الساعة الثانية وسبعة عشر دقيقةً صباحاً. يهتز هاتفك. إشعار push من Microsoft Authenticator: «هل تحاول تسجيل الدخول؟ موافقة / رفض.» تضغط رفض وتضع الهاتف وجهه للأسفل. بعد عشرين ثانية يهتز مجدداً. ثم مرة أخرى. ومرة أخرى. بحلول التنبيه السابع أو الثامن، أنت نصف مستيقظ، في حيرة من أمرك إن كنت قد بدأت فعلاً جلسة تسجيل دخول في وقت سابق من المساء — ربما تركت علامة تبويب مفتوحة؟ — وبحلول التنبيه الخامس عشر، تضغط موافقة فقط لإيقاف الضجيج.
تهانيّ. مهاجم اشترى بيانات اعتماد شركتك باثني عشر دولاراً على أحد منتديات الشبكة المظلمة، دخل للتو من الباب الأمامي لشبكة مؤسستك.
هذا ما يُعرف بـ«إرهاق المصادقة متعددة العوامل»، ولم يعد حالةً نادرة وغريبة. بات الآن من أكثر تقنيات الوصول الأولي تكراراً في تحقيقات الاختراق على مستوى الشركات.
ما هو إرهاق MFA
كان يُفترض أن المصادقة متعددة العوامل (MFA) تكون الإجابة الحاسمة على مشكلة كلمات المرور المسروقة. حتى لو حصل المهاجم على اسم مستخدم وكلمة مرور صالحَين — عبر التصيد الاحتيالي، أو تسريب بيانات الاعتماد، أو برامج سرقة المعلومات — لا يزال بإمكانه تسجيل الدخول دون العامل الثاني الذي يحتفظ به المستخدم الشرعي.
يستغل الهجوم عبر push خللاً تصميمياً واحداً في هذا المنطق: العامل الثاني يوافق عليه إنسان. والإنسان قابل للاستنزاف.
في هجوم push bombing، يُغذّي المهاجم حلقة تسجيل دخول آلية ببيانات اعتماد الضحية الصالحة. كل محاولة فاشلة تُطلق إشعار push جديداً على جهاز الضحية المسجَّل. يُشغّل المهاجم الحلقة باستمرار — عشرات، وأحياناً مئات المرات — على مدى ساعات، أو طوال الليل، أو خلال ساعات الفجر الأولى التي اختيرت تحديداً لأن المقاومة المعرفية فيها في أدنى مستوياتها.
الآلية بسيطة. يحصل المهاجمون على بيانات الاعتماد من قواعد بيانات الاختراق، أو مجموعات التصيد الاحتيالي، أو برامج سرقة المعلومات مثل RedLine وRaccoon. ثم يكتبون برنامجاً لحلقة المصادقة ضد موفر الهوية المستهدف — Azure AD أو Okta أو Duo أو أي منصة أخرى. كل تكرار في الحلقة يولّد push جديداً. ولأن طلب المصادقة صحيح تقنياً (بيانات اعتماد حقيقية، ونقطة نهاية حقيقية)، لا يستطيع موفر الهوية تمييزه عن تسجيل الدخول الحقيقي.
تُضخّم طبقة الهندسة الاجتماعية الهجوم الآلي. إلى جانب قنبلة الإشعارات، يتصل المهاجم بالضحية عبر WhatsApp أو Signal أو LinkedIn أو بريد إلكتروني مؤسسي مزيَّف، متظاهراً بأنه دعم تقنية المعلومات: «نرصد نشاط تسجيل دخول غير معتاد على حسابك. يرجى الموافقة على مطالبة التحقق حتى نتمكن من التحقيق وإغلاق الباب أمام الجهة المهددة.» الضحية، وقد هُيِّئت بعاصفة الإشعارات وطمأنتها التدخل الظاهر لتقنية المعلومات، توافق. المهاجم الآن داخل النظام.
اختراق Uber: دراسة حالة في الكشف عن المؤسسات
يبقى اختراق Uber في سبتمبر 2022 المثال الأكثر دراسةً لإرهاق MFA على مستوى الشركات. المهاجم — الذي تبيّن لاحقاً أنه مراهق مرتبط بمجموعة القرصنة Lapsus$ — اشترى بيانات اعتماد VPN صالحة لأحد مقاولي Uber من سوق على الشبكة المظلمة.
كان حساب المقاول محمياً بـ MFA القائم على push. بدأ المهاجم محاولات مصادقة متكررة، كل منها يولّد إشعار push على هاتف المقاول. بعد تلقي أكثر من ثلاثين إشعاراً، توقف المقاول عن رفضها. ثم اتصل المهاجم بالمقاول مباشرة عبر WhatsApp، مدّعياً أنه موظف أمن تقنية المعلومات في Uber، وأفاد بأن الإشعارات ستتوقف بمجرد موافقة المقاول على الطلب.
وافق المقاول. وصل المهاجم إلى شبكة VPN الخاصة بـ Uber، وبمجرد دخوله إلى المحيط الداخلي، اكتشف مشاركة شبكية تحتوي على سكريبتات PowerShell. كانت مضمّنة في تلك السكريبتات بيانات اعتماد إدارية مشفّرة بصلابة لنظام إدارة الوصول المميز (PAM) الخاص بـ Uber من Thycotic. منحت تلك البيانات وصولاً إلى كل خدمة داخلية تقريباً: AWS وGoogle Cloud وSlack وHackerOne وتقارير bug bounty الخاصة بـ Uber — بما فيها إفصاحات الثغرات غير المُرقَّعة.
استغرق الاختراق بأكمله من الموافقة الأولى إلى الوصول الداخلي الكامل أقل من ساعتين. لم تكن التكلفة استغلالاً متطوراً لثغرة zero-day. كانت مقاولاً مُرهَقاً ورسالة WhatsApp مضلِّلة.
لم يكن Uber مهملاً بصورة استثنائية. استُخدمت الأسلوب ذاته — شراء بيانات الاعتماد وpush bombing والهندسة الاجتماعية — في اختراقات موثقة ضد Cisco وTwilio وCloudflare وMGM Resorts وعدة مؤسسات مالية لم تُكشَف أسماؤها. في حادثة Cloudflare، أفشل النشر المسبق للشركة لمفاتيح FIDO2 المادية الهجوم؛ إذ لم تُنتج موافقة المقاول على push جلسة وصول صالحة لأن Cloudflare كانت قد انتقلت بالفعل بعيداً عن MFA القائم على push للأنظمة المميزة.
لماذا ينجح هذا على البشر
المشكلة الهيكلية الأكثر استمراراً في الأمن السيبراني هي أن الحلقة الأضعف ليست برمجيات — بل هو الجهاز العصبي البشري الذي يعمل تحت ضغط الوقت وفيض المعلومات.
تولّد إشعارات push ديناً معرفياً. كل تنبيه غير محلول يتطلب انتباهاً ذهنياً. حين تتدفق الإشعارات كالطوفان، ينتقل الدماغ من التقييم المتعمد («هل بدأت تسجيل الدخول؟») إلى الاستدلال الإتمامي («هذه الأمور عادةً تُحل بالضغط على موافقة»). يسمي علماء النفس هذا تعب القرار؛ ويسميه ممارسو الأمن عمى الإشعارات. النتيجة واحدة: يُستبدل الإجراء الوقائي — الضغط على رفض — بإجراء مصمم لإنهاء المهيّج.
التوقيت متعمَّد. يُشغّل المهاجمون حملات push bombing تحديداً بين منتصف الليل والخامسة صباحاً بالتوقيت المحلي، أو خلال عطل نهاية الأسبوع، حين تكون الضحايا نائمة أو مسافرة أو مشتتة الذهن. موافقة إشعار واحد، وأنت شبه نائم، قد تفتح شبكة مؤسسية بأكملها. لا يحتاج المهاجم إلا إلى لحظة واحدة من انخفاض اليقظة على مدار حملة مفتوحة المدة.
تُزيل طبقة الهندسة الاجتماعية خط الدفاع الأخير: الشك. يطمئن اتصال أو رسالة انتحال هوية تقنية المعلومات جيدة الإعداد الضحيةَ إلى أن الموافقة على push هي الإجراء الأمني الصحيح، مما يقلب الرد الوقائي. يُقال للضحية أن الرفض سيُمكّن المهاجم من الدخول؛ بينما في الواقع، الموافقة هي بالضبط ما يحتاجه المهاجم.
إعلان
التطور إلى ما وراء Push Bombing
لا يعتمد المهاجمون المتطورون على إرهاق push وحده. تمتد عدة تقنيات تكميلية إلى أساليب MFA لا تستخدم إشعارات push أصلاً.
مبادلة SIM تستهدف SMS-OTP كعامل ثانٍ. بالتلاعب الاجتماعي بموظفي دعم شركة الاتصالات لنقل رقم هاتف الضحية إلى شريحة SIM يتحكم بها المهاجم، يعترض الأخير جميع الرسائل النصية، بما فيها كلمات المرور لمرة واحدة. مبادلة SIM موثقة جيداً في سرقة العملات المشفرة، وقد استُخدمت ضد أهداف عالية القيمة من بينهم مسؤولون تنفيذيون في شركات ومسؤولون حكوميون.
تصيد OTP يستخدم التتابع في الوقت الفعلي. يعرض المهاجم صفحة تصيد احتيالي مقنعة تعكس بوابة تسجيل دخول شرعية. حين تُدخل الضحية بيانات اعتمادها، يمرّرها المهاجم إلى الموقع الحقيقي في الوقت الفعلي ويطلب رمز لمرة واحدة. تستلم الضحية OTP وتُدخله في الصفحة المزيفة؛ يلتقطه المهاجم ويُدخله في الموقع الحقيقي قبل انتهاء صلاحيته (عادةً في ثلاثين ثانية). تُؤتمت أدوات مثل Evilginx2 وModlishka هذا التتابع، إذ تعمل وسيطاً لجلسة المصادقة بأكملها وتلتقط ملفات تعريف الجلسة التي تبقى صالحة بعد اكتمال المصادقة.
هجمات الخصم في المنتصف (AiTM) تمثل أعلى مستويات التطور. بدلاً من سرقة بيانات الاعتماد وOTPs بشكل منفصل، تعترض وسطاء AiTM جلسة HTTPS الكاملة بين الضحية وموفر الهوية، ملتقطةً رموز الجلسة ما بعد المصادقة. تتجاوز هذه الرموز MFA كلياً لأن المصادقة قد اكتملت بالفعل. تُستخدم هجمات AiTM بصورة متزايدة في حملات اختراق البريد الإلكتروني للأعمال، مما يتيح للمهاجمين انتحال هوية المسؤولين التنفيذيين من حسابات بريدهم الإلكتروني الفعلية.
القاسم المشترك بين جميع هذه التقنيات: لا تكسر MFA تشفيرياً. إنها تتجاوزه بمهاجمة طقوس المصادقة — اللحظة البشرية، أو نافذة التتابع، أو طبقة الجلسة — بدلاً من الأساس التشفيري ذاته.
MFA المقاوم للتصيد: الدفاع الوحيد الفعّال
لمصطلح «MFA المقاوم للتصيد الاحتيالي» معنى تقني دقيق. يشير إلى أساليب المصادقة التي يُربط فيها العامل الثاني تشفيرياً بالنطاق المحدد الذي يجري مصادقته، ولا يمكن تمريره أو إعادة تشغيله أو تصيده احتيالياً.
مفاتيح الأمان المادية FIDO2/WebAuthn — YubiKey وGoogle Titan وFeitian — تولّد تحدياً واستجابةً باستخدام زوج مفاتيح غير متماثل مُخزَّن على الجهاز المادي. الاستجابة مرتبطة تشفيرياً بنطاق المصدر. لا يستطيع وسيط التصيد الاحتيالي تمرير هذه الاستجابة إلى نطاق مختلف؛ سيفشل تبادل المصافحة التشفيرية. تُوصي CISA الآن رسمياً بـ FIDO2 باعتباره المعيار الذهبي لـ MFA المقاوم للتصيد وتفرضه على الوكالات الفيدرالية الأمريكية بموجب التوجيه التشغيلي الملزم 22-09.
الـ Passkeys تمتد بـ FIDO2 إلى مصادقات المنصة — أجهزة الاستشعار البيومتري المدمجة في الهواتف الذكية وأجهزة الحاسوب المحمول الحديثة. الـ passkey هو بيانات اعتماد مرتبطة بالجهاز تحلّ محل كلمة المرور وإشعار push معاً. ولأن المفتاح الخاص لا يغادر الجهاز أبداً وبيانات الاعتماد مرتبطة بالنطاق، فإن passkeys مقاومة للتصيد الاحتيالي وpush bombing وبروكسي AiTM. دمجت Apple وGoogle وMicrosoft دعم passkeys في أنظمة تشغيلها ومنصات هويتها.
مطابقة الأرقام هي ضابط انتقالي للمؤسسات التي لا تستطيع الانتقال فوراً بعيداً عن MFA القائم على push. تدعم Microsoft Authenticator وDuo وغيرهما الآن مطالبات مطابقة الأرقام: تعرض صفحة تسجيل الدخول رقماً مكوناً من رقمين، ويجب على المستخدم إدخال ذلك الرقم المحدد في تطبيق Authenticator للموافقة. هذا يُلغي الموافقة دون سياق، لأن المستخدم المُرهَق لا يستطيع ببساطة الضغط على موافقة — عليه قراءة ونسخ رمز، مما يستلزم قدراً كافياً من الصحو للتعرف على مطالبة غير عادية أو غير متوقعة.
المصادقة السياقية تضيف إشارات سلوكية — وضعية صحة الجهاز، والموقع الجغرافي، وخصائص الشبكة، وخطوط الأساس الزمنية — إلى قرار المصادقة. موافقة من جهاز جديد في بلد غير متوقع عند الساعة الثالثة صباحاً تُطلق مصادقة متصاعدة أو تحجب المحاولة كلياً. عند التطبيق الصحيح، يخلق MFA التكيفي احتكاكاً للمهاجمين العاملين من بنية تحتية غير مألوفة مع الحفاظ على شفافيته للمستخدمين الشرعيين.
ما يجب على المؤسسات فعله
وصل مجتمع الأمن إلى توافق بشأن الحد الأدنى من الإجراءات المطلوبة للتعامل مع إرهاق MFA:
فرض MFA المقاوم للتصيد على جميع الحسابات المميزة فوراً. يمثل المسؤولون، ومستخدمو الوصول عن بُعد، والمسؤولون التنفيذيون، وكل من يملك صلاحية الوصول إلى أنظمة إدارة الهوية الأهدافَ الأعلى قيمةً. ينبغي أن تحلّ مفاتيح FIDO2 المادية أو passkeys محل MFA القائم على push لهذه الحسابات كأولوية أولى، لا كطموح بعيد المدى.
نشر مطابقة الأرقام عبر جميع عمليات نشر MFA القائم على push. بالنسبة للموظفين غير المنتقلين بعد إلى FIDO2، تُعدّ مطابقة الأرقام ضابطاً منخفض الاحتكاك وعالي الأثر يُلغي الموافقة العمياء. جعلتها معظم منصات Authenticator الرئيسية متاحةً؛ لكن كثيراً من المؤسسات لم تُفعّلها بعد.
تطبيق اكتشاف الشذوذ على أنماط المصادقة. حساب واحد يولّد ثلاثين محاولة MFA فاشلة في غضون ساعة هو إشارة هجوم لا لبس فيها. ينبغي أن تُنبّه منصات الهوية وأنظمة SIEM على هذا النمط في الوقت الفعلي، مُطلقةً قفل الحساب التلقائي والاستجابة للحوادث.
إجراء تدريب صريح على إرهاق MFA. تغطي معظم برامج التوعية الأمنية التعرف على رسائل التصيد الاحتيالي الإلكترونية؛ قلة منها تُدرّب صراحةً المستخدمين على التعرف على هجمات push bombing ومرافقات الهندسة الاجتماعية. يحتاج الموظفون إلى فهم أن دعم تقنية المعلومات الشرعي لن يطلب منهم أبداً الموافقة على إشعار push، وأن المطالبات غير المتوقعة المتكررة تعني أن مهاجماً يملك كلمة مرورهم.
اعتماد الوصول إلى الشبكة بدون ثقة (ZTNA). حتى لو تجاوز مهاجم MFA، تحدّ بنى معمارية عدم الثقة من نصف قطر الانفجار بتطبيق أقل الامتيازات اللازمة، والتحقق من صحة الجهاز، وإعادة التقييم المستمر للجلسة. كان اختراق Uber كارثياً جزئياً لأن وصول VPN، بمجرد منحه، وفّر إمكانية تنقل جانبي واسعة. يُلغي ZTNA الثقة الضمنية التي جعلت ذلك التنقل ممكناً.
MFA ليس مكسوراً. لا يزال ضابطاً حيوياً. لكن MFA القائم على push الذي يُنشر دون ضوابط تكميلية يمتلك ناقل تجاوز موثقاً جيداً يستخدمه المهاجمون على نطاق واسع. المؤسسات التي تتعامل مع MFA كخانة اختيار لا كوضعية أمنية متعددة الطبقات هي التي يوافق فيها مقاولوها على الإشعارات عند الساعة الثانية صباحاً.
الأسئلة الشائعة
ما المقصود بـ MFA Fatigue Attacks؟
يتناول هذا المقال الجوانب الأساسية لهذا الموضوع، ويستعرض الاتجاهات الحالية والجهات الفاعلة الرئيسية والتداعيات العملية على المهنيين والمؤسسات في عام 2026.
لماذا يُعد هذا الموضوع مهمًا؟
يكتسب هذا الموضوع أهمية كبيرة لأنه يؤثر بشكل مباشر على كيفية تخطيط المؤسسات لاستراتيجيتها التقنية وتخصيص مواردها وتموضعها في مشهد سريع التطور.
ما أبرز النقاط المستخلصة من هذا المقال؟
يحلل المقال الآليات الرئيسية والأطر المرجعية والأمثلة الواقعية التي تشرح كيفية عمل هذا المجال، مستندًا إلى بيانات حديثة ودراسات حالة عملية.
المصادر والقراءات الإضافية
- CISA — تطبيق MFA المقاوم للتصيد الاحتيالي (ورقة حقائق)
- Uber — تحديث أمني حول اختراق 2022
- Microsoft Security Blog — اكتشاف هجمات إرهاق MFA واحتواؤها
- FIDO Alliance — Passkeys: مستقبل بلا كلمات مرور
- Verizon — تقرير تحقيقات اختراق البيانات (DBIR)، فصل الهندسة الاجتماعية
- Proofpoint — تقنيات تجاوز MFA والدفاعات المضادة
