هجمات رشّ كلمات المرور (Password Spraying): كيف تحمي منظّمتك من أخطر أساليب الاختراق؟
هجوم رشّ كلمات المرور يجرّب كلمة شائعة على آلاف الحسابات ليتجنّب الإقفال والكشف. دليل دفاعيّ عمليّ: كيف يعمل، أين خطورته، وكيف تحمي منظّمتك عبر أربع طبقات دفاع.
تخيّل بابًا خلفيًّا لمنظّمتك لا يطرقه المهاجم بعنف ألف مرّة حتى يوصد، بل يجرّب مفتاحًا واحدًا شائعًا على ألف باب مختلف بهدوء. لن تسمع صوت الطرق، ولن يُقفَل أيّ حساب، وقد لا يظهر في سجلّاتك شيء مريب على أيّ حساب بمفرده. هذا هو جوهر هجوم «رشّ كلمات المرور» (Password Spraying): أحد أخطر أساليب الاختراق وأكثرها استخدامًا اليوم ضدّ المنظّمات، لأنه يقلب منطق الدفاع التقليديّ رأسًا على عقب.
ما الذي يجعله مختلفًا عن التخمين التقليديّ؟
هجوم القوّة الغاشمة (Brute Force) التقليديّ يستهدف حسابًا واحدًا بآلاف كلمات المرور، فيُقفَل الحساب سريعًا بعد محاولات فاشلة قليلة، ويُطلق الإنذارات. أمّا رشّ كلمات المرور فيعكس المعادلة: كلمة مرور واحدة شائعة تُجرَّب على عدد كبير من الحسابات، بمعدّل محاولة واحدة (أو محاولتين) لكلّ حساب فقط. النتيجة أن لا حساب يتجاوز عتبة الإقفال، فيبقى الهجوم «تحت الرادار». وهذه بالضبط عبقريّته الخبيثة: يستغلّ أن أغلب أنظمة الحماية تراقب «كم مرّة فشل حسابٌ واحد؟» بدل «كم حسابًا فشل بكلمة المرور نفسها؟».
لماذا ينجح رغم بساطته؟
ينجح لسبب بشريّ بحت: في أيّ منظّمة كبيرة بما يكفي، سيختار أحدهم حتمًا كلمة مرور ضعيفة ومتوقّعة. فحين يجرّب المهاجم كلمة شائعة على آلاف الموظّفين، يكفيه أن يصيب حسابًا واحدًا. الأسلوب «منخفض وبطيء» (Low and Slow): يوزّع المحاولات عبر الوقت وعبر عناوين إنترنت متعدّدة ليذوب في الضجيج الطبيعيّ لعمليات الدخول. ومصدر الأسماء غالبًا ليس سرًّا: أنماط البريد المؤسّسيّ متوقّعة، وقوائم الموظّفين تُجمَع من مصادر مهنية عامّة. باختصار، المهاجم لا يحتاج ذكاءً خارقًا، بل يراهن على قانون الأعداد الكبيرة.
أين تكمن الخطورة الحقيقية؟
الخطر لا ينتهي عند الحساب المخترَق الأوّل. فذلك الحساب، وإن كان لموظّف عاديّ، يصبح «موطئ قدم» (Foothold) داخل الشبكة: منه ينطلق المهاجم للتحرّك الجانبيّ (Lateral Movement)، وتصعيد الصلاحيات، والوصول إلى بيانات أكثر حسّاسية. وتزداد الخطورة في بيئات Active Directory وخدمات السحابة، حيث حساب واحد قد يفتح أبوابًا متتالية. والأخطر أن النشاط بعد الاختراق (تسجيل دخول «شرعيّ» بحساب حقيقيّ) أصعب في الكشف من محاولة الدخول نفسها، ما يجعل الوقاية عند طبقة المصادقة أهمّ من أيّ وقت مضى.
الدفاع الأول والأقوى: المصادقة متعدّدة العوامل
إن لم تقرأ إلا سطرًا واحدًا من هذا المقال، فليكن هذا: المصادقة متعدّدة العوامل (MFA) هي الدفاع الأكثر فعالية على الإطلاق. فحتى لو خمّن المهاجم كلمة المرور الصحيحة، يصطدم بعامل ثانٍ لا يملكه. تشير تقديرات Microsoft إلى أن MFA وحدها قد تمنع نحو 99.9% من الهجمات الآلية. لكن انتبه: ليست كل أنواع MFA متساوية. فالرموز عبر الرسائل النصية (SMS) أضعف وقابلة للاعتراض، بينما تطبيقات المصادقة أقوى، ومفاتيح الأجهزة الفيزيائية (FIDO2/WebAuthn) هي الأمتن. انشر MFA على كل الأنظمة المكشوفة خارجيًّا دون استثناء: البريد، وشبكات VPN، وتطبيقات السحابة.
الطبقة الثانية: اقتل كلمات المرور الضعيفة قبل أن تُولَد
بما أن الهجوم يراهن على وجود كلمة مرور ضعيفة واحدة، فإن إزالة هذا الرهان تُبطله. افرض سياسة كلمات مرور قوية (طول لا يقلّ عن أربعة عشر محرفًا، وتفضيل عبارات المرور الطويلة على التعقيد المربك). والأهمّ: استخدم قوائم كلمات المرور «المحظورة» و«المخترَقة» (مثل خدمة Have I Been Pwned) لمنع الموظّفين من اختيار كلمات معروفة الضعف أو ظهرت في تسريبات سابقة. وشجّع على استخدام مدير كلمات مرور موثوق، فهو يجعل كل كلمة فريدة وطويلة دون عبء الحفظ على الموظّف.
الطبقة الثالثة: كشفٌ يفهم طبيعة الهجوم
هنا مربط الفرس. الكشف عن الرشّ لم يعد «عدّ المحاولات الفاشلة لكلّ عنوان إنترنت»، فهذا ما صُمّم الهجوم ليتجنّبه. الكشف الفعّال في 2026 يقوم على «ربط الإشارات الضعيفة لتصير قوية». عمليًّا، يعني ذلك مراقبة النمط المعكوس: هل فشلت كلمة المرور نفسها على عدد كبير من الحسابات المختلفة خلال نافذة زمنية؟ هذا هو التوقيع المميّز للرشّ. أضف إلى ذلك تنبيهات «السفر المستحيل» (تسجيل دخول من موقعين متباعدين في وقت قصير)، وتجميع المحاولات على مستوى الشبكات (ASN) لا العناوين الفردية، ونشر «حسابات فخّ» (Honeypot) لا يستخدمها أحد، فأيّ محاولة دخول إليها إشارة اختراق شبه مؤكّدة.
الطبقة الرابعة: المصادقة التكيّفية والاستجابة الآلية
الاتجاه الأحدث هو الانتقال من فحص ثابت «نعم/لا» إلى «تقييم مخاطر مستمرّ» لكلّ محاولة دخول. المصادقة التكيّفية (Adaptive Authentication) تضيف تحقّقًا إضافيًّا فقط حين يبدو الأمر مريبًا: دخول من جهاز جديد، أو موقع غير معتاد، أو نمط زمنيّ شاذّ. وعند رصد رشّ مؤكّد، تدخل الاستجابة الآلية: حجب مصدر الهجوم، وإبطال الجلسات المشبوهة، وفرض مصادقة إضافية، عبر تكامل مع أنظمة المراقبة (SIEM/SOAR). الهدف تقليص الزمن بين الكشف والاحتواء إلى أدنى حدّ.
ماذا يعني هذا للمنظّمات؟
هجمات الرشّ ليست حدثًا استثنائيًّا، بل «ضجيج خلفيّ» دائم للإنترنت لا يتوقّف. لكنّ نجاحها يعتمد كليًّا على الثغرات في دفاعك أنت: خدمة مكشوفة، كلمة مرور ضعيفة، غياب MFA، أو كشفٌ لا يُطلق إلا بعد فوات الأوان. والخبر الجيّد أن الدفاع في متناول اليد، ومعظمه إجراءات بسيطة عالية الأثر. القاعدة العملية التي تختصر كل ما سبق: افترض أن إحدى كلمات مرور موظّفيك ضعيفة بالفعل، وابنِ دفاعك على هذا الافتراض. فعّل MFA في كل مكان، امنع الكلمات المخترَقة قبل استخدامها، واضبط كشفك ليسأل السؤال الصحيح — لا «كم مرّة فشل هذا الحساب؟» بل «كم حسابًا فشل بالكلمة نفسها؟». من يطرح السؤال الصحيح، يرى الهجوم قبل أن يرى المهاجم بابًا مفتوحًا.
هل وجدت هذا المقال مفيدًا؟