عدم وجود دليل عام على سرقة SMS الجماعية. نموذج التهديد هو "القدرة موجودة في يد خطأ"، لا "تُستخدم ضدّك الآن". في الحالتين، كلفة الانتقال منخفضة بما يكفي ليكون الموقف الاحترازي صحيحاً.

الخلاصة: كانت Salt Typhoon اللحظة العامة التي توقّفت فيها SMS للمصادقة الثنائية عن كونها قابلة للدفاع افتراضياً. إرشادات CISA لا لبس فيها، وNIST في الموقف نفسه منذ 2017، ومسار الانتقال 12 دقيقة لكل حساب مع طباعة ورقية واحدة. انقل كل حساب إلى TOTP اليوم. أضف مفتاحاً فعلياً أو مفتاح مرور للحسابات التي تحوي مالك أو بريدك أو هويتك. احجب صفحة الدخول المتشابهة التي تأتي تالياً. نشرة Salt Typhoon هي التحذير. ما تفعله في الساعة التالية يقرّر هل كنت بحاجة إليه.

آخر تحديث 2026-05-29

مقالات SafeBrowz ذات صلة