Kluczowe dania na wynos
- Hakerzy mogą ukraść kody uwierzytelniania wieloskładnikowego (MFA) opartego na telefonie, twierdzą eksperci.
- Firmy telefoniczne zostały oszukane w celu przeniesienia numerów telefonów, aby umożliwić przestępcom uzyskanie kodów.
- Prostym, tanim sposobem na zwiększenie bezpieczeństwa jest użycie aplikacji uwierzytelniającej w telefonie.
Aby chronić się przed hakerami, przestań używać kodów uwierzytelniania wieloskładnikowego (MFA) w telefonie wysyłanych za pośrednictwem wiadomości SMS i połączeń głosowych - pisze w nowej analizie jeden z najlepszych ekspertów ds. bezpieczeństwa.
Kody telefoniczne są podatne na przechwycenie przez hakerów, napisał w niedawnym poście na blogu Alex Weinert, dyrektor ds. bezpieczeństwa tożsamości w firmie Microsoft. Obserwatorzy twierdzą, że kody tekstowe są lepsze niż nic. Jednak użytkownicy powinni zastąpić uwierzytelnianie przez telefon aplikacjami i kluczami bezpieczeństwa.
„Te mechanizmy opierają się na publicznie przełączanych sieciach telefonicznych (PSTN) i uważam, że są najmniej bezpieczną z dostępnych obecnie metod MFA” – napisał.
"Ta luka powiększy się tylko wtedy, gdy przyjęcie usługi MFA zwiększy zainteresowanie atakujących łamaniem tych metod, a specjalnie zaprojektowane moduły uwierzytelniające zwiększą ich zalety w zakresie bezpieczeństwa i użyteczności. Zaplanuj przejście na silne uwierzytelnianie bez hasła już teraz - aplikacja uwierzytelniająca zapewnia natychmiastowe i ewoluująca opcja."
MFA to metoda zabezpieczeń, w której użytkownik komputera uzyskuje dostęp do witryny lub aplikacji dopiero po pomyślnym przedstawieniu dwóch lub więcej dowodów w mechanizmie uwierzytelniania. Te kody są często wysyłane telefonicznie.
Hakerzy udają, że są Tobą
Istnieją jednak sposoby, w jakie hakerzy mogą uzyskać dostęp do kodów telefonicznych, twierdzą jednak obserwatorzy. W niektórych przypadkach firmy telefoniczne zostały nakłonione do przeniesienia numerów telefonów, aby umożliwić hakerom uzyskanie kodów.
„Telefony są tak niepewne, że użytkownicy często otrzymują fałszywe połączenia kierowane do nich z krajów trzeciego świata, pokazując amerykańskie regionalne numery telefonów”, powiedział Matthew Rogers, CISO dostawcy chmury Syntax, w wywiadzie e-mail. „Telefony są również narażone na ataki polegające na zamianie kart SIM, które mogą z łatwością ominąć MFA za pomocą wiadomości tekstowych”.
Ostatnio popularny prezenter radiowy BBC Jeremy Vine został ofiarą ataku, który doprowadził do penetracji jego konta WhatsApp.
„Atak, który skutecznie oszukał Vine, zaczyna się od otrzymania pozornie niechcianej wiadomości SMS, która zawiera dwuskładnikowy kod uwierzytelniający na ich konto”, powiedział Ray Walsh, ekspert ds. ochrony danych w witrynie ProPrivacy zajmującej się przeglądem prywatności. wywiad e-mailowy.
Następnie ofiara otrzymuje bezpośrednią wiadomość od kontaktu twierdzącego, że wysłał jej kod przez przypadek. Na koniec ofiara jest proszona o przekazanie hakerowi kodu, co daje jej natychmiastowy dostęp do konta ofiary”.
Oprogramowanie również może stanowić problem. „Ze względu na luki w zabezpieczeniach urządzeń, MFA może zostać podsłuchiwany przez nieszczelną aplikację lub zhakowane urządzenie, o którym użytkownik nie jest świadomy” – powiedział w wywiadzie e-mailowym George Freeman, konsultant ds. rozwiązań w rządowej grupie LexisNexis Risk Solutions.
Jeszcze nie rezygnuj z telefonu
Jednakże tekstowa usługa MFA jest lepsza niż nic, twierdzą eksperci. „MFA to jedno z najpotężniejszych narzędzi, jakie użytkownik musi mieć do ochrony swoich kont” - powiedział w wywiadzie e-mailowym Mark Nunnikhoven, wiceprezes ds. badań w chmurze w firmie Trend Micro zajmującej się cyberbezpieczeństwem.
"Powinna być włączona, gdy tylko jest to możliwe. Jeśli masz wybór, użyj aplikacji uwierzytelniającej na smartfonie, ale na koniec upewnij się, że usługa MFA jest włączona w dowolnej formie."
Prostym, tanim sposobem na zwiększenie bezpieczeństwa jest użycie aplikacji uwierzytelniającej na telefonie, powiedział w rozmowie e-mailowej Peter Robert, współzałożyciel i dyrektor generalny firmy IT Expert Computer Solutions.
„Jeśli masz budżet i uważasz, że bezpieczeństwo ma kluczowe znaczenie, zachęcam do oceny sprzętowych kluczy MFA” – dodał. „Dla firm i osób, które są zaniepokojone bezpieczeństwem, polecam również ciemną sieć usługa monitorowania, aby poinformować Cię, czy Twoje dane osobowe są dostępne i do sprzedaży w ciemnej sieci."
Aby uzyskać bardziej podejście w stylu Mission Impossible, nowy standard FIDO2 z Webauthn wykorzystuje uwierzytelnianie biometryczne, mówi Freeman. „Użytkownik łączy się z witryną finansową, wprowadza nazwę użytkownika, witryna kontaktuje się z urządzeniem mobilnym użytkownika, bezpieczna aplikacja na telefonie następnie prosi użytkownika o identyfikator twarzy lub odcisk palca. sesji internetowej” – powiedział.
Przy tak wielu możliwych zagrożeniach może nadszedł czas, aby zacząć szukać bezpieczniejszych sposobów logowania się na stronach internetowych, które przechowują dane osobowe. Hakerzy mogą czaić się w sieci tylko czekając na przechwycenie hasła.