الانتقال إلى المحتوى
حساب Google
حساب Google
Hero_Desktop@2x.jpg

كيف تحافظ Google على أمان بيانات المستخدمين؟

يستخدم منفّذو الهجمات الإلكترونية طُرقًا متنوعة للاستيلاء على حسابات المستخدمين، بما في ذلك اختراق الحسابات، والتصيّد الاحتيالي، واستخدام برامج ضارة. ويحرص خبراء الأمان في Google، ومن بينهم "ستيفان ميكليتز" و"تادك بيتراشيك"، على التصدي لمثل هذه الهجمات.

مشاركة

سيد "بيتراشيك"، نعلم أنّه من مسؤوليتك أنت وفريقك الحفاظ على أمان حسابات المستخدمين. فكيف تمنعون المخترقين من الوصول إلى هذه حسابات؟

"تادك بيتراشيك"، كبير مهندسي البرامج لأمان حسابات المستخدمين: في البداية، من المهم أن نتمكّن من رصد الهجوم الأوّلي. لذلك، نستخدم أكثر من مئة متغيّر للتعرّف على أي أنشطة المريبة. لنفترض أنّ أحد المستخدمين يعيش في ألمانيا، ونادرًا ما يسافر إلى الخارج، وتبيّن أنّ هناك من يحاول الوصول إلى حسابه من بلد آخر. يكون هذا النشاط مريبًا بالتأكيد.

"ستيفان ميكليتز"، مدير قسم الهندسة في فريق الخصوصية والأمان في Google: لهذا السبب نطلب من المستخدم أحيانًا تأكيد رقم الهاتف الذي سبَق وشاركه معنا أو أي معلومة أخرى لا يعرفها أحد غيره بصفته صاحب الحساب.

Tadek Pietraszek@2x.jpg

بالنسبة إلى "تاديك بيتراشيك" (اليسار)، يُعدّ التصيّد الاحتيالي أحد أكبر التهديدات الأمنية على الإنترنت.

ما معدّل حدوث هذه الأنواع من الهجمات؟

بيتراشيك: تُشَنّ مئات الآلاف من الهجمات الإلكترونية يوميًا. ولعلّ أكبر مشكلة تواجهنا هي أنّه سبق أن تمت سرقة أعداد لا تُحصى من قوائم أسماء المستخدمين وكلمات المرور على الإنترنت من مواقع إلكترونية مُخترَقة. ولأن بعض المستخدمين يستخدمون كلمة المرور نفسها للدخول إلى أكثر من حساب، تتضمن هذه القوائم بيانات تسجيل الدخول إلى حسابات Google.

هل تشكّل هذه القوائم أكبر تهديد أمني؟

بيتراشيك: نعم. إنّها الأخطر بكل تأكيد، إلى جانب هجمات التصيّد الاحتيالي العادية. وما مِن مستخدم تقريبًا إلا وقد تلقّى رسائل إلكترونية من أحد المجرمين في محاولة للحصول على كلمة المرور إلى حسابه. ونحن بطبيعة الحال نعمل جاهدين لضمان التصدي لهذه المحاولات. وإذا تبيّن لنا أنّ واحدة من الرسائل الإلكترونية الموجّهة إلى بريد المستخدمين في Gmail مريبة، نضع علامة تحذير عليها كي يتسنى لهم التحقّق منها، وقد نزيلها تلقائيًا. يرسل متصفّح Chrome كذلك تنبيهات عندما يحاول المستخدمون زيارة موقع إلكتروني مصنَّف لدينا ضمن مواقع التصيّد الاحتيالي.

ميكليتز: هناك نوعان أساسيان من التصيّد الاحتيالي. النوع الأول هو التصيّد من خلال الرسائل الإلكترونية الجماعية والذي يستهدف منفّذوه جمع أكبر قدر ممكن من بيانات تسجيل الدخول، والنوع الآخر هو ما يعرف باسم "التصيّد الاحتيالي باستخدام معلومات شخصية" الذي يستهدف حساب مستخدم معيَّن. قد تنطوي هذه الهجمات على عمليات معقَّدة للغاية تستمر لعدة أشهر، وخلال هذه الفترة يتعقَّب المهاجم تفاصيل حياة الضحية، ثم يُطلق هجمته التي تكون موجّهة بدقة.

"إذا تبيّن لنا أنّ واحدة من الرسائل الإلكترونية الموجّهة إلى بريد المستخدمين في Gmail مريبة، نضع علامة تحذير عليها".

تاديك بيتراشيك

كيف تساعد Google المستخدمين في منع هذه الهجمات؟

بيتراشيك: أحدى التدابير، مثلاً، هي نظام التحقّق بخطوتين. ويتوافر لدى الكثير من المستخدمين معلومات كافية حول هذا النظام لأنّهم يتّبعون خطوات مشابهة عند تعاملهم مع حساباتهم المصرفية على الإنترنت. على سبيل المثال، إذا أراد المستخدم تحويل مبلغ مالي، قد يتطلب ذلك إدخال كلمة المرور ورمز يتلقّاه في رسالة نصية. ونفتخر بأنّه كان لشركة Google السبق في استخدام ميزة "المصادقة الثنائية" عام 2009، قبل معظم مزوِّدي خدمة البريد الإلكتروني الآخرين. ويحصل تلقائيًا مستخدمو Google الذين سجّلوا أرقام هواتفهم على المستوى ذاته من الحماية ضد محاولات تسجيل الدخول المريبة.

ميكليتز: لا شكّ أنّ المصادقة الثنائية طريقة فعالة لتوفير الأمان، لكنّه يمكن أيضًا اختراق الرسائل النصية للحصول على الرموز المُرسَلة. على سبيل المثال، قد يتواصل المجرمون مع مُقدِّم خدمة الجوّال في محاولة للحصول على شريحة SIM ثانية برقم معيّن يحاولون سرقة معلوماته. بناء عليه، تشكّل المصادقة باستخدام أداة خارجية، مثل جهاز إرسال Bluetooth أو جهاز USB، طريقة أكثر أمانًا.

بيتراشيك: نستخدم هذه الأدوات في إطار برنامج الحماية المتقدّمة.

ما هو هذا البرنامج؟

بيتراشيك: أطلقت Google "برنامج الحماية المتقدّمة" عام 2017، وهو برنامج مخصّص للمستخدمين الأكثر عُرضة لمحاولات الاختراق، مثل الصحفيين والرؤساء التنفيذيين للشركات والسياسيين وأعضاء المعارضة السياسية.

ميكليتز: بالإضافة إلى مفتاح الأمان الخارجي، نضع قيودًا على وصول التطبيقات الخارجية إلى البيانات، فنفرض خطوات إضافية تساعدنا على التحقّق من هوية المستخدمين في حال فقدوا المفتاح.

Stephan Micklitz - Sicherheitsschlüssel

"ستيفان ميكليتز" هو مدير الهندسة المسؤول عن الخصوصية والأمان على مستوى العالم في Google. درَس "ميكليتز" علوم الكمبيوتر في "جامعة ميونيخ التقنية" ويعمل في مقرّ Google في ميونيخ منذ أواخر عام 2007.

هل يمكن إطلاعنا على إحدى الهجمات الإلكترونية الكبيرة التي واجهت Google وكيف تم التعامل معها؟

بيتراشيك: في مطلع العام 2017، أنشأ المخترقون برنامجًا ضارًا للوصول إلى حسابات Google التابعة لمستخدمين مستهدَفين، ووجّهوا رسائل إلكترونية مزيّفة إلى قوائم جهات الاتصال في حسابات هؤلاء المستخدمين. وطُلب من متلقّي هذه الرسائل منح إذن الوصول إلى مستند Google مزيّف. فنجح البرنامج الضار في الوصول إلى حساب كل مَن وافق على هذا الطلب، وأُرسلت تلقائيًا الرسائل الإلكترونية المزيّفة نفسها إلى قوائم جهات الاتصال المحفوظة في حسابات هؤلاء المستخدمين. أدّى ذلك إلى انتشار الفيروس بسرعة. لحسن الحظ، لدينا خطط طوارئ لمواجهة هذه الحوادث.

ميكليتز: على سبيل المثال، في هذه الحادثة تحديدًا، حظرنا توزيع هذه الرسائل الإلكترونية في Gmail وأبطلنا إذن وصول البرنامج إلى الحسابات ونجحنا في تأمينها. أضفنا أيضًا بعض تدابير الوقاية الممنهجة للتصدي لأي هجمات مشابهة في المستقبل. تتعرض حسابات Google بشكل متواصل لهجمات أمنية، ولكننا ننجح بفضل أنظمتنا المبرمَجة في توفير أعلى مستويات الحماية الفعّالة لهذه الحسابات. وهذا النجاح بالطبع يستند إلى قدرتنا على التواصل مع المستخدمين من خلال وسائل أخرى غير حساباتهم على Google، مثل عنوان البريد الإلكتروني البديل أو رقم الهاتف الجوّال.

"في الواقع، يكفي عادةً الالتزام ببعض القواعد الأساسية".

ستيفان ميكليتز

ما أهمية الأمان بالنسبة إلى المستخدم العادي؟

بيتراشيك: يولي الكثير من الأشخاص أهمية كبيرة لأمانهم على الإنترنت، ولكنّهم لا يضعون الجهد لاتخاذ التدابير الاحتياطية المتعلّقة بالأمان، باعتبارها مهمة شاقة. يفسر ذلك تعمُد المستخدمين في معظم الأحيان استخدام كلمة المرور نفسها لحساباتٍ متعددة، وهو أكبر خطأ قد يرتكبونه من ناحية الأمان. ونعلم أنّ مهمتنا هي أن نوضّح للمستخدمين الطرق التي تمكّنهم من حماية حساباتهم بأقل مجهود من جانبهم. لهذا نوفّر وظيفة فحص الأمان في حسابات Google، والتي تتيح للمستخدمين التحقّق من إعدادات الأمان بكل سهولة.

ميكليتز: في الواقع، يكفي عادةً الالتزام ببعض القواعد الأساسية.

وما هي هذه القواعد؟

ميكليتز: يجب تفادي استخدام كلمة مرور واحدة في أكثر من خدمة، كما يجب تثبيت تحديثات الأمان وتجنُّب البرامج المريبة. وينبغي توفير رقم هاتف أو عنوان بريد إلكتروني بديل كي يتسنّى لنا التواصل مع المستخدم بطُرق أخرى. علاوة على ذلك، يجب تفعيل ميزة "قفل الشاشة" في الهاتف لمنع الأشخاص غير المصرّح لهم من الوصول إلى الحساب. وتُعدّ هذه الخطوات في حد ذاتها بداية جيدة للحفاظ على أمان المستخدمين على الإنترنت.

.

من تصوير: كوني ميرباخ

العودة إلى أعلى الصفحة