Κλείσε
Μενού

Γιατί ο έλεγχος ταυτότητας βάσει τηλεφώνου μπορεί να είναι ανασφαλής

Βασικά Takeaways

  • Οι χάκερ μπορούν να κλέψουν κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) που βασίζονται σε τηλέφωνο, λένε οι ειδικοί.
  • Οι εταιρείες τηλεφωνίας έχουν εξαπατηθεί να μεταφέρουν αριθμούς τηλεφώνου για να επιτρέψουν στους εγκληματίες να λάβουν τους κωδικούς.
  • Ένας απλός, χαμηλού κόστους τρόπος για να αυξήσετε την ασφάλεια είναι να χρησιμοποιήσετε την εφαρμογή ελέγχου ταυτότητας στο τηλέφωνό σας.
Τα χέρια σε ένα πληκτρολόγιο με ένα smartphone, πορτοφόλι και συσκευή ανάγνωσης καρτών παρατεταγμένα πάνω από αυτό.
Φωτογράφος, Basak Gurbuz Derman / Getty Images 

Για να παραμείνετε ασφαλείς από τους χάκερ, σταματήστε να χρησιμοποιείτε κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) βάσει τηλεφώνου που αποστέλλονται μέσω SMS και φωνητικών κλήσεων, γράφει ένας κορυφαίος ειδικός σε θέματα ασφάλειας σε μια νέα ανάλυση.

Οι τηλεφωνικοί κωδικοί είναι ευάλωτοι σε υποκλοπές από χάκερ, έγραψε ο Alex Weinert, διευθυντής ασφάλειας ταυτότητας στη Microsoft. πρόσφατη ανάρτηση ιστολογίου. Οι κώδικες που βασίζονται σε κείμενο είναι καλύτεροι από το τίποτα, λένε οι παρατηρητές. Ωστόσο, οι χρήστες θα πρέπει να αντικαταστήσουν τον έλεγχο ταυτότητας βάσει τηλεφώνου με εφαρμογές και κλειδιά ασφαλείας.

«Αυτοί οι μηχανισμοί βασίζονται σε δημόσια τηλεφωνικά δίκτυα μεταγωγής (PSTN) και πιστεύω ότι είναι οι λιγότερο ασφαλείς από τις μεθόδους MFA που είναι διαθέσιμες σήμερα», έγραψε.

"Αυτό το χάσμα θα διευρυνθεί μόνο καθώς η υιοθέτηση του MFA αυξάνει το ενδιαφέρον των επιτιθέμενων για παραβίαση αυτών των μεθόδων και οι ειδικά κατασκευασμένοι έλεγχοι ταυτότητας επεκτείνουν τα πλεονεκτήματα ασφάλειας και χρηστικότητας τους. Σχεδιάστε τώρα τη μετάβασή σας σε ισχυρή πιστοποίηση χωρίς κωδικό πρόσβασης—η εφαρμογή ελέγχου ταυτότητας παρέχει μια άμεση και εξελισσόμενη επιλογή."

Το MFA είναι μια μέθοδος ασφαλείας κατά την οποία ένας χρήστης υπολογιστή έχει πρόσβαση σε έναν ιστότοπο ή μια εφαρμογή μόνο αφού παρουσιάσει επιτυχώς δύο ή περισσότερα αποδεικτικά στοιχεία σε έναν μηχανισμό ελέγχου ταυτότητας. Αυτοί οι κωδικοί αποστέλλονται συχνά μέσω τηλεφώνου.

Οι χάκερ προσποιούνται ότι είστε εσείς

Υπάρχουν τρόποι με τους οποίους οι χάκερ μπορούν να αποκτήσουν πρόσβαση σε τηλεφωνικούς κωδικούς, ωστόσο, λένε οι παρατηρητές. Σε ορισμένες περιπτώσεις, οι εταιρείες τηλεφωνίας έχουν εξαπατηθεί να μεταφέρουν αριθμούς τηλεφώνου για να επιτρέψουν στους χάκερ να λάβουν τους κωδικούς.

«Τα τηλέφωνα είναι τόσο ανασφαλή που οι χρήστες λαμβάνουν συχνά κλήσεις απάτης που τους δρομολογούνται από χώρες του τρίτου κόσμου ενώ δείχνουν αμερικανικούς περιφερειακούς αριθμούς τηλεφώνου», Matthew Rogers, CISO του Σύνταξη παρόχου cloud, είπε σε συνέντευξη μέσω email. "Τα τηλέφωνα υπόκεινται επίσης σε επιθέσεις ανταλλαγής SIM, οι οποίες μπορούν εύκολα να παρακάμψουν το MFA μέσω μηνυμάτων κειμένου."

Πρόσφατα, ο δημοφιλής παρουσιαστής του ραδιοφώνου του BBC, Jeremy Vine, έπεσε θύμα επίθεσης που οδήγησε σε διείσδυση του λογαριασμού του στο WhatsApp.

«Η επίθεση που ξεγέλασε με επιτυχία τον Vine ξεκινά με τη λήψη ενός φαινομενικά ανεπιθύμητου μηνύματος SMS που περιέχει τον κωδικό ελέγχου ταυτότητας δύο παραγόντων στον λογαριασμό τους", δήλωσε ο Ray Walsh, ειδικός σε θέματα απορρήτου δεδομένων στο ιστότοπος ελέγχου απορρήτου ProPrivacy, είπε σε συνέντευξη μέσω email.

«Μετά από αυτό, το θύμα λαμβάνει ένα άμεσο μήνυμα από μια επαφή που ισχυρίζεται ότι του έστειλε έναν κωδικό κατά λάθος. Τέλος, ζητείται από το θύμα να προωθήσει στον χάκερ τον κωδικό, ο οποίος του δίνει άμεση πρόσβαση στον λογαριασμό του θύματος».

Το λογισμικό μπορεί επίσης να είναι πρόβλημα. "Λόγω τρωτών σημείων της συσκευής, το MFA θα μπορούσε ενδεχομένως να υποκλαπεί από μια διαρροή εφαρμογή ή παραβιασμένη συσκευή που ο χρήστης δεν γνωρίζει», δήλωσε ο George Freeman, σύμβουλος λύσεων στην κυβέρνηση ομάδα των LexisNexis Risk Solutions, είπε σε συνέντευξη μέσω email.

Μην εγκαταλείπετε ακόμα το τηλέφωνό σας

Ωστόσο, το MFA που βασίζεται σε κείμενο είναι καλύτερο από το τίποτα, λένε οι ειδικοί. "Το MFA είναι ένα από τα πιο ισχυρά εργαλεία που έχει ένας χρήστης για την προστασία των λογαριασμών του", δήλωσε ο Mark Nunnikhoven, αντιπρόεδρος της έρευνας cloud στο εταιρεία κυβερνοασφάλειας Trend Micro, είπε σε συνέντευξη μέσω email.

«Θα πρέπει να ενεργοποιείται όποτε είναι δυνατόν. Εάν έχετε την επιλογή, χρησιμοποιήστε μια εφαρμογή ελέγχου ταυτότητας στο smartphone σας — αλλά στο τέλος, απλώς βεβαιωθείτε ότι το MFA είναι ενεργοποιημένο σε οποιαδήποτε μορφή."

Ένας απλός, χαμηλού κόστους τρόπος για να αυξήσετε την ασφάλεια είναι να χρησιμοποιήσετε την εφαρμογή ελέγχου ταυτότητας στο τηλέφωνό σας, ο Peter Robert, συνιδρυτής και Διευθύνων Σύμβουλος της Εταιρεία Πληροφορικής Expert Computer Solutions, είπε σε συνέντευξη μέσω email.

«Εάν έχετε τον προϋπολογισμό και θεωρείτε την ασφάλεια κρίσιμη, θα σας ενθαρρύνω να αξιολογήσετε τα κλειδιά MFA που βασίζονται σε υλικό», πρόσθεσε. «Για τις επιχειρήσεις και τα άτομα που ενδιαφέρονται για την ασφάλεια, θα συνιστούσα επίσης έναν σκοτεινό ιστό υπηρεσία παρακολούθησης για να σας ενημερώνει εάν τα προσωπικά σας στοιχεία είναι διαθέσιμα και προς πώληση στο σκοτάδι ιστός."

Κινηματογράφηση σε πρώτο πλάνο ενός δακτύλου σε έναν σαρωτή δακτυλικών αποτυπωμάτων.
ειλικρινής / Getty Images 

Για περισσότερα Αδύνατη αποστολή-Προσέγγιση στυλ, το νέο πρότυπο FIDO2 με Webauthn χρησιμοποιεί βιομετρικό έλεγχο ταυτότητας, λέει ο Freeman. "Ο χρήστης συνδέεται σε έναν οικονομικό ιστότοπο, εισάγει ένα όνομα χρήστη, ο ιστότοπος επικοινωνεί με την κινητή συσκευή του χρήστη, μια ασφαλή εφαρμογή στο τηλέφωνο και, στη συνέχεια, ζητά από τον χρήστη την ταυτότητα προσώπου ή το δακτυλικό του αποτύπωμα. Όταν είναι επιτυχής, στη συνέχεια επαληθεύει την ταυτότητα της συνεδρίας ιστού», είπε.

Με τόσες πολλές πιθανές απειλές, ίσως είναι καιρός να αρχίσετε να αναζητάτε πιο ασφαλείς τρόπους σύνδεσης σε ιστότοπους που αποθηκεύουν προσωπικές πληροφορίες. Οι χάκερ μπορεί να κρύβονται στον Ιστό και περιμένουν να υποκλέψουν τον κωδικό πρόσβασής σας.