ما هو اختطاف الجلسة وكيف يعمل؟

يعد تسجيل الدخول إلى مواقع الويب أو البوابات جزءًا يوميًا من استخدام الإنترنت بالنسبة لمعظم الأشخاص. وفي كل مرة تسجل الدخول إلى موقع ويب، يتم إنشاء جلسة. وتمثل الجلسة الاتصال بين نظامين، والتي تظل نشطة حتى ينهي المستخدم الاتصال. ويعد بدء جلسة أمرًا ضروريًا لإجراء الاتصال عبر الإنترنت - لكنه يفتح أيضًا خطر اختطاف الجلسة. تابع القراءة لمعرفة المزيد عن اختطاف الجلسة وكيفية عملها وكيفية حماية نفسك.

ما هو اختطاف الجلسة؟

يحدث اختطاف الجلسة - الذي يُطلق عليه أحيانًا اختطاف ملفات تعريف الارتباط أو الاختطاف الجانبي لملفات تعريف الارتباط أو اختطاف جلسة TCP - عندما يستولي أحد المهاجمين على جلسة الإنترنت الخاصة بك. وقد يحدث هذا عندما تتسوق عبر الإنترنت، أو تدفع فاتورة، أو تتحقق من رصيدك البنكي. ويستهدف خاطفو الجلسة عادةً المستعرض أو تطبيقات الويب، ويكون هدفهم التحكم في جلسة استعراض الإنترنت للوصول إلى معلوماتك الشخصية وكلمات المرور.

يخدع خاطفو الجلسة مواقع الويب ويجعلونها تعتقد أنهم أنت. وقد ينجم عن هذا النوع من الهجمات عواقب وخيمة على أمان التطبيق لأنه يسمح للمهاجمين بالوصول غير المصرح به إلى الحسابات المحمية (والبيانات التي تحتوي عليها) عن طريق التنكر كمستخدم شرعي.

ما هي الجلسة؟

في كل مرة يصل فيها المستخدم إلى موقع ويب أو تطبيق من خلال اتصال HTTP، تصادق الخدمة على المستخدم (على سبيل المثال، عبر اسم مستخدم وكلمة مرور) قبل فتح خط الاتصال وتوفير الوصول. ورغم ذلك، فإن اتصالات HTTP في حد ذاتها "عديمة الحالة"، مما يعني أنه يتم عرض كل إجراء يتخذه المستخدم بشكل مستقل. ونتيجة لذلك، إذا اعتمدنا فقط على بروتوكول HTTP، سيتعين على المستخدمين إعادة مصادقة أنفسهم لكل إجراء يتخذونه أو صفحة يعرضونها.

تتغلب الجلسات على هذا التحدي. ويتم إنشاء جلسة على الخادم الذي يستضيف موقع الويب أو التطبيق بمجرد تسجيل دخول المستخدم ثم تكون بمثابة مرجع للمصادقة الأولية. ويمكن أن يظل المستخدمون في حالة مصادقة طالما ظلت الجلسة مفتوحة على الخادم ويمكنهم إنهاء الجلسة عن طريق تسجيل الخروج من الخدمة. وتُنهي بعض الخدمات الجلسة بعد فترة محددة من عدم النشاط.

تنشئ العديد من الخدمات هذه الجلسات عن طريق إصدار معرف الجلسة، أو سلسلة من الأرقام والحروف المخزنة في ملفات تعريف الارتباط للجلسة المؤقتة، أو عناوين URL، أو الحقول المخفية على موقع الويب. وفي بعض الحالات، وليس جميعها، يتم تشفير معرفات الجلسة هذه. وفي كثير من الأحيان، تعتمد معرفات الجلسة على معلومات يمكن التنبؤ بها، مثل عنوان IP الخاص بالمستخدم.

كيف يعمل اختطاف الجلسة؟

فيما يلي مثال افتراضي لكيفية عمل اختطاف الجلسة:

الخطوة 1: يسجل مستخدم إنترنت الدخول إلى الحساب كالمعتاد. 

قد يكون هذا هو الحساب البنكي أو حساب بطاقة الائتمان عبر الإنترنت، أو متجر عبر الإنترنت، أو تطبيق أو بوابة. يُثبت التطبيق أو موقع الويب ملف تعريف ارتباط مؤقت للجلسة في مستعرض المستخدم. ويحتوي ملف تعريف الارتباط هذا على معلومات عن المستخدم مما يسمح للموقع بالحفاظ على مصادقته وتسجيل دخوله وتتبع نشاطه أثناء الجلسة. ويظل ملف تعريف ارتباط الجلسة في المستعرض حتى يسجل المستخدم الخروج (أو يتم تسجيل الخروج تلقائيًا بعد فترة محددة من عدم النشاط).

الخطوة 2: يتمكن مجرم من الوصول إلى الجلسة الجارية لمستخدم الإنترنت. 

يستخدم مجرمو الإنترنت أساليب مختلفة لسرقة الجلسات. وفي كثير من الأحيان، يتضمن اختطاف الجلسة سرقة ملف تعريف ارتباط جلسة المستخدم، وتحديد موقع معرف الجلسة داخل ملف تعريف الارتباط، واستخدام تلك المعلومات للاستيلاء على الجلسة. ويُعرف معرف الجلسة أيضًا باسم مفتاح الجلسة. وعندما يحصل المجرم على معرف الجلسة، يمكنه الاستيلاء على الجلسة دون اكتشافه.

الخطوة 3: يحصل مخترق الجلسة على مكافأة مقابل سرقة الجلسة.

بمجرد أن يواصل مستخدم الإنترنت الأصلي رحلته عبر الإنترنت، يستطيع المخترق استخدام الجلسة المستمرة لارتكاب أعمال ضارة مختلفة. ويمكن أن يشمل ذلك سرقة الأموال من الحساب المصرفي للمستخدم، أو شراء السلع، أو الاستيلاء على البيانات الشخصية لارتكاب سرقة الهوية، أو تشفير البيانات المهمة ثم المطالبة بفدية مقابل استعادتها.

يتم تنفيذ هجمات اختطاف الجلسة عادة ضد الشبكات المزدحمة التي تحتوي على عدد كبير من جلسات الاتصال النشطة. ويوفر هذا للمهاجم عددًا كبيرًا من الجلسات التي يمكنه استغلالها ويمنح المهاجم قدرًا من الحماية - لأن عدد الجلسات النشطة على الخادم يقلل من احتمالية اكتشافها.

أنواع اختطاف الجلسة

البرمجة النصية عبر المواقع
يتضمن هجوم البرمجة النصية عبر المواقع مجرمي الإنترنت الذين يستغلون الثغرات الأمنية في خادم الويب أو التطبيق. وتتضمن البرمجة النصية عبر المواقع مهاجمًا يحقن البرامج النصية في صفحات الويب. ويؤدي ذلك لأن يكشف مستعرض الويب الخاص بك مفتاح الجلسة للمهاجم حتى يتمكن من الاستيلاء الجلسة.

الاختراق الجانبي للجلسة (المعروف أيضًا باسم انتحال الجلسة)
في هذا النوع من الهجمات، يحتاج المجرم إلى الوصول إلى حركة مرور الشبكة الخاصة بالمستخدم. وقد يتمكن من الوصول عندما يستخدم المستخدم شبكة Wi-Fi غير آمنة أو من خلال الانخراط في هجمات الوسيط. وفي عملية الاختطاف الجانبي للجلسة، يستخدم المجرم "انتحال الحزم" لمراقبة حركة مرور الشبكة لمستخدم الإنترنت للبحث عن الجلسات. ويتيح ذلك للمهاجم الحصول على ملف تعريف ارتباط الجلسة واستخدامه للاستيلاء على الجلسة.

تثبيت الجلسة 
في هجوم تثبيت الجلسة، ينشئ المجرم معرف جلسة ويخدع المستخدم لبدء جلسة باستخدامه. ويمكن تحقيق ذلك من خلال إرسال بريد إلكتروني إلى المستخدم يحتوي على رابط لنموذج تسجيل الدخول لموقع الويب الذي يريد المهاجم الوصول إليه. ويسجل المستخدم الدخول باستخدام معرف الجلسة المزيف، مما يمنح المهاجم فرصة وضع قدمه على الباب.

هجوم الوسيط في المستعرض
يشبه هذا هجوم الوسيط، لكن يجب على المهاجم أولاً إصابة الكمبيوتر الخاص بالضحية بفيروس حصان طروادة. وبمجرد خداع الضحية لتثبيت برامج ضارة على النظام، تنتظر البرامج الضارة حتى يزور الضحية الموقع المستهدف. تستطيع البرامج الضارة للوسيط في المستعرض تعديل معلومات المعاملات بشكل غير مرئي ويمكنها أيضًا إنشاء معاملات إضافية دون علم المستخدم. ونظرًا لأنه يتم بدء الطلبات من كمبيوتر الضحية، فمن الصعب جدًا على خدمة الويب اكتشاف أن الطلبات مزيفة.

معرف الرمز المميز للجلسات الذي يمكن التنبؤ به
تستخدم العديد من خوادم الويب خوارزمية مخصصة أو نمطًا محددًا مسبقًا لإنشاء معرفات الجلسة. وكلما كان رمز الجلسة أكثر قابلية للتنبؤ به، كلما كان أضعف. وإذا تمكن المهاجمون من التقاط عدة معرفات وتحليل النمط، فقد يتمكنون من التنبؤ بمعرف جلسة صالح. (يمكن مقارنة هذا النهج بهجوم التخمين).

كيف يختلف اختطاف الجلسة عن انتحال الجلسة؟

يشترك اختطاف الجلسة وانتحال الجلسة في أوجه التشابه لكنهما ليسا نوع الهجوم نفسه. ويمكن الفرق الرئيسي بين الاثنين في أن اختطاف الجلسة يحدث عندما يسجل مستخدم شرعي الدخول بالفعل إلى جلسة ويب. وعلى النقيض من ذلك، يحدث انتحال الجلسة عندما ينتحل المهاجمون شخصية مستخدم لبدء جلسة ويب جديدة (مما يعني أنه لا يتعين على المستخدم تسجيل الدخول في ذلك الوقت).

يعني هذا الفرق أن المستخدمين الشرعيين يواجهون الهجمات بشكل مختلف. ومن خلال اختطاف الجلسة، قد تؤدي مقاطعة مهاجم للجلسة إلى تصرف موقع الويب أو التطبيق بشكل غير عادي أو حتى يتعطل للضحية. ومع ذلك، نظرًا لعدم تسجيل المستخدم للدخول بشكل نشط أثناء هجوم انتحال الجلسة، فلن يواجه أي انقطاع أثناء الجلسة التالية.

تأثير هجمات اختطاف الجلسة

توجد العديد من المخاطر المرتبطة بعدم اتخاذ خطوات لمنع اختطاف الجلسة. ومن هذه المخاطر ما يلي:

سرقة الهوية 

من خلال الوصول غير المصرح به إلى المعلومات الشخصية الحساسة المحفوظة في الحسابات، يستطيع المهاجمون سرقة هوية الضحية خارج حدود موقع الويب أو التطبيق الذي تم اختراقه.

السرقة المالية

من خلال اختطاف الجلسة، يستطيع المهاجمون اكتساب القدرة على تنفيذ المعاملات المالية نيابة عن المستخدم. وقد يتضمن ذلك تحويل الأموال من حساب مصرفي أو إجراء عمليات شراء باستخدام معلومات الدفع المحفوظة.

الإصابة بالبرامج الضارة

إذا تمكن أحد المخترقين من سرقة معرف جلسة المستخدم، فقد يتمكن أيضًا من إصابة جهاز الكمبيوتر الخاص بالمستخدم ببرامج ضارة. ويمكن أن يسمح هذا للمخترق بالتحكم في الكمبيوتر المستهدف وسرقة بياناته.

هجمات الحرمان من الخدمة (DoS).

يستطيع المخترق الذي يتحكم في جلسة المستخدم أن يشن هجوم الحرمان من الخدمة (DoS) على موقع الويب أو الخادم الذي يتصل به، أو يعطل الخدمة، أو يتسبب في تعطل الموقع.

الوصول إلى أنظمة إضافية من خلال تسجيل الدخول الأحادي (SSO)

تشير الأحرف SSO إلى "تسجيل الدخول الأحادي". ويستطيع المهاجمون أيضًا الحصول على وصول غير مصرح به إلى أنظمة إضافية في حالة تمكين تسجيل الدخول الأحادي (SSO)، مما يزيد من انتشار المخاطر المحتملة لهجوم اختطاف الجلسة. ويعد هذا الخطر مهمًا بشكل خاص للمؤسسات، حيث يقوم الكثير منها الآن بتمكين تسجيل الدخول الأحادي (SSO) للموظفين. وفي النهاية، يعني هذا أنه حتى الأنظمة عالية الحماية التي تتمتع ببروتوكولات مصادقة أقوى وملفات تعريف ارتباط أقل قابلية للتنبؤ بها، مثل تلك التي تحتوي على معلومات مالية أو معلومات العملاء، قد تكون محمية فقط مثل الحلقة الأضعف في النظام بأكمله.

أمثلة على هجمات اختطاف الجلسة

الهجوم على اجتماعات Zoom
خلال جائحة فيروس كورونا (كوفيد-19)، تحول العالم إلى تطبيقات اجتماعات الفيديو مثل Zoom. وأصبحت هذه التطبيقات هدفًا شائعًا لخاطفي الجلسات، حتى أنها اكتسبت لقب "الهجوم على Zoom". وكانت هناك تقارير إخبارية عن انضمام خاطفي الجلسات إلى جلسات فيديو خاصة، وفي بعض الحالات كانوا يصرخون بألفاظ نابية، ويستخدمون لغة بغيضة ويشاركون صورًا إباحية. وردًا على ذلك، قدمت Zoom وسائل حماية أكبر للخصوصية لتقليل المخاطر.

Slack
في عام 2019، حدد أحد الباحثين في منصة مكافآت لاكتشاف لأخطاء ثغرة أمنية في Slack والتي كانت تسمح للمهاجمين بإجبار المستخدمين على عمليات إعادة توجيه وهمية للجلسة حتى يتمكنوا من سرقة ملفات تعريف الارتباط الخاصة بالجلسة. وقد أتاح هذا للمهاجمين الوصول إلى أي بيانات تمت مشاركتها داخل Slack (والتي يمكن أن تكون مهمة بالنسبة للعديد من المؤسسات). وكان تطبيق Slack سريع الاستجابة وصحح الثغرة الأمنية خلال 24 ساعة من تسليط الباحث الضوء عليها.

GitLab

في عام 2017، حدد أحد الباحثين الأمنيين ثغرة أمنية في GitLab حيث كانت الرموز المميزة لجلسة المستخدمين متاحة مباشرة في عنوان URL. وكشف المزيد من التحقيقات أن تطبيق GitLab استخدم أيضًا رموزًا مميزة للجلسة مستمرة لم تنتهي صلاحيتها أبدًا، مما يعني أنه بمجرد حصول المهاجم على رمز مميز لجلسة واحدة، يمكنه استخدامه دون قلق من انتهاء الصلاحية. ويمثل هذا المزيج من التعرض المفتوح والرموز المستمرة خطرًا كبيرًا، مما يعرض المستخدمين لهجمات خطيرة مختلفة من خلال اختطاف الجلسة عبر هجوم تخمين. أصلح تطبيق GitLab الثغرة الأمنية عن طريق تغيير كيفية استخدام تلك الرموز المميزة وتخزينها.

كيفية منع اختطاف الجلسة

اتبع هذه النصائح لمنع اختطاف الجلسة لزيادة أمانك عبر الإنترنت:

تجنب شبكات Wi-Fi العامة
تجنب إجراء المعاملات المهمة مثل الخدمات المصرفية أو التسوق عبر الإنترنت أو تسجيل الدخول إلى بريدك الإلكتروني أو حساباتك على وسائل التواصل الاجتماعي عبر شبكة Wi-Fi عامة. وقد يكون هناك مجرم إنترنت قريب يستخدم انتحال الحزم لمحاولة التقاط ملفات تعريف الارتباط الخاصة بالجلسة والمعلومات الأخرى.

استخدم شبكة VPN
إذا كنت بحاجة إلى استخدام شبكة Wi-Fi عامة، استخدم شبكة افتراضية خاصة (VPN) لتحقيق أقصى قدر من الأمان وإبعاد مخترقي الجلسة عن جلساتك. وتخفي شبكة VPN عنوان IP الخاص بك وتحافظ على خصوصية أنشطتك عبر الإنترنت من خلال إنشاء قناة خاصة تنتقل من خلالها جميع أنشطتك عبر الإنترنت. وتشفر شبكة VPN البيانات التي ترسلها وتستقبلها.

كن حذرًا من التصيد الاحتيالي وعمليات الاحتيال الأخرى عبر الإنترنت
تجنب النقر على أي رابط في رسالة بريد إلكتروني إلا إذا كنت تعلم أنها من مرسل شرعي. وقد يرسل لك مخترقو الجلسة بريدًا إلكترونيًا يحتوي على رابط للنقر عليه. وقد يُثبت الرابط برامج ضارة على جهازك أو ينقلك إلى صفحة تسجيل الدخول التي ستسجل دخولك إلى موقع باستخدام معرف الجلسة الذي أعده المهاجم.

كن على علم بأمان الموقع
تتمتع البنوك ذات السمعة الطيبة ومقدمو خدمات البريد الإلكتروني وتجار التجزئة عبر الإنترنت ومواقع التواصل الاجتماعي بضمانات يجري تطبيقها لتجنب اختطاف الجلسة. وابحث عن مواقع الويب التي يبدأ عنوان URL الخاص بها بحروف HTTPS - حيث يشير الحرف S إلى كلمة "آمن". وقد يجعلك استخدام المتاجر المشكوك فيها عبر الإنترنت أو مقدمي الخدمات الآخرين الذين قد لا يتمتعون بأمان قوي عرضة لهجوم اختطاف الجلسة.

استخدم برامج مكافحة الفيروسات 
قم بتثبيت برنامج مكافحة فيروسات حسن السمعة يمكنه اكتشاف الفيروسات بسهولة ويحميك من أي نوع من البرامج الضارة (بما في ذلك البرامج الضارة التي يستخدمها المهاجمون لاختطاف الجلسة). حافظ على تحديث أنظمتك من خلال إعداد التحديثات التلقائية على جميع أجهزتك.

منتجات ذات صلة:

• Kaspersky Premium
• Kaspersky Password Manager
• Kaspersky Secure Connection

قراءة متعمقة:

• حقن SQL وكيفية منعه
• شبكة VPN مقابل الخادم الوكيل: ما الذي يجب أن تستخدمه؟
• كيفية منع الهجمات الإلكترونية