Kľúčové poznatky
- Hackeri môžu ukradnúť kódy viacfaktorovej autentifikácie (MFA) založené na telefóne, hovoria odborníci.
- Telefónne spoločnosti boli oklamané, aby preniesli telefónne čísla, aby umožnili zločincom získať kódy.
- Jednoduchý a lacný spôsob, ako zvýšiť bezpečnosť, je použiť autentifikačnú aplikáciu v telefóne.
Ak chcete zostať v bezpečí pred hackermi, prestaňte používať telefónne kódy viacfaktorovej autentifikácie (MFA) odosielané prostredníctvom SMS a hlasových hovorov, píše špičkový bezpečnostný expert v novej analýze.
Kódy telefónov sú náchylné na zachytenie hackermi, napísal v nedávnom blogovom príspevku Alex Weinert, riaditeľ bezpečnosti identity v Microsofte. Podľa pozorovateľov sú textové kódy lepšie ako nič. Používatelia by však mali nahradiť autentifikáciu pomocou telefónu aplikáciami a bezpečnostnými kľúčmi.
„Tieto mechanizmy sú založené na verejne prepájaných telefónnych sieťach (PSTN) a verím, že sú najmenej bezpečné zo súčasných dostupných metód MFA,“napísal.
"Táto priepasť sa bude len zväčšovať, keď prijatie MFA zvýši záujem útočníkov o prelomenie týchto metód a účelové autentifikátory rozšíria svoje výhody v oblasti bezpečnosti a použiteľnosti. Naplánujte si prechod na silné overenie bez hesla už teraz – aplikácia na overovanie totožnosti poskytuje okamžitý a vyvíjajúca sa možnosť."
MFA je metóda zabezpečenia, pri ktorej je používateľovi počítača udelený prístup k webovej lokalite alebo aplikácii až po úspešnom predložení dvoch alebo viacerých dôkazov autentifikačnému mechanizmu. Tieto kódy sa často posielajú telefonicky.
Hackeri predstierajú, že ste vy
Pozorovatelia však tvrdia, že existujú spôsoby, ako môžu hackeri získať prístup k telefónnym kódom. V niektorých prípadoch boli telefónne spoločnosti oklamané, aby preniesli telefónne čísla, aby umožnili hackerom získať kódy.
"Telefóny sú také neisté, že používatelia na ne často dostanú podvodné hovory smerované z krajín tretieho sveta, pričom sa im budú zobrazovať americké regionálne telefónne čísla," povedal Matthew Rogers, CISO cloudového poskytovateľa Syntax, v e-mailovom rozhovore. „Telefóny sú tiež predmetom útokov na výmenu SIM kariet, ktoré môžu jednoducho obísť MFA prostredníctvom textovej správy.“
Populárny moderátor rádia BBC Jeremy Vine sa nedávno stal obeťou útoku, ktorý viedol k preniknutiu do jeho účtu WhatsApp.
"Útok, ktorý úspešne oklamal Vine, sa začína prijatím zdanlivo nevyžiadanej SMS správy, ktorá obsahuje dvojfaktorový overovací kód na ich účet," povedal Ray Walsh, odborník na ochranu osobných údajov na webe ProPrivacy. e-mailový rozhovor.
"Potom obeť dostane priamu správu od kontaktu, ktorý tvrdí, že jej kód poslal náhodou. Nakoniec je obeť požiadaná, aby kód preposlala hackerovi, čo jej umožní okamžitý prístup k účtu obete."
Problémom môže byť aj softvér. „Vzhľadom na zraniteľnosť zariadení môže byť MFA potenciálne odpočúvaná deravou aplikáciou alebo kompromitovaným zariadením, o ktorom používateľ nevie,“povedal George Freeman, konzultant pre riešenia vo vládnej skupine LexisNexis Risk Solutions, v e-mailovom rozhovore.
Ešte sa nevzdávajte telefónu
Textová MFA je však lepšia ako nič, hovoria odborníci. „MFA je jedným z najsilnejších nástrojov, ktoré má používateľ na ochranu svojich účtov,“povedal v e-mailovom rozhovore Mark Nunnikhoven, viceprezident cloudového výskumu v spoločnosti Trend Micro zaoberajúcej sa kybernetickou bezpečnosťou.
"Mal by byť povolený vždy, keď je to možné. Ak máte na výber, použite autentifikačnú aplikáciu na svojom smartfóne – ale nakoniec sa uistite, že je MFA povolená v akejkoľvek forme."
Jednoduchým a lacným spôsobom, ako zvýšiť bezpečnosť, je použiť autentifikačnú aplikáciu vo vašom telefóne, povedal v e-mailovom rozhovore Peter Robert, spoluzakladateľ a generálny riaditeľ IT spoločnosti Expert Computer Solutions.
„Ak máte rozpočet a považujete bezpečnosť za kritickú, odporúčam vám vyhodnotiť hardvérové kľúče MFA,“dodal. „Pre firmy a jednotlivcov, ktorí majú obavy o bezpečnosť, by som tiež odporučil tmavý web monitorovacia služba, aby ste vedeli, či sú vaše osobné informácie dostupné a na predaj na temnom webe."
Pre viac prístup v štýle Mission Impossible využíva nový štandard FIDO2 s Webauthn biometrickú autentifikáciu, hovorí Freeman. „Používateľ sa pripojí k finančnej stránke, zadá používateľské meno, webová lokalita kontaktuje [používateľa] mobilné zariadenie, zabezpečená aplikácia v [telefóne] potom vyzve používateľa, aby zadal [ich] ID tváre alebo odtlačok prsta. Keď bude úspešný, overí sa webovú reláciu,“povedal.
S toľkými možnými hrozbami je možno čas začať hľadať bezpečnejšie spôsoby prihlásenia na webové stránky, ktoré uchovávajú osobné informácie. Hackeri môžu číhať na webe a čakať na zachytenie vášho hesla.