Ključni izsledki
- Strokovnjaki pravijo, da lahko hekerji ukradejo kode za večfaktorsko preverjanje pristnosti (MFA) s telefonom.
- Telefonska podjetja so bila zavedena v prenos telefonskih številk, da bi kriminalcem omogočili pridobitev kod.
- Preprost in poceni način za povečanje varnosti je uporaba aplikacije za preverjanje pristnosti v telefonu.
Če želite ostati varni pred hekerji, prenehajte uporabljati kode za večfaktorsko avtentikacijo (MFA) na podlagi telefona, poslane prek SMS-ov in glasovnih klicev, piše vrhunski strokovnjak za varnost v novi analizi.
Telefonske kode so ranljive za prestrezanje hekerjev, je v nedavni objavi v blogu zapisal Alex Weinert, direktor varnosti identitete pri Microsoftu. Besedilne kode so boljše kot nič, pravijo opazovalci. Toda uporabniki bi morali zamenjati telefonsko preverjanje pristnosti z aplikacijami in varnostnimi ključi.
"Ti mehanizmi temeljijo na javno komutiranih telefonskih omrežjih (PSTN) in verjamem, da so najmanj varni od metod MFA, ki so danes na voljo," je zapisal.
"Ta vrzel se bo samo povečala, ko bo sprejetje MFA povečalo zanimanje napadalcev za vdor v te metode in namensko izdelani avtentifikatorji razširili svoje varnostne in uporabne prednosti. Načrtujte prehod na močno avtentifikacijo brez gesla zdaj - aplikacija za avtentifikacijo zagotavlja takojšnjo in razvijajoča se možnost."
MFA je varnostna metoda, pri kateri ima uporabnik računalnika dostop do spletnega mesta ali aplikacije šele po uspešni predložitvi dveh ali več dokazov mehanizmu za preverjanje pristnosti. Te kode se pogosto pošiljajo po telefonu.
Hekerji se pretvarjajo, da so vi
Obstajajo načini, kako lahko hekerji pridejo do telefonskih kod, pravijo opazovalci. V nekaterih primerih so bila telefonska podjetja zavedena v prenos telefonskih številk, da bi hekerjem omogočili dostop do kod.
»Telefoni so tako nevarni, da bodo uporabniki pogosto prejeli goljufive klice, ki so jim bili preusmerjeni iz držav tretjega sveta, medtem ko bodo prikazane ameriške regionalne telefonske številke, « je v intervjuju po elektronski pošti dejal Matthew Rogers, CISO ponudnika oblaka Syntax. "Telefoni so prav tako podvrženi napadom z zamenjavo kartice SIM, ki zlahka obidejo MFA prek besedilnega sporočila."
Pred kratkim je bil priljubljen radijski voditelj BBC Jeremy Vine žrtev napada, ki je privedel do vdora v njegov račun WhatsApp.
"Napad, ki je uspešno prelisičil Vine, se začne s prejemom na videz nezaželenega sporočila SMS, ki vsebuje kodo za dvostopenjsko avtentikacijo na njihov račun," je dejal Ray Walsh, strokovnjak za zasebnost podatkov na spletnem mestu za pregled zasebnosti ProPrivacy. intervju po elektronski pošti.
"Zatem žrtev prejme neposredno sporočilo od kontakta, ki trdi, da mu je pomotoma poslal kodo. Nazadnje mora žrtev hekerju posredovati kodo, ki ji omogoči takojšen dostop do žrtvinega računa."
Težava je lahko tudi programska oprema. "Zaradi ranljivosti naprave bi lahko MFA potencialno prisluškovala aplikacija, ki pušča, ali ogrožena naprava, ki je uporabnik ne pozna," je v intervjuju po elektronski pošti dejal George Freeman, svetovalec za rešitve pri vladni skupini LexisNexis Risk Solutions.
Ne odpovejte še svojega telefona
Vendar je besedilna MFA boljša kot nič, pravijo strokovnjaki. "MFA je eno najmočnejših orodij, ki jih ima uporabnik za zaščito svojih računov," je v intervjuju po elektronski pošti dejal Mark Nunnikhoven, podpredsednik raziskav v oblaku pri podjetju Trend Micro za kibernetsko varnost.
"Mora biti omogočen, kadar koli je to mogoče. Če imate možnost, uporabite aplikacijo za preverjanje pristnosti na svojem pametnem telefonu, vendar se na koncu prepričajte, da je MFA omogočen v kateri koli obliki."
Preprost in poceni način za povečanje varnosti je uporaba aplikacije za preverjanje pristnosti v telefonu, je v intervjuju po elektronski pošti povedal Peter Robert, soustanovitelj in izvršni direktor IT podjetja Expert Computer Solutions.
»Če imate proračun in se vam zdi varnost ključnega pomena, bi vas spodbudil, da ocenite ključe MFA, ki temeljijo na strojni opremi,« je dodal. »Podjetjem in posameznikom, ki jih skrbi varnost, priporočam tudi temni splet storitev spremljanja, ki vas obvesti, ali so osebni podatki o vas na voljo in naprodaj v temnem spletu."
Za pristop, ki je bolj v stilu misije nemogoče, novi standard FIDO2 z Webauthn uporablja biometrično avtentikacijo, pravi Freeman. »Uporabnik se poveže s finančnim mestom, vnese uporabniško ime, spletno mesto vzpostavi stik z [uporabnikovo] mobilno napravo, varna aplikacija na [telefonu] nato od uporabnika zahteva [njegov] obrazni ID ali prstni odtis. Ko je uspešen, nato preveri pristnost spletna seja, «je rekel.
S toliko možnimi grožnjami je morda čas, da začnete iskati varnejše načine za prijavo na spletna mesta, ki shranjujejo osebne podatke. Hekerji se morda skrivajo v spletu in samo čakajo, da prestrežejo vaše geslo.
