Miért lehet nem biztonságos a telefonalapú hitelesítés?

December 02, 2021
Ban benHírek Internet Biztonság

Kulcs elvitelek

Szakértők szerint a hackerek telefonalapú többtényezős hitelesítési (MFA) kódokat lophatnak.
A telefontársaságokat becsapták azzal, hogy telefonszámokat küldjenek át, hogy a bűnözők megkaphassák a kódokat.
A biztonság növelésének egyszerű, olcsó módja a hitelesítő alkalmazás használata a telefonon.

Kezek egy billentyűzeten, felette egy okostelefon, pénztárca és kártyaolvasó sorakozik. — Fotós, Basak Gurbuz Derman / Getty Images

A hackerek elleni védelem érdekében hagyja abba az SMS-ben és hanghívásokban küldött telefonalapú többtényezős hitelesítési (MFA) kódokat – írja egy vezető biztonsági szakértő egy új elemzésében.

Alex Weinert, a Microsoft személyazonosság-biztonsági igazgatója szerint a telefonkódok ki vannak téve a hackerek általi lehallgatásnak. legutóbbi blogbejegyzés. A szöveg alapú kódok jobbak a semminél, mondják a megfigyelők. A felhasználóknak azonban le kell cserélniük a telefonalapú hitelesítést alkalmazásokkal és biztonsági kulcsokkal.

"Ezek a mechanizmusok nyilvánosan kapcsolt telefonhálózatokon (PSTN) alapulnak, és úgy gondolom, hogy a ma elérhető MFA-módszerek közül ezek a legkevésbé biztonságosak" - írta.

„Ez a szakadék csak tovább fog nőni, ahogy az MFA bevezetése megnöveli a támadók érdeklődését ezen módszerek feltörése iránt, és a célra épített hitelesítők kiterjesztik biztonsági és használhatósági előnyeiket. Tervezze meg most, hogy áttér a jelszó nélküli erős hitelesítésre – a hitelesítő alkalmazás azonnali és fejlődő lehetőséget kínál."

Az MFA egy olyan biztonsági módszer, amelyben a számítógép-felhasználó csak azután kap hozzáférést egy webhelyhez vagy alkalmazáshoz, miután két vagy több bizonyítékot sikeresen bemutatott egy hitelesítési mechanizmusnak. Ezeket a kódokat gyakran telefonon küldik el.

A hackerek úgy tesznek, mintha te lennél

Megfigyelők szerint azonban a hackerek többféleképpen is hozzáférhetnek a telefonkódokhoz. Egyes esetekben a telefontársaságokat becsapták azzal, hogy telefonszámokat küldjenek át, hogy a hackerek hozzáférhessenek a kódokhoz.

"A telefonok annyira nem biztonságosak, hogy a felhasználók gyakran kapnak átverési hívásokat harmadik világ országaiból, miközben amerikai regionális telefonszámokat mutatnak be" - mondta Matthew Rogers, a CISO. felhőszolgáltató Szintaxis, mondta egy e-mailes interjúban. "A telefonok is ki vannak téve a SIM-csere támadásoknak, amelyek szöveges üzenettel könnyen megkerülhetik az MFA-t."

A közelmúltban a BBC népszerű rádióműsorvezetője, Jeremy Vine egy támadás áldozatává vált, amely a WhatsApp-fiókjába való behatoláshoz vezetett.

"A Vine-t sikeresen becsapó támadás egy látszólag kéretlen SMS-üzenet beérkezésével kezdődik amely tartalmazza a fiókjuk kéttényezős hitelesítési kódját” – mondta Ray Walsh, a cég adatvédelmi szakértője adatvédelmi felülvizsgálati webhely ProPrivacy, mondta egy e-mailes interjúban.

„Ezt követően az áldozat közvetlen üzenetet kap egy kapcsolattartótól, aki azt állítja, hogy véletlenül küldött neki egy kódot. Végül az áldozatot megkérik, hogy továbbítsa a hackernek a kódot, amely azonnali hozzáférést biztosít az áldozat fiókjához."

A szoftverrel is gond lehet. "Az eszköz biztonsági rései miatt az MFA-t lehallgathatják egy kiszivárogtató alkalmazás vagy egy olyan kompromittált eszköz, amelyről a felhasználó nem tud." George Freeman, a kormány megoldási tanácsadója csoportja LexisNexis kockázati megoldások, mondta egy e-mailes interjúban.

Még ne add fel a telefonodat

Szakértők szerint azonban a szövegalapú MFA jobb a semminél. "Az MFA az egyik leghatékonyabb eszköz, amellyel a felhasználók megvédhetik fiókjaikat" - mondta Mark Nunnikhoven, a felhőkutatásért felelős alelnöke. Trend Micro kiberbiztonsági cég, mondta egy e-mailes interjúban.

„Amikor csak lehetséges, engedélyezni kell. Ha van választása, használjon hitelesítő alkalmazást okostelefonján – de végül csak győződjön meg arról, hogy az MFA bármilyen formában engedélyezve van."

A biztonság növelésének egyszerű, olcsó módja a hitelesítő alkalmazás használata a telefonon. Peter Robert, a vállalat társalapítója és vezérigazgatója. IT cég Expert Computer Solutions, mondta egy e-mailes interjúban.

"Ha megvan a költségvetése, és kritikusnak tartja a biztonságot, azt javasolnám, hogy értékelje a hardveralapú MFA-kulcsokat" - tette hozzá. "Azoknak a vállalkozásoknak és magánszemélyeknek, akik aggódnak a biztonság miatt, szintén javaslom a sötét webet felügyeleti szolgáltatás, amely tájékoztatja Önt arról, hogy Önnel kapcsolatos személyes adatok elérhetők és a sötétben is eladók web."

Vértes egy ujj egy ujjlenyomat-szkenneren. — Honormike / Getty Images

Egy többért Lehetetlen küldetés-stílusos megközelítés, az új szabvány FIDO2 Webauthn-nel biometrikus hitelesítést használ, mondja Freeman. "A felhasználó csatlakozik egy pénzügyi oldalhoz, beír egy felhasználónevet, a webhely felveszi a kapcsolatot [a] felhasználó mobileszközével, egy biztonságos alkalmazás [a] telefonon, majd bekéri a felhasználót az arcazonosító vagy az ujjlenyomat megadására. Ha sikeres, akkor hitelesíti a webes munkamenetet" - mondta.

A sok lehetséges fenyegetés miatt talán ideje elkezdeni biztonságosabb módszereket keresni a személyes adatokat tároló webhelyekre való bejelentkezéshez. Lehet, hogy hackerek leselkednek az internetre, csak arra várnak, hogy elkapják jelszavadat.