ما وراء كلمة المرور: كيف يمكن للفرق الجزائرية إيقاف برمجيات infostealer التي تتجاوز المصادقة متعددة العوامل

عندما تتوقف المصادقة متعددة العوامل عن أن تكون كافية

بالنسبة لمعظم الشركات الجزائرية، بدا تفعيل المصادقة متعددة العوامل (MFA) خط النهاية لمشروع أمن الهوية. أضف رمزاً من تطبيق أو رسالة SMS فوق كلمة المرور، ويصبح الحساب آمناً. هذا الافتراض خاطئ الآن بطريقة محددة وخطيرة — والبيانات التي تثبت ذلك صارخة.

وفقاً للإصدار النصفي من Global Threat Intelligence Index الصادر عن Flashpoint، كما نقلته Infosecurity Magazine، حصدت برمجيات infostealer 1.8 مليار بيانات اعتماد في الأشهر الستة الأولى من عام 2025، أي بزيادة قدرها 800% عن الأشهر الستة السابقة، من 5.8 مليون مضيف مصاب. ومع نهاية العام، أحصى تقرير Global Threat Intelligence 2026 الصادر عن Flashpoint أكثر من 11.1 مليون جهاز مصاب ببرمجيات infostealer و3.3 مليار بيانات اعتماد ورمز سحابي مخترق. وتأتي جملته الأهم لأي مدير لتقنية المعلومات في الجزائر كالتالي: «لقد تحوّلت الآليات الأساسية للجريمة السيبرانية من اقتحام الأنظمة إلى تسجيل الدخول إليها، إذ يستغل المهاجمون ملفات تعريف ارتباط الجلسات المسروقة للتصرف كمستخدمين شرعيين.»

هذا التحول هو جوهر المشكلة. تحمي MFA لحظة تسجيل الدخول — لكنها لا تحمي الجلسة التي تليها.

كيف يمرّ ملف الارتباط المسروق مباشرةً أمام MFA لديك

عندما يسجّل موظف الدخول إلى تطبيق ويب — Microsoft 365 أو Google Workspace أو بوابة مصرفية أو لوحة تحكم داخلية — ويُكمل تحدي MFA، يُصدِر التطبيق ملف ارتباط جلسة (cookie). يخزّن المتصفح هذا الملف ويقدّمه مع كل طلب لاحق. وكما يوضح التحليل التقني من WhiteIntel، فإن التطبيق حينها «يثق بهذا الرمز للجلسة دون إعادة التحقق من بيانات الاعتماد». لم تحمِ MFA سوى باب الدخول؛ أما ملف الارتباط فهو مفتاح لم يعد حارس الباب يفحصه.

برمجية infostealer — التي تُوزَّع غالباً عبر تنزيل برنامج مكسور (cracked) أو امتداد متصفح خبيث أو طُعم تصيّد — لا تحاول كسر كلمة المرور ولا هزيمة MFA. إنها ببساطة تنسخ ملف ارتباط الجلسة من مخزن المتصفح وترسله إلى المهاجم. يحمّل المهاجم الملف في متصفحه الخاص، وكما تصوغها WhiteIntel، «يخدمه التطبيق كما لو كان هو المستخدم». لا مطالبة بكلمة مرور. لا إشعار MFA. لا شيء تلاحظه الضحية.

لهذا السبب أصبحت سرقة الجلسات فئة تهديد قائمة بذاتها. ويُفيد تحليل Security Magazine للثغرات الهوياتية الأربع التي يستغلها المهاجمون بأن نحو واحد من كل ثلاث حوادث بات يتضمن سرقة بيانات اعتماد، مع ارتفاع توزيع infostealer بنسبة 84% على أساس سنوي. والمقال صريح في أن «تجاوز MFA» تسمية مضللة — فقد عملت MFA بشكل صحيح؛ المهاجم ببساطة سرق الأثر الذي صدر بعد نجاحها.

ويُعدّ حجم اقتصاد سرقة ملفات الارتباط تحذيراً بحد ذاته. فقد وجد تقرير Identity Breach 2026 الصادر عن Constella، كما لخّصته التغطية المتخصصة أن برمجيات infostealer عالجت 51.7 مليون حزمة بيانات في 2025، بزيادة قدرها 72% على أساس سنوي — وأن هذه الحزم خطيرة بشكل خاص تحديداً لأنها تحمل ملفات ارتباط جلسات نشطة تتجاوز MFA بالكامل.

لماذا يقع هذا بقوة في الجزائر

أصبح الحضور الرقمي للجزائر كبيراً بما يكفي ليكون هذا التهديد خطراً حاضراً، لا تجريداً أجنبياً. فقد أحصى تقرير Digital 2025 الجزائر الصادر عن DataReportal 36.2 مليون مستخدم للإنترنت في بداية عام 2025، أي بمعدل انتشار 76.9%. وكل واحد من هؤلاء المستخدمين الذي يسجّل الدخول إلى حساب عمل من حاسوب محمول شخصي أو حاسوب عائلي مشترك أو جهاز يشغّل برمجيات مكسورة يمثّل نقطة دخول محتملة لسرقة ملفات الارتباط.

ثمة واقعان محليان يزيدان من حدة الانكشاف. أولاً، الانتشار الواسع للبرمجيات غير المرخّصة والمكسورة — وهي عادة شائعة لتوفير التكاليف في الشركات الصغيرة — يُعدّ من أكثر قنوات توزيع infostealer موثوقية، لأن «الكسر» (crack) كثيراً ما يكون هو البرمجية الخبيثة نفسها. ثانياً، تفتقر كثير من الشركات الصغيرة والمتوسطة الجزائرية إلى أسطول أجهزة مُدار، فيسجّل الموظفون الدخول إلى أنظمة العمل من أجهزة شخصية لا تملك الشركة أي رؤية عليها. وملف ارتباط مسروق من جهاز منزلي يبدو للتطبيق غير قابل للتمييز عن تسجيل دخول شرعي من المكتب.

الخبر السار: الدفاعات أدناه مسألة إعداد وانضباط، لا أدوات باهظة. وهي في متناول فريق صغير لتقنية المعلومات، بل وحتى مسؤول كفء واحد.

ما الذي ينبغي على فرق تقنية المعلومات الجزائرية فعله

1. فعّل بيانات اعتماد الجلسة المرتبطة بالجهاز حيثما توفّرها منصتك

أقوى دفاع بنيوي هو جعل ملف الارتباط المسروق عديم الفائدة على أي جهاز غير الجهاز الذي صدر إليه. فقد أتاحت Google بيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC) للجميع في Chrome على Windows في 10 أبريل 2026، رابطةً الجلسة تشفيرياً بوحدة النظام الأساسي الموثوق (TPM) في الجهاز بحيث «لا يمكن تصدير» المفتاح الخاص ويصبح ملف الارتباط المنسوخ سريعاً بلا قيمة. إذا كانت مؤسستك تستخدم Google Workspace، فعّل ربط الجلسة من وحدة تحكم المسؤول؛ وإذا كنت تستخدم Microsoft 365، فالمكافئ هو حماية الرموز والتقييم المستمر للوصول. لا تنتظر اختراقاً لتُشغّل هذه المفاتيح — فهي معطّلة افتراضياً ولا تكلّف شيئاً. التحفظ الوحيد من WhiteIntel: تغطية الربط بالجهاز ما تزال «جزئية عبر SaaS في 2026»، فتعامل معها كطبقة لا كالجدار بأكمله.

2. قصّر مدد الجلسات وافرض إعادة المصادقة على الإجراءات الحساسة

ملف الارتباط المسروق ذو قيمة فقط ما دام صالحاً. قلّص النافذة. اضبط مزوّد الهوية لديك لتنتهي صلاحية جلسات الويب بعد ساعات قليلة بدلاً من أسابيع، واطلب تسجيل دخول جديداً — لا مجرد ملف ارتباط صالح — قبل العمليات عالية الأثر مثل تغيير بيانات الدفع أو تصدير بيانات العملاء أو إضافة مسؤول. توصي WhiteIntel بهذا التراكب تحديداً: مدد جلسات قصيرة مع «إعادة مصادقة مشروطة» للعمليات الحساسة. بالنسبة لشركة جزائرية صغيرة أو متوسطة، الإعداد العملي هو إعادة تسجيل دخول يومية للموظفين وMFA معزّزة على أي إجراء مالي أو إداري. هذا التغيير وحده قادر على تحويل سرقة ملف ارتباط ناجحة من اختراق يدوم شهراً إلى إزعاج يدوم ساعات قليلة.

3. فعّل MFA عند الشذوذ، لا عند تسجيل الدخول فقط

تستطيع معظم منصات الهوية المطالبة بإعادة المصادقة عندما تظهر جلسة فجأة من جهاز جديد أو شبكة جديدة أو موقع غير متوقع. فعّل هذا. وكما تشير Security Magazine، تشمل الدفاعات ضد سرقة الرموز بعد المصادقة «اكتشاف الجلسات الناشئة من شبكات أو أجهزة جديدة» والتقييم المستمر للوصول. عملياً، يعني ذلك أن ملف ارتباط مسروقاً من موظف في وهران ومُعاد تشغيله من قِبل مهاجم عبر عنوان IP أجنبي يُطلق تحدياً لا يستطيع المهاجم الإجابة عليه. اقرن ذلك بالتنبيه ليُخطَر مسؤول تقنية المعلومات لديك، لا المستخدم النهائي وحده — فالمهاجمون يعوّلون على موظف مرتبك يتجاهل المطالبة.

4. اجعل نظافة المتصفح سياسة مكتوبة، لا اقتراحاً

لأن برمجيات infostealer تصل عبر المتصفح وسطح المكتب، فإن الطبقة البشرية حاسمة. احظر البرمجيات المكسورة وغير المرخّصة على أي جهاز يُستخدم للعمل — فهذه أعلى القواعد قيمةً، إذ إن أدوات التثبيت المقرصنة ناقل رئيسي لـ infostealer. قيّد امتدادات المتصفح إلى قائمة سماح مُراجَعة، لأن الامتدادات الخبيثة تقرأ ملفات الارتباط مباشرةً. اشترط ألا يُوصل إلى حسابات العمل إلا من أجهزة بأنظمة تشغيل محدّثة وبرنامج مضاد للبرمجيات الخبيثة نشط. وللموظفين الذين يستخدمون أجهزة شخصية، افرض ملف تعريف متصفح منفصلاً (أو متصفح عمل مخصصاً) كي لا يؤدي اختراق التصفح الشخصي تلقائياً إلى كشف ملفات ارتباط جلسات العمل.

الدرس البنيوي

الرسالة الأعمق في بيانات 2025-2026 هي أن الهوية أصبحت المحيط، وأن لهذا المحيط ثغرة لا تغطيها كلمات المرور وMFA وحدها. وتأطير Flashpoint — انتقال الجريمة السيبرانية «من اقتحام الأنظمة إلى تسجيل الدخول إليها» — ليس شعاراً؛ إنه تعليمة لإعادة تصميم الدفاعات حول الجلسة، لا حول تسجيل الدخول فقط. وبالنسبة للمؤسسات الجزائرية، الجانب المشجّع هو أن أكثر التدابير المضادة فعاليةً هي خيارات سياسة وإعداد متاحة بالفعل في المنصات التي تستخدمها يومياً: الجلسات المرتبطة بالجهاز، ومدد رموز أقصر، وMFA المُفعّلة عند الشذوذ، ونظافة متصفح مفروضة. ولا يتطلب أيٌّ منها مركز عمليات أمنية مخصصاً ولا ميزانية كبيرة. الفرق التي تتبنّاها الآن ستتعامل مع ملف ارتباط مسروق كحادث محتوى؛ أما الفرق التي تفترض أن MFA هي خط النهاية فستظل تكتشف أن مهاجماً ظلّ مسجّلاً كموظفيها لأسابيع.

الأسئلة الشائعة

المصادر والقراءات الإضافية

• والقراءات الإضافية
• Staggering 800% Rise in Infostealer Credential Theft — Infosecurity Magazine
• Global Threat Intelligence Report 2026 — Flashpoint
• Session Hijacking and MFA Bypass Explained — WhiteIntel
• Reframing MFA Bypass: Four Identity Gaps Attackers Exploit — Security Magazine
• Protecting Cookies with Device Bound Session Credentials — Google
• Google Fixed Session Cookie Theft in Chrome — What It Cannot Stop — Constella
• Digital 2025: Algeria — DataReportal