Key Takeaways
- Hakeri mogu ukrasti telefonske kodove za višefaktorsku autentifikaciju (MFA), kažu stručnjaci.
- Telefonske kompanije su prevarene da prenesu telefonske brojeve kako bi omogućile kriminalcima da dobiju kodove.
- Jednostavan, jeftin način za povećanje sigurnosti je korištenje aplikacije za autentifikaciju na vašem telefonu.
Da biste bili sigurni od hakera, prestanite koristiti kodove za višefaktorsku autentifikaciju (MFA) zasnovanu na telefonu koji se šalju putem SMS-a i glasovnih poziva, piše vrhunski stručnjak za sigurnost u novoj analizi.
Kodovi telefona su ranjivi na presretanje od strane hakera, napisao je Alex Weinert, direktor za sigurnost identiteta u Microsoftu, u nedavnom postu na blogu. Kodovi zasnovani na tekstu bolji su nego ništa, kažu posmatrači. Ali korisnici bi trebali zamijeniti autentifikaciju zasnovanu na telefonu sa aplikacijama i sigurnosnim ključevima.
"Ovi mehanizmi su zasnovani na javno komutiranim telefonskim mrežama (PSTN), i vjerujem da su najmanje sigurni od MFA metoda koje su danas dostupne", napisao je..
"Taj jaz će se samo povećavati kako usvajanje MFA povećava interes napadača za razbijanje ovih metoda, a namjenski izrađeni autentifikatori proširuju svoje prednosti u pogledu sigurnosti i upotrebljivosti. opcija koja se razvija."
MFA je sigurnosna metoda u kojoj se korisniku računara odobrava pristup web stranici ili aplikaciji tek nakon uspješnog predstavljanja dva ili više dokaza mehanizmu za autentifikaciju. Ovi kodovi se često šalju telefonom.
Hakeri se pretvaraju da ste vi
Postoje načini na koji hakeri mogu dobiti pristup telefonskim kodovima, međutim, kažu posmatrači. U nekim slučajevima, telefonske kompanije su prevarene da prenesu telefonske brojeve kako bi hakerima omogućili da dobiju kodove.
"Telefoni su toliko nesigurni da će korisnici često dobijati prevare upućene na njih iz zemalja trećeg svijeta dok prikazuju američke regionalne telefonske brojeve," rekao je Matthew Rogers, CISO provajdera u oblaku Syntax, u intervjuu e-poštom. "Telefoni su također podložni napadima zamjene SIM kartice, što može lako zaobići MFA putem tekstualne poruke."
Nedavno je popularni BBC radio voditelj Jeremy Vine žrtvovan napadom koji je doveo do proboja njegovog WhatsApp naloga.
"Napad koji je uspješno prevario Vinea počinje primanjem naizgled neželjene SMS poruke koja sadrži dvofaktorski kod za autentifikaciju na njihov račun", rekao je Ray Walsh, stručnjak za privatnost podataka na stranici za pregled privatnosti ProPrivacy intervju putem e-pošte.
"Nakon toga, žrtva prima direktnu poruku od kontakta koji tvrdi da im je slučajno poslao kod. Konačno, od žrtve se traži da prosledi kod hakera, što joj daje trenutni pristup nalogu žrtve."
Softver također može biti problem. "Zbog ranjivosti uređaja, MFA bi potencijalno mogao biti prisluškivan aplikacijom koja curi ili kompromitovanim uređajem kojeg korisnik nije svjestan", rekao je George Freeman, konsultant za rješenja u vladinoj grupi LexisNexis Risk Solutions, u intervjuu e-poštom.
Još ne odustaj od telefona
Međutim, tekstualni MFA je bolji od ničega, kažu stručnjaci. "MFA je jedan od najmoćnijih alata koje korisnik ima da zaštiti svoje račune", rekao je Mark Nunnikhoven, potpredsjednik istraživanja oblaka u kompaniji za kibernetičku sigurnost Trend Micro, u intervjuu e-poštom.
"Trebalo bi da bude omogućeno kad god je to moguće. Ako imate izbora, koristite aplikaciju za autentifikaciju na svom pametnom telefonu - ali na kraju, samo se uverite da je MFA omogućen u bilo kom obliku."
Jednostavan, jeftin način povećanja sigurnosti je korištenje aplikacije za autentifikaciju na vašem telefonu, rekao je Peter Robert, suosnivač i izvršni direktor IT kompanije Expert Computer Solutions u intervjuu e-poštom.
“Ako imate budžet i smatrate da je sigurnost kritična, potaknuo bih vas da procijenite hardverske MFA ključeve," dodao je. "Za preduzeća i pojedince koji su zabrinuti za sigurnost, također bih preporučio dark web usluga praćenja koja će vas obavijestiti da li su lični podaci o vama dostupni i da se prodaju na dark webu."
Za pristup u stilu Mission Impossible, novi standard FIDO2 sa Webauthnom koristi biometrijsku autentifikaciju, kaže Freeman. "Korisnik se povezuje na finansijsku stranicu, unosi korisničko ime, web stranica kontaktira [korisnikov] mobilni uređaj, sigurna aplikacija na [telefonu] zatim traži od korisnika [njihov] ID lica ili otisak prsta. Kada je uspješan, onda se autentifikuje web sesiji", rekao je on.
Uz toliko mogućih prijetnji, možda je vrijeme da počnete tražiti sigurnije načine za prijavu na web stranice koje pohranjuju lične podatke. Hakeri bi mogli vrebati na webu samo čekajući da presretnu vašu lozinku.