النقاط الرئيسية:
من خلال الجمع بين الإشارات المرئية الواضحة، وتعليم المستخدم المستمر، والضوابط القائمة على المخاطر من وراء الكواليس، يمكن للمدارس الحفاظ على تسجيلات QR آمنة وسلسة
سرعان ما أصبح تسجيل الدخول الموحد (SSO) المعتمد على QR هو المفضل في المدارس التي تبحث عن وصول سلس، خاصة لبيئات إحضار جهازك الخاص (BYOD).
حقق BYOD نجاحًا كبيرًا في سوق التعليم 15.2 مليار دولار في عام 2024 ومن المتوقع أن تنمو بمعدل نمو مركب (CAGR) يبلغ 17.4 بالمائة في الفترة من 2025 إلى 2033، مدفوعًا بانتشار التعلم الرقمي والأجهزة الذكية الشخصية في المدارس.
ولكن عندما يقوم المهاجمون بتغليف الروابط الضارة في رموز الاستجابة السريعة، يحتاج قادة تكنولوجيا المعلومات في المدارس إلى العثور على حواجز حماية تحافظ على سهولة الاستخدام دون تحويل كل مدخل إلى حصن.
التصيد الاحتيالي عبر رموز QR، وهو تكتيك يُعرف الآن باسم “quishing”، يحدث عندما يضع المهاجمون رموز QR ضارة في رسائل البريد الإلكتروني أو الملصقات ويوجهون الطلاب وأعضاء هيئة التدريس والموظفين إلى صفحات تسجيل دخول مزيفة. على أربعة أخماس وقد شهدت المدارس من الروضة وحتى الصف الثاني عشر تهديدات تستهدف الإنسان مثل التصيد الاحتيالي أو التصيد الاحتيالي، حيث تجاوزت تأثيرات التهديدات السيبرانية التقنيات الأخرى بنسبة 45 بالمائة.
نظرًا لأن رموز QR تخفي أو تحجب عنوان URL حتى بعد المسح، فإنها تتجنب العديد من عوامل تصفية البريد الإلكتروني العشوائي التقليدية وأدوات فحص الروابط.
فيما يلي ثلاث إستراتيجيات لتحقيق التوازن الصحيح بين عمليات تسجيل الدخول السلسة والبيئات الرقمية الآمنة.
كيفية الاهتمام بالإشارات البصرية؟
تقريبًا 60% من رسائل البريد الإلكتروني يتم تصنيف رسائل البريد الإلكتروني التي تحتوي على رموز QR على أنها رسائل غير مرغوب فيها. إن المحتوى ذي العلامة التجارية، مثل شعار المدرسة أو المنطقة، الذي يتوافق مع شكل ومظهر بوابات الويب الأخرى وتطبيقات الطلاب، سيساعد الطلاب على تحديد رمز الاستجابة السريعة الشرعي بدلاً من رمز الاستجابة السريعة الضار.
تظهر الأبحاث الحدودية أن الألوان الجريئة والأيقونات الواضحة يمكن أن تزيد من سرعة التعرف ما يصل إلى 40 في المئة. هذا هو نوع الضمان الفوري الذي يحتاجه الطالب أو المعلم قبل إدخال بيانات الاعتماد على شاشة تسجيل الدخول المستندة إلى QR.
يعد تثقيف المستخدمين للبحث عن النطاق المؤهل بالكامل أو اسم الخدمة ضمن QR، مثل “sso.schooldistrict.edu”، ممارسة جيدة لوقف الهجمات، سواء كانت متعلقة بالمدرسة أم لا. ومع ذلك، سيكون هذا أكثر صعوبة بالنسبة للطلاب الأصغر سنا.
يوضح تقرير فرونتير كيف يعتمد الأطفال الصغار بشكل أكبر على إشارات الألوان والرموز بدلاً من النصوص أو الرموز المجردة. بالنسبة لطلاب مرحلة الروضة وحتى الصف الثاني عشر، توفر إشارات الثقة المرئية مثل شعارات المدرسة أو التمائم أو أنظمة الألوان المألوفة اختصارًا معرفيًا للشرعية.
ومع ذلك، في حين أن الشعارات وشارات “الآمنة…” موجودة لطمأنة المستخدمين، فإن المهاجمين يعرفون ذلك. قامت Microsoft وCisco Talos وPalo Alto Unit42 بتوثيق حملات تصيد احتيالي واسعة النطاق قام فيها مجرمو الإنترنت بنسخ صفحات تسجيل الدخول إلى Microsoft 365 وOkta، كاملة بأختام أمنية مزيفة، للحصول على بيانات الاعتماد.
بالنسبة للمدارس التي تقدم تسجيل الدخول الموحّد المستند إلى QR، فإن ربط إشارات الثقة المرئية مع العلامات المائية الديناميكية الخاصة بالمؤسسة يجعل من الصعب على المهاجمين نسخها.
تدريب المستخدم على القضاء على المخاطر
يؤدي الخطأ البشري إلى حدوث معظم الانتهاكات، خاصة في مدارس الروضة وحتى الصف الثاني عشر. تشرك هذه البيئات مجموعة متنوعة من الطلاب الذين يفتقرون إلى الخبرة في التعامل مع المخاطر الأمنية، وبالتالي تقل احتمالية مراجعة رموز QR أو الروابط أو بيانات الاعتماد.
يجب تعليم الطلاب والمعلمين معنى العلامات ومستوى التفاصيل التي يجب أخذها في الاعتبار من أجل الاستجابة بشكل أسرع وأكثر دقة. يمكن لوحدة محو الأمية الرقمية القصيرة حول تسجيلات QR أن تقلل بشكل كبير من خطر التصيد والإبادة وتعزز الشكل الذي يجب أن تبدو عليه شاشات تسجيل الدخول الشرعية. وينبغي تكرار ذلك بانتظام للحصول على التحديثات ولتعزيز استرجاع الإشارات المرئية المهمة والتعرف عليها.
تظهر الأبحاث في علم النفس المعرفي أن التعرض المتكرر يمكن أن يزيد من قوة الذاكرة عن طريق: أكثر من 30 بالمئةيجعل من الصعب تجاهل القرائن ويسهل تذكرها. يمكن للدروس القصيرة والمتكررة (على سبيل المثال، مقاطع فيديو مدتها من 3 إلى 5 دقائق مع الرسوم البيانية) تحسين الأداء عند تدريس عادات تسجيل الدخول الآمن. درجات الامتحان 10-20 بالمئة. ويوصي الباحث بيوتر وزنياك بإجراء الفحوصات بعد يوم واحد، ثم بعد 7 أيام، و16 يومًا، و35 يومًا، ثم كل 2-3 أشهر.
مع التدريب المناسب، يجب ألا يثق الطلاب بشكل غريزي في رسائل الاستجابة السريعة التي يتم تلقيها عبر الرسائل النصية أو وسائل التواصل الاجتماعي من أرقام أو حسابات لم يتم التحقق منها. قد يكون من المفيد تشجيع استخدام تطبيق Secure QR Code Scanner، على الأقل للموظفين وربما الطلاب الأكبر سنًا، حيث سيتحقق هذا التطبيق من عنوان URL المضمن قبل أن يفتحه المستخدم.
متى يجب تسريع عملية المصادقة بعد المسح؟
تجعل رموز QR تسجيل الدخول أسرع، لكنك لا تحتاج إلى منح حق الوصول الكامل فورًا بعد المسح. وبدلاً من ذلك، يمكن للمدارس استخدام عمليات المسح هذه كعامل أول وتقرر ما إذا كانت ستطلب المزيد من الأدلة قبل منح حق الوصول، بناءً على إشارات المخاطر.
على سبيل المثال، إذا قام طالب أو معلم بمسح رمز الاستجابة السريعة باستخدام هاتف أو جهاز لوحي غير مدرج في قائمة “الأجهزة المعروفة” الخاصة بالمدرسة، فيجب أن يطالب النظام برقم التعريف الشخصي أو كلمة المرور أو تأكيد MFA قبل إكمال تسجيل الدخول. وينطبق الشيء نفسه على الأنظمة الحساسة التي تحتوي على بيانات الطلاب أو المعلومات المالية.
يوضح تقرير الدفاع الرقمي لعام 2024 من Microsoft ما يلي: كتل وزارة الخارجية 99.2 في المئة هجمات بيانات الاعتماد. وهذا يعني أن رسالة نصية قصيرة بسيطة أو MFA تعتمد على الدفع يمكن أن تقلل بشكل كبير من معدلات التصيد الاحتيالي وحظر معدلات النجاح. تحافظ فرق تكنولوجيا المعلومات بالمدرسة على سرعة تسجيل الدخول إلى QR دون المساس بالأمان عن طريق إضافة مطالبة MFA سريعة فقط عند ظهور إشارات المخاطر.
يمكن للمدارس أيضًا تنفيذ منصات أمان سحابية لتعزيز تسجيل الدخول الموحد المستند إلى QR دون التضحية بسهولة الاستخدام. توجد هذه الأدوات خلف الكواليس، وتراقب باستمرار Google Workspace وMicrosoft 365 والتطبيقات التعليمية الأخرى بحثًا عن عمليات تسجيل دخول غير عادية أو أجهزة مخترقة أو انتهاكات للسياسة.
يقوم الجهاز تلقائيًا بتسجيل كل نشاط تسجيل دخول QR، بما في ذلك الوقت والموقع، ويطلق التنبيهات عند وجود مشكلة، ويكتسب الرؤية والإنذار المبكر دون خلق متاعب إضافية لفرق تكنولوجيا المعلومات أو الموظفين أو الطلاب. يتيح هذا النهج للمدارس الحفاظ على سرعة تسجيلات QR وإلمامها بالضوابط القائمة على المخاطر وحماية البيانات التي تعمل في الخلفية.
من خلال الجمع بين الإشارات المرئية الواضحة والتعليم المستمر للمستخدم والضوابط القائمة على المخاطر من وراء الكواليس، يمكن للمدارس الحفاظ على عمليات تسجيل الدخول إلى QR آمنة وسلسة. يتعلم الطلاب والموظفون كيفية التعرف على الشاشات الأصلية، بينما تقوم فرق تكنولوجيا المعلومات بإضافة التحقق الإضافي فقط عندما يبدو السلوك محفوفًا بالمخاطر. وفي الوقت نفسه، تقوم المراقبة المستمرة بمراقبة كل عملية فحص للكشف عن المشكلات مبكرًا وتحسين موارد التدريب دون إبطاء أي شخص.
