الطريقة التي تستخدمها Google للحفاظ على أمان بيانات المستخدمين

يستخدم منفّذو الهجمات الإلكترونية طُرقًا متنوعة لمحاولة اختراق حسابات المستخدمين، بما في ذلك الاستيلاء على الحسابات والتصيّد الاحتيالي وتوظيف برامج ضارة. ويحرص خبراء الأمان في Google، ومن بينهم "ستيفان ميكليتس" و"تادك بيتراشيك"، على التصدي لمثل هذه الهجمات.

سيد "بيتراشيك"، من واقع مسؤوليتك وفريقك عن الحفاظ على أمان حسابات المستخدمين، كيف يمكنكم منع المخترقين من الوصول إلى حسابات المستخدمين؟

"تادك بيتراشيك"، كبير مهندسي البرامج لأمان حسابات المستخدمين: في البداية، يجب أن نتمكّن من رصد الهجوم الأوّلي، ولذلك نستخدم أكثر من مئة متغيّر لتحديد الأنشطة المريبة. لنفترض أنّ أحد المستخدمين يعيش في ألمانيا، ونادرًا ما يسافر إلى الخارج، وهناك من يحاول الوصول إلى حسابه من بلد آخر. في هذه الحالة، تنطلق الإنذارات للتحذير من اختراق محتمل.

"ستيفان ميكليتس"، مدير قسم الهندسة بفريق الخصوصية والأمان في Google: لهذا السبب نطلب من المستخدم أحيانًا تأكيد رقم الهاتف الذي سبَق وشاركه معنا أو أي معلومة أخرى لا يعرفها أحد غيره بصفته صاحب الحساب.

يرى "تادك بيتراشيك" (يسار الصورة) أنّ التصيّد الاحتيالي أحد أخطر التهديدات الأمنية على الإنترنت.

ما مدى تكرار هذه الأنواع من الهجمات؟

"بيتراشيك": تواجه الحسابات مئات الآلاف من الهجمات الإلكترونية يوميًا. ولعلّ أكبر مشكلة تواجهنا هي توفّر أعداد لا تُحصى من قوائم أسماء المستخدمين وكلمات المرور على الإنترنت تمت سرقتها من مواقع إلكترونية مُخترَقة. وقد تتضمن هذه القوائم بيانات تسجيل الدخول إلى حسابات Google لأن بعض المستخدمين لديه كلمة مرور واحدة يدخل بها إلى أكثر من حساب.

هل تمثّل هذه القوائم أخطر التهديدات الأمنية؟

"بيتراشيك": نعم، إنّها الأخطر بكل تأكيد، إلى جانب هجمات التصيّد الاحتيالي العادية. وما مِن مستخدم تقريبًا إلا وقد تلقّى رسائل إلكترونية من أحد المجرمين في محاولة للحصول على كلمة المرور إلى حسابه. ونحن بطبيعة الحال نعمل جاهدين لضمان التصدي لهذه المحاولات. وإذا تبيّن لنا أنّ واحدة من الرسائل الإلكترونية الموجّهة إلى بريدك في Gmail مريبة، نضع علامة تحذير عليها كي يتسنى لك التحقّق منها بنفسك وقد نزيلها تلقائيًا. يرسل متصفّح Chrome كذلك تنبيهات عند محاولتك زيارة موقع إلكتروني مصنَّف لدينا ضمن مواقع التصيّد الاحتيالي.

"ميكليتس": هناك نوعان أساسيان من التصيّد الاحتيالي. النوع الأول هو التصيّد من خلال الرسائل الإلكترونية الجماعية والذي يستهدف منفّذوه جمع أكبر قدر ممكن من بيانات تسجيل الدخول، والنوع الآخر هو ما يعرف باسم "التصيّد الاحتيالي الموجَّه" الذي يستهدف حساب مستخدم معيَّن. قد تنطوي هذه الهجمات على عمليات معقَّدة للغاية تستمر لعدة أشهر، وخلال هذه الفترة يتعقَّب مهاجم الحساب تفاصيل حياة الضحية، ثم يُطلق هجمته التي تكون موجّهة بدقة.

"إذا تبيّن لنا أنّ واحدة من الرسائل الإلكترونية الموجّهة إلى بريدك في Gmail مريبة، نضع علامة تحذير عليها."

تادك بيتراشيك

ما هي الطريقة التي توفّرها Google لمساعدة المستخدمين في التصدي لهذه الهجمات؟

"بيتراشيك": إحدى الوسائل التي نستخدمها لحماية بيانات المستخدمين هي نظام التحقّق بخطوتين. ويتوافر لدى الكثير من المستخدمين معلومات كافية حول هذا النظام لأنّهم يتّبعون خطوات مشابهة عند تعاملهم مع حساباتهم المصرفية على الإنترنت. على سبيل المثال، إذا أراد المستخدم تحويل مبلغ مالي، قد يتطلب ذلك إدخال كلمة المرور بالإضافة إلى رمز يتم إرساله في رسالة نصية. وكان لشركة Google السبق في استخدام ميزة "المصادقة الثنائية" عام 2009 قبل معظم مزوِّدي خدمات البريد الإلكتروني الآخرين. ويحصل تلقائيًا مستخدمو Google الذين سجّلوا أرقام هواتفهم الجوّالة على المستوى ذاته من الحماية ضد محاولات تسجيل الدخول المريبة.

ويضيف "ميكليتس": تُعدّ المصادقة الثنائية طريقة مناسبة لتوفير الأمان، إلا أنّه قد يتم الاستيلاء على الرموز المُرسلة ضمن الرسائل النصية. على سبيل المثال، قد يتواصل المجرمون مع مُقدِّم خدمة الجوّال في محاولة للحصول على شريحة SIM ثانية، وهذا يستدعي اتّباع إجراء أكثر أمانًا من خلال المصادقة باستخدام مفتاح أمان خارجي، مثل جهاز إرسال بالبلوتوث أو جهاز USB.

"بيتراشيك": نستخدم هذه الأدوات في إطار برنامج الحماية المتقدّمة.

ما هو المقصود بهذا البرنامج؟

"بيتراشيك": أطلقت Google "برنامج الحماية المتقدّمة" عام 2017، وهو برنامج مخصّص للمستخدمين الأكثر عُرضة لمحاولات الاختراق، مثل الصحفيين والرؤساء التنفيذيين للشركات والسياسيين وأعضاء المعارضة السياسية.

"ميكليتس": بالإضافة إلى مفتاح الأمان الخارجي، نضع قيودًا على وصول التطبيقات التابعة لجهات خارجية إلى البيانات، وذلك من خلال اشتراط اتّباع خطوات إضافية تساعدنا على التحقّق من هوية المستخدمين في حال فقدهم للمفاتيح.

ستيفان ميكليتس
Sicherheitsschlüssel

يتولّى مدير قسم الهندسة "ستيفان ميكليتس" قيادة فريق الخصوصية والأمان العالمي في Google. درَس "ميكليتس" علوم الكمبيوتر في "جامعة ميونيخ التقنية" ويعمل لدى مقرّ Google في "ميونيخ" منذ أواخر عام 2007.

هل يمكن إطلاعنا على إحدى الهجمات الإلكترونية الكبيرة التي واجهتكم وكيف تعاملتم معها؟

"بيتراشيك": في مطلع عام 2017، وقعت إحدى الهجمات بعدما أنشأ المخترقون برنامجًا ضارًا للوصول إلى حسابات المستخدمين المستهدَفين على Google وإرسال رسائل إلكترونية مزيّفة إلى قوائم جهات الاتصال لدى هؤلاء المستخدمين. وطُلب من متلقّي هذه الرسائل منح إذن الوصول إلى مستند Google مزيّف. ونجح هذا البرنامج الضار في الوصول إلى حسابات المستخدمين الذين وافقوا على هذا الطلب، وأرسل البرنامج تلقائيًا الرسائل الإلكترونية المزيّفة نفسها إلى قوائم جهات الاتصال لدى هؤلاء المستخدمين، وسرعان ما انتشر الفيروس. وحتى نواجه مثل هذه المخاطر، نحرص على أن تكون لدينا خطط طوارئ.

"ميكليتس": على سبيل المثال، في هذا الموقف تحديدًا حظرنا توزيع هذه الرسائل الإلكترونية في Gmail وأبطلنا حق وصول البرنامج إلى الحسابات ونجحنا في تأمينها. علاوة على ذلك، أضفنا بعض تدابير الوقاية الممنهجة للتصدي لأي هجمات مشابهة في المستقبل. تتعرض حسابات Google بشكل متواصل لهجمات أمنية، ولكننا ننجح بفضل أنظمتنا المبرمَجة في توفير أعلى مستويات الحماية الفعّالة لهذه الحسابات. وهذا النجاح بالطبع يستند إلى قدرتنا على التواصل مع المستخدمين من خلال وسائل أخرى غير حساباتهم على Google، مثل عنوان البريد الإلكتروني البديل أو رقم الهاتف الجوّال.

"في الواقع، لا يتطلب الأمر عادةً سوى الالتزام ببعض القواعد الأساسية."

ستيفان ميكليتس

ما مدى أهمية الأمان للمستخدم العادي؟

"بيتراشيك": يرى الكثير من الأشخاص أنّ الحفاظ على أمانهم على الإنترنت أمر في غاية الأهمية، غير أنّ اتخاذ التدابير الاحتياطية المتعلّقة بالأمان قد يكون أمرًا شاقًا بالنسبة إليهم. ولعل هذا الاعتقاد يفسر لنا تعمُد المستخدمين في معظم الأحيان استخدام كلمة المرور نفسها لحساباتٍ متعددة، وهو أكبر خطأ قد يرتكبه المستخدم عندما يتعلّق الأمر بالأمان. ومهمتنا هي أن نوضّح للمستخدمين الطرق التي تمكّنهم من حماية حساباتهم بأقل مجهود من جانبهم. وهذا هو السبب الذي دفعَنا إلى توفير وظيفة فحص الأمان في حساب Google، والتي تتيح للمستخدمين التحقّق من إعدادات الأمان بكل سهولة.

"ميكليتس": في الواقع، لا يتطلب الأمر عادةً سوى الالتزام ببعض القواعد الأساسية.

هل يمكننا الاطّلاع على هذه القواعد؟

"ميكليتس": يجب تفادي استخدام كلمة مرور واحدة في أكثر من خدمة، كما يجب تثبيت "تحديثات الأمان" وتجنُّب البرامج المريبة. وينبغي توفير رقم هاتف أو عنوان بريد إلكتروني بديل كي يتسنّى لنا التواصل مع المستخدم بطُرق أخرى. علاوة على ذلك، يجب تفعيل ميزة "قفل الشاشة" في الهاتف كي يتعذّر على الأشخاص غير المصرّح لهم الوصول إلى الحساب. وتُعدّ هذه الخطوات في حد ذاتها بداية جيدة للحفاظ على أمان المستخدمين على الإنترنت.

من تصوير: "كوني ميرباخ"

تطورات الأمن السيبراني

تعرَّف على أساليبنا الفريدة التي تساعدنا على حماية أكبر عدد ممكن من المستخدمين على الإنترنت.

مزيد من المعلومات