أمر لا يصدق: لماذا يفضل المخترقون ملفات تعريف الارتباط؟

نشرح كيفية اعتراض المهاجمين الإلكترونيين لملفات تعريف الارتباط، ودور معرف الجلسة، وكيفية حماية ملفات تعريف الارتباط الخاصة بك من الاستيلاء عليها.

نشرح كيفية اعتراض المهاجمين الإلكترونيين لملفات تعريف الارتباط، ودور معرف الجلسة، وكيفية حماية ملفات تعريف الارتباط الخاصة بك من الاستيلاء عليها.

عندما تفتح أي موقع ويب، فأول شيء من المحتمل أن تراه هو إشعار منبثق عن استخدام ملفات تعريف الارتباط. وعادةً ما تُمنح خيار قبول جميع ملفات تعريف الارتباط أو قبول الملفات الضرورية فقط أو رفضها تمامًا. وبغض النظر عن اختيارك، فمن المحتمل أنك لن تلاحظ أي فرق، وسيختفي الإشعار من الشاشة على أي حال.

اليوم، نتعمق أكثر في عالم ملفات تعريف الارتباط: ما هي ملفات تعريف الارتباط، وما أنواعها، وكيف يمكن للمهاجمين اعتراضها، وما المخاطر المترتبة عليها، وكيفية الحفاظ على أمانك.

ما هي ملفات تعريف الارتباط؟

عندما تزور موقع ويب، فإنه يرسل ملف تعريف ارتباط إلى المستعرض الذي تستخدمه. وهذا ملف نصي صغير يحتوي على بيانات عنك وعن نظامك والإجراءات التي نفذتها على الموقع. ويخزن المستعرض هذه البيانات على جهازك ويرسلها مرة أخرى إلى الخادم كلما عدت إلى الموقع. ويبسّط هذا تفاعلك مع الموقع: لست مضطرًا لتسجيل الدخول إلى كل صفحة تزورها؛ وستتذكر المواقع إعدادات العرض الخاصة بك؛ وستحتفظ المتاجر الإلكترونية بالعناصر في سلة التسوق؛ وستعرف خدمات البث المباشر آخر حلقة شاهدتها – وتطول قائمة فوائدها التي لا حصر لها.

يمكن لملفات تعريف الارتباط تخزين معلومات تسجيل الدخول وكلمة المرور ورموز الأمان ورقم الهاتف وعنوان إقامتك والتفاصيل البنكية ومعرف الجلسة. لنلقِ نظرة عن كثب على معرّف الجلسة.

معرف الجلسة هو رمز فريد يتم تعيينه لكل مستخدم عند تسجيل الدخول إلى موقع ويب. وإذا تمكن طرف ثالث من اعتراض هذا الرمز، سيعتبره خادم الموقع مستخدمًا شرعيًا. ببساطة: تخيل أنك تستطيع دخول مكتبك باستخدام بطاقة إلكترونية تحمل رمزًا فريدًا. وفي حالة سرقة بطاقتك، يستطيع اللص – بغض النظر عن شكله – فتح أي باب مسموح لك بالوصول إليه دون أي مشاكل. وفي غضون ذلك، سيعتقد نظام الأمان أنك أنت من تدخل. يبدو الأمر وكأنه مشهد من مسلسل جريمة، أليس كذلك؟ يحدث نفس الشيء عبر الإنترنت: إذا سرق مخترق ملف تعريف ارتباط يحتوي على معرّف جلستك، فيمكنه تسجيل الدخول إلى موقع ويب سبق لك تسجيل الدخول إليه، باسمك، دون الحاجة إلى إدخال اسم المستخدم وكلمة المرور؛ وفي بعض الأحيان يمكنه حتى تجاوز المصادقة ثنائية العوامل. وفي عام 2023، تمكن مخترقون من سرقة القنوات الثلاث على YouTube الخاصة بالمدون التقني الشهير لينوس سيباستيان – قناة “Linus Tech Tips” وقناتين أخريين تابعتين لمجموعة Linus Media Group، واللتين تمتلكان عشرات الملايين من المشتركين – وهذا هو الأسلوب الذي استخدموه بالضبط. وقد تناولنا هذه الحالة بالتفصيل بالفعل.

ما أنواع ملفات تعريف الارتباط الموجودة؟

الآن، دعنا نصنّف أنواع ملفات تعريف الارتباط المختلفة. ويمكن تصنيف جميع ملفات تعريف الارتباط وفقًا لعدد من الخصائص.

حسب وقت التخزين

  • ملفات تعريف الارتباط المؤقتة أو ملفات تعريف الارتباط الخاصة بالجلسة. تُستخدم هذه الملفات فقط أثناء وجودك على موقع الويب، ويتم حذفها فور مغادرتك. وهي مطلوبة لأمور مثل الاحتفاظ بوضع تسجيل الدخول أثناء تنقلك من صفحة إلى أخرى، أو لتذكر لغتك والمنطقة التي اخترتها.
  • ملفات تعريف الارتباط الدائمة. تبقى هذه الملفات على جهازك بعد مغادرة الموقع. وهي تُجنبك الحاجة إلى قبول سياسات ملفات تعريف الارتباط أو رفضها في كل مرة تزور فيها الموقع. وتدوم هذه الملفات عادةً لمدة عام تقريبًا.

من الممكن أن تصبح ملفات تعريف الارتباط الخاصة بالجلسة دائمة. على سبيل المثال، إذا حددت مربعًا مثل “تذكرني” أو “حفظ الإعدادات” أو ما شابه على موقع ويب، فسيتم حفظ البيانات في ملف تعريف ارتباط دائم.

حسب المصدر

  • ملفات تعريف الارتباط الخاصة بالطرف الأول. يتم إنشاؤها بواسطة موقع الويب نفسه. وتسمح لموقع الويب بالعمل بشكل صحيح وتمنح الزوار تجربة ملائمة. ويمكن استخدامها أيضًا لأغراض التحليل والتسويق.
  • ملفات تعريف الارتباط الخاصة بالطرف الثالث. يتم جمعها بواسطة الخدمات الخارجية. وتُستخدم، ضمن أغراض أخرى، لعرض الإعلانات وجمع الإحصائيات التسويقية. وتتضمن هذه الفئة أيضًا ملفات تعريف الارتباط من خدمات التحليل مثل Google Analytics ومنصات وسائل التواصل الاجتماعي. وتخزن هذه الملفات بيانات اعتماد تسجيل الدخول الخاصة بك، مما يتيح لك الإعجاب بصفحة أو مشاركة محتوى على وسائل التواصل الاجتماعي بنقرة واحدة.

حسب الأهمية

  • ملفات تعريف الارتباط المطلوبة أو الأساسية. تدعم هذه الملفات الميزات الأساسية لموقع الويب، مثل بيع المنتجات على منصة تجارة إلكترونية. وفي هذه الحالة، يمتلك كل مستخدم حسابًا شخصيًا، وتخزن ملفات تعريف الارتباط الأساسية معلومات تسجيل الدخول وكلمة المرور ومعرف الجلسة الخاص به.
  • ملفات تعريف الارتباط الاختيارية. تُستخدم هذه الملفات لتتبع سلوك المستخدم والمساعدة في تخصيص الإعلانات بدقة أكبر. وتنتمي معظم ملفات تعريف الارتباط الاختيارية إلى أطراف خارجية ولا تؤثر على قدرتك على استخدام جميع ميزات الموقع.

حسب تكنولوچيا التخزين

  • القياسية. تُخزّن ملفات تعريف الارتباط هذه في ملفات نصية ضمن مساحة التخزين القياسية في المستعرض. وعندما تمسح بيانات المستعرض، يتم حذفها، وبعد ذلك، لن تتعرف عليك مواقع الويب التي أرسلت هذه الملفات.
  • الخاصة. يوجد نوعان فرعيان خاصان: ملفات تعريف الارتباط الفائقة وملفات تعريف الارتباط الدائمة، التي تخزن البيانات بطريقة غير قياسية. ويتم تضمين ملفات تعريف الارتباط الفائقة في رؤوس مواقع الويب وتُخزن في مواقع غير قياسية، مما يسمح لها بتجنب حذفها بواسطة وظيفة التنظيف في المستعرض. ويمكن استعادة ملفات تعريف الارتباط الدائمة باستخدام JavaScript حتى بعد حذفها. وهذا يعني أنه يمكن استخدامها لتتبع المستخدم المستمر والذي يصعب التحكم فيه.

يمكن للملف الواحد أن يندرج ضمن فئات متعددة؛ على سبيل المثال، تكون معظم ملفات تعريف الارتباط الاختيارية من طرف ثالث، في حين أن الملفات الضرورية تشمل ملفات مؤقتة مسؤولة عن أمان جلسة تصفح معينة. وللحصول على المزيد من التفاصيل عن كيفية ووقت استخدام كل هذه الأنواع من ملفات تعريف الارتباط، اقرأ التقرير الكامل على Securelist.

كيفية سرقة معرفات الجلسة عبر اختطاف الجلسة

تعد ملفات تعريف الارتباط التي تحتوي على معرف جلسة الهدف الأكثر جاذبية للمخترقين. وتُعرف عملية سرقة معرف الجلسة أيضًا باسم اختطاف الجلسة. دعنا نستعرض الآن بعضًا من أبرز الطرق وأكثرها شيوعًا التي تُستخدم لتنفيذ هذا الهجوم.

انتحال الجلسة

يمكن اختطاف الجلسة من خلال مراقبة أو “انتحال” حركة الإنترنت بين المستخدم وموقع الويب. ويحدث هذا النوع من الهجوم على مواقع الويب التي تستخدم بروتوكول HTTP الأقل أمانًا بدلاً من بروتوكول HTTPS. وباستخدام بروتوكول HTTP، تُرسَل ملفات تعريف الارتباط كنصوص واضحة وغير مشفرة ضمن رؤوس طلبات HTTP. ويسمح هذا للمخترق بسهولة باعتراض حركة البيانات بينك وبين الموقع الذي تتصفحه، واستخراج ملفات تعريف الارتباط.

تحدث هذه الهجمات غالبًا على شبكات Wi-Fi العامة، خاصةً إذا لم تكن محمية ببروتوكولي WPA2 أو WPA3. ولهذا السبب، نوصي بتوخي أقصى درجات الحذر عند استخدام نقاط الاتصال العامة. ومن الأكثر أمانًا الاعتماد على بيانات الهاتف المحمول. وإذا كنت مسافرًا إلى خارج البلاد، فمن الأفضل استخدام شريحة eSIM.

البرمجة النصية عبر المواقع (XSS)

تُصنف هجمات البرمجة النصية عبر المواقع باستمرار ضمن أبرز الثغرات الأمنية في تطبيقات الويب، ولسبب وجيه. يسمح هذا النوع من الهجمات للمخترقين بالوصول إلى بيانات الموقع، بما في ذلك ملفات تعريف الارتباط التي تحتوي على معرّفات الجلسة المطلوبة.

إليك كيفية عمل هذا الهجوم: يكتشف المهاجم ثغرة أمنية في التعليمات البرمجية المصدر لموقع الويب ويحقن برنامجًا نصيًا ضارًا بها؛ وبعد ذلك، كل ما يتطلبه الأمر هو أن تزور الصفحة المصابة، لتصبح ملفات تعريف الارتباط الخاصة بك في متناول المهاجم. يمنح هذا البرنامج النصي الوصول الكامل إلى ملفات تعريف الارتباط الخاصة بك ويرسلها إلى المهاجم.

تزوير الطلبات عبر المواقع (CSRF/XSRF)

على عكس الأنواع الأخرى من الهجمات، يستغل تزوير الطلبات عبر المواقع علاقة الثقة بين موقع الويب والمستعرض الخاص بك. ويخدع المهاجم مستعرض مستخدم تمت مصادقته لدفعه إلى تنفيذ إجراء غير مقصود دون علمه، مثل تغيير كلمة مرور أو حذف البيانات مثل مقاطع الفيديو التي تم تحميلها.

في هذا النوع من الهجمات، ينشئ المهاجم صفحة ويب أو رسالة بريد إلكتروني تحتوي على رابط ضار أو تعليمات برمجية بلغة HTML أو برنامج نصي يحمل طلبًا إلى موقع الويب المعرض للتهديدات. ويكفي ببساطة فتح الصفحة أو رسالة البريد الإلكتروني، أو النقر فوق الرابط، لكي يرسل المستعرض الطلب الخبيث تلقائيًا إلى الموقع المستهدف. وسيتم إرفاق جميع ملفات تعريف الارتباط الخاصة بك لهذا الموقع بالطلب. وسيعتقد الموقع أنك أنت من طلب تغيير كلمة المرور أو حذف القناة، وسيقوم بتنفيذ طلب المهاجم نيابةً عنك.

لهذا السبب نوصي بعدم فتح الروابط الواردة من الغرباء وتثبيت حل أمان موثوق يمكن أن ينبهك إلى الروابط أو البرامج النصية الخبيثة.

معرفات الجلسات القابلة للتنبؤ بها

في بعض الأحيان، لا يحتاج المهاجمون إلى استخدام خطط معقدة - يمكنهم ببساطة تخمين معرّف الجلسة. وفي بعض مواقع الويب، يتم إنشاء معرفات الجلسات بواسطة خوارزميات قابلة التنبؤ بها، وقد تحتوي على معلومات مثل عنوان IP الخاص بك بالإضافة إلى سلسلة من الأحرف التي يسهل تخمينها.

لتنفيذ هذا النوع من الهجمات، يحتاج المخترقون إلى جمع عدد كافٍ من معرّفات الجلسة كعينات، ثم تحليلها، وبعد ذلك يتمكنون من اكتشاف الخوارزمية التي تولّدها للتنبؤ بمعرّفات الجلسة بأنفسهم.

هناك طرق أخرى لسرقة معرف الجلسة، مثل تثبيت الجلسة ورمي ملفات تعريف الارتباط وهجمات الوسيط (MitM). ويتم تناول هذه الأساليب في مقالنا المخصص على Securelist.

كيف تحمي نفسك من لصوص ملفات تعريف الارتباط

تقع مسؤولية كبيرة في أمان ملفات تعريف الارتباط على عاتق مطوري المواقع. ونقدم لهم نصائح مفصلة في تقريرنا الكامل على Securelist.

لكن هناك بعض الإجراءات التي يمكننا جميعًا اتخاذها للحفاظ على أماننا عبر الإنترنت.

  • أدخل بياناتك الشخصية فقط على المواقع التي تستخدم بروتوكول HTTPS. وإذا رأيت "HTTP" في شريط العنوان، لا تقبل ملفات تعريف الارتباط أو تقدم أي معلومات حساسة مثل معلومات تسجيل الدخول أو كلمات المرور أو تفاصيل بطاقات الائتمان.
  • انتبه لتحذيرات المستعرض. إذا رأيت تحذيرًا بشأن شهادة أمان غير صالحة أو مشبوهة عند زيارتك لأحد المواقع، فأغلق الصفحة على الفور.
  • قم بتحديث مستعرضاتك بانتظام أو قم بتمكين التحديثات التلقائية. ويساعد هذا على حمايتك من الثغرات الأمنية المعروفة.
  • امسح ملفات تعريف الارتباط وذاكرة التخزين المؤقت الخاصة بالمستعرض بانتظام. ويمنع ذلك من استغلال ملفات تعريف الارتباط ومعرفات الجلسات القديمة التي يُحتمل أن تكون قد تسربت. وتحتوي معظم المستعرضات على إعداد لحذف هذه البيانات تلقائيًا عند إغلاقها.
  • لا تتبع الروابط المشبوهة. وينطبق هذا بشكل خاص على الروابط الواردة من الغرباء في تطبيق مراسلة أو عبر البريد الإلكتروني. وإذا كنت تواجه صعوبة في معرفة الفرق بين الرابط الشرعي والرابط الاحتيالي، فقم بتثبيت حل أمان يمكن أن يحذرك قبل زيارة موقع ضار.
  • قم بتمكين المصادقة ثنائية العوامل (2FA) حيثما أمكن ذلك. وتعد Kaspersky Password Manager أداة تصديق مناسبة لتخزين رموز المصادقة ثنائية العوامل وإنشاء رموز لمرة واحدة. وتقوم بمزامنتها عبر جميع أجهزتك، مما يجعل من الصعب جدًا على المهاجم الوصول إلى حسابك بعد انتهاء الجلسة - حتى لو تمكن من سرقة معرف الجلسة الخاص بك.
  • ارفض قبول جميع ملفات تعريف الارتباط على جميع مواقع الويب. ولا يعد قبول كل ملف تعريف ارتباط من كل موقع أفضل إستراتيجية. وتقدم العديد من مواقع الويب الآن خيارًا بين قبول الكل وقبول ملفات تعريف الارتباط الأساسية فقط. وكلما أمكن، حدد خيار "ملفات تعريف الارتباط الضرورية / الأساسية فقط"، لأن هذه هي الملفات التي يحتاجها الموقع ليعمل بشكل صحيح.
  • اتصل بشبكات Wi-Fi العامة فقط كحل أخير. وغالبًا ما تكون هذه الشبكات مؤمّنة بشكل ضعيف، وهو ما يستغله المهاجمون. وإذا اضطررت إلى الاتصال بها، تجنب تسجيل الدخول إلى حسابات وسائل التواصل الاجتماعي أو تطبيقات المراسلة، واستخدام الخدمات المصرفية عبر الإنترنت، أو الوصول إلى أي خدمات أخرى تتطلب مصادقة.

هل تريد معرفة المزيد عن ملفات تعريف الارتباط؟ اقرأ هذه المقالات:

كيفية منع الكوكيز في متصفحك

تكنولوجيا الإسناد الذي يحافظ على الخصوصية من Mozilla

كيفية معرفة ما إذا كان موقع الويب يأخذ بصمات أصابعك (المستعرض)

طريقة التحكم في ملفات تعريف الارتباط تجربة واقعية

صوت أدوات التتبع على الإنترنت

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

  • جميع الدول الاخرى