البريد الإلكتروني هو المفتاح الرئيسي
تقريباً كل خدمة عبر الإنترنت تقدّم استعادة الحساب عبر البريد الإلكتروني: «نسيت كلمة المرور؟». فمن يتحكّم في عنوان بريدك الإلكتروني يتحكّم إذن، على نحوٍ محتمل، في حسابك على Amazon، وتطبيقك المصرفي، وشبكاتك الاجتماعية، وتخزينك السحابي، وحسابك على Apple ID أو Google.
المهاجم الذي يصل إلى حسابك على Gmail أو Outlook يمكنه تشغيل إعادة تعيين كلمة المرور على أي خدمة مرتبطة به — دون معرفة أي كلمة من كلمات مرورك. فقوّة كلمة مرور Gmail الخاصة بك أهمّ بما لا يُقاس من قوّة كلمة مرور Spotify.
هذا ما يسمّيه محترفو الأمن «الحلقة الأضعف»: لا يستهدف المهاجمون الخدمة الأفضل حماية — بل يستهدفون الخدمة الأقل حماية التي يمكن من خلالها الوصول إلى الخدمات الأخرى.
الهجمات الشائعة على حسابات البريد الإلكتروني
تمثّل أربعة نواقل هجوم الغالبية العظمى من عمليات اختراق البريد الإلكتروني.
التصيّد الموجَّه هو الأكثر تكراراً: بريد إلكتروني ينتحل هوية Google أو Microsoft أو Apple يدعوك إلى إعادة تسجيل الدخول. تلتقط صفحة التصيّد بيانات اعتمادك في الوقت الفعلي. أما حشو بيانات الاعتماد (credential stuffing) فيستغلّ قواعد بيانات كلمات المرور المسروقة من خدمات أخرى (يُدرِج Have I Been Pwned أكثر من 15 مليار حساب مكشوف) — فإذا أعدت استخدام كلمة المرور نفسها، يجرّبها المهاجمون تلقائياً على بريدك. ويختطف تبديل شريحة SIM (SIM swapping) رقم هاتفك من مشغّلك لاعتراض رسائل التحقّق النصية. وتستهدف هجمات القوة الغاشمة (brute force) الحسابات التي لا تملك 2FA وتستخدم كلمات مرور بسيطة.
كيف تحمي بريدك الإلكتروني
خمسة إجراءات ملموسة، مرتّبة حسب الأثر:
- →فعّل المصادقة الثنائية (2FA) — ويُفضَّل عبر تطبيق مصادقة (Google Authenticator، Authy، Aegis) بدلاً من الرسائل النصية المعرّضة لتبديل شريحة SIM.
- →استخدم كلمة مرور فريدة وطويلة (20 حرفاً فأكثر) مُولَّدة بمدير كلمات مرور (Bitwarden، 1Password) — ولا تُعِد استخدامها في مكان آخر أبداً.
- →تحقّق من الجلسات النشطة بانتظام: في Gmail، انقر على «نشاط الحساب» أسفل الصفحة لعرض أي اتصال مشبوه وإغلاقه.
- →فعّل تنبيهات تسجيل الدخول من أجهزة جديدة — يرسل Gmail وOutlook بريداً إلكترونياً أو إشعاراً عند كل عملية دخول جديدة.
- →تجنّب استخدام عنوان بريدك الإلكتروني الرئيسي كاسم دخول على مواقع غير مألوفة — استخدم عنواناً بديلاً (SimpleLogin، Apple Hide My Email).
الأمن الرقمي سلسلة. وحلقتها الأضعف هي غالباً البريد الإلكتروني، لا الخدمة التي تحاول حمايتها. خصّص خمس دقائق اليوم لتفعيل 2FA على حساب بريدك الرئيسي — إنه الإجراء الأوحد صاحب أعلى نسبة حماية إلى جهد في الأمن الرقمي الشخصي.
- Have I Been Pwned — aggregated data-breach database (Troy Hunt), homepage account count
- Google Security Team, with New York University & UC San Diego — “New research: How effective is basic account hygiene at preventing hijacking,” Google Security Blog, 2019
- Kevin Lee, Ben Kaiser, Jonathan Mayer, Arvind Narayanan — “An Empirical Study of Wireless Carrier Authentication for SIM Swaps,” SOUPS 2020, Princeton University
- NIST Special Publication 800-63B — Digital Identity Guidelines: Authentication and Lifecycle Management (§5.1.3.3)
تحقّق من أمان حسابك