Zašto autentifikacija putem telefona može biti nesigurna

December 02, 2021
UVijesti Sigurnost Na Internetu

click fraud protection

Ključni za poneti

Hakeri mogu ukrasti telefonske kodove za višefaktornu autentifikaciju (MFA), kažu stručnjaci.
Telefonske tvrtke prevarene su u prijenos telefonskih brojeva kako bi kriminalci mogli dobiti kodove.
Jednostavan, jeftin način povećanja sigurnosti je korištenje aplikacije za autentifikaciju na vašem telefonu.

Ruke na tipkovnici s pametnim telefonom, novčanikom i čitačem kartica poredane iznad. — Fotograf, Basak Gurbuz Derman / Getty Images

Kako biste bili sigurni od hakera, prestanite koristiti telefonske kodove za višefaktornu autentifikaciju (MFA) koji se šalju putem SMS-a i glasovnih poziva, piše vrhunski stručnjak za sigurnost u novoj analizi.

Telefonski kodovi su osjetljivi na presretanje od strane hakera, napisao je Alex Weinert, direktor sigurnosti identiteta u Microsoftu. nedavni post na blogu. Kodovi temeljeni na tekstu bolji su nego ništa, kažu promatrači. Ali korisnici bi trebali zamijeniti autentifikaciju temeljenu na telefonu aplikacijama i sigurnosnim ključevima.

"Ovi se mehanizmi temelje na javno komutiranim telefonskim mrežama (PSTN) i vjerujem da su najmanje sigurni od MFA metoda koje su danas dostupne", napisao je.

„Taj će se jaz samo povećati kako usvajanje MFA-a povećava interes napadača za razbijanje ovih metoda, a namjenski izrađeni autentifikatori proširuju svoje prednosti u pogledu sigurnosti i upotrebljivosti. Isplanirajte svoj prijelaz na jaku autentifikaciju bez lozinke – aplikacija za autentifikaciju pruža trenutnu opciju koja se razvija."

MFA je sigurnosna metoda u kojoj se korisniku računala odobrava pristup web stranici ili aplikaciji tek nakon uspješnog predstavljanja dva ili više dokaza mehanizmu provjere autentičnosti. Ovi se kodovi često šalju telefonom.

Hakeri se pretvaraju da ste vi

Međutim, postoje načini na koji hakeri mogu dobiti pristup telefonskim kodovima, kažu promatrači. U nekim su slučajevima telefonske tvrtke prevarene da prenesu telefonske brojeve kako bi hakerima omogućili da dobiju kodove.

"Telefoni su toliko nesigurni da će korisnici često dobivati prijevarne pozive koji im se usmjeravaju iz zemalja trećeg svijeta dok pokazuju američke regionalne telefonske brojeve", Matthew Rogers, CISO iz Sintaksa dobavljača oblaka, rekao je u intervjuu e-poštom. "Telefoni su također podložni napadima zamjene SIM kartice, što lako može zaobići MFA putem tekstualne poruke."

Nedavno je popularni radijski voditelj BBC-a Jeremy Vine žrtvovan napadom koji je doveo do proboja na njegov WhatsApp račun.

"Napad koji je uspješno prevario Vinea počinje primanjem naizgled neželjene SMS poruke koji sadrži dvofaktorski autentifikacijski kod za njihov račun", Ray Walsh, stručnjak za privatnost podataka u stranica za pregled privatnosti ProPrivacy, rekao je u intervjuu e-poštom.

“Nakon toga, žrtva dobiva izravnu poruku od kontakta koji tvrdi da im je slučajno poslao šifru. Konačno, od žrtve se traži da hakeru proslijedi kod, što im daje trenutni pristup žrtvinom računu."

Softver također može biti problem. "Zbog ranjivosti uređaja, MFA bi potencijalno mogla biti prisluškivana od strane aplikacije koja curi ili kompromitirani uređaj kojeg korisnik nije svjestan", George Freeman, savjetnik za rješenja u vladi grupa od LexisNexis rješenja za rizik, rekao je u intervjuu e-poštom.

Nemojte još odustati od telefona

Međutim, tekstualni MFA je bolji od ničega, kažu stručnjaci. "MFA je jedan od najmoćnijih alata koje korisnik ima da zaštiti svoje račune", Mark Nunnikhoven, potpredsjednik istraživanja oblaka u tvrtka za kibernetičku sigurnost Trend Micro, rekao je u intervjuu e-poštom.

“To treba omogućiti kad god je to moguće. Ako imate izbora, upotrijebite aplikaciju za autentifikaciju na svom pametnom telefonu—ali na kraju samo provjerite je li MFA omogućen u bilo kojem obliku."

Jednostavan i jeftin način povećanja sigurnosti je korištenje aplikacije za autentifikaciju na vašem telefonu, Peter Robert, suosnivač i izvršni direktor IT tvrtka Expert Computer Solutions, rekao je u intervjuu e-poštom.

"Ako imate proračun i smatrate da je sigurnost kritična, potaknuo bih vas da procijenite MFA ključeve temeljene na hardveru", dodao je. „Za tvrtke i pojedince koji su zabrinuti za sigurnost, također bih preporučio dark web usluga praćenja koja će vas obavijestiti jesu li osobni podaci o vama dostupni i na prodaju u mraku mreža."

Krupni plan prsta na skeneru otiska prsta. — honestmike / Getty Images

Za više Nemoguća misija- stilski pristup, novi standard FIDO2 s Webauthnom koristi biometrijsku autentifikaciju, kaže Freeman. "Korisnik se povezuje na financijsku stranicu, unosi korisničko ime, web stranica kontaktira [korisnikov] mobilni uređaj, sigurna aplikacija na [telefonu] zatim traži od korisnika [njihov] ID lica ili otisak prsta. Kada je uspješan, onda provjerava autentičnost web sesije", rekao je.

Uz toliko mogućih prijetnji, možda je vrijeme da počnete tražiti sigurnije načine za prijavu na web-mjesta koja pohranjuju osobne podatke. Hakeri bi mogli vrebati na webu samo čekajući da presretnu vašu lozinku.