전화 기반 인증이 안전하지 않은 이유

December 02, 2021
에뉴스 인터넷 보안

click fraud protection

주요 내용

전문가들은 해커가 전화 기반 다중 요소 인증(MFA) 코드를 훔칠 수 있다고 말합니다.
전화 회사는 범죄자가 코드를 얻을 수 있도록 전화 번호를 전송하도록 속였습니다.
보안을 강화하는 간단하고 저렴한 방법은 휴대폰에서 인증 앱을 사용하는 것입니다.

스마트폰, 지갑, 카드 리더기가 그 위에 줄지어 있는 키보드 위에 손을 얹고 있습니다. — 사진 작가, Basak Gurbuz Derman / 게티 이미지

해커로부터 안전을 유지하려면 SMS 및 음성 통화를 통해 전송되는 전화 기반 다단계 인증(MFA) 코드 사용을 중단해야 한다고 최고 보안 전문가가 새로운 분석에서 밝혔습니다.

Microsoft의 ID 보안 이사인 Alex Weinert는 전화 코드가 해커의 가로채기에 취약하다고 밝혔습니다. 최근 블로그 게시물. 관찰자들은 텍스트 기반 코드가 없는 것보다 낫다고 말합니다. 그러나 사용자는 전화 기반 인증을 앱 및 보안 키로 대체해야 합니다.

"이러한 메커니즘은 PSTN(공중 전화망)을 기반으로 하며 현재 사용 가능한 MFA 방법 중 가장 안전하지 않다고 생각합니다."라고 그는 썼습니다.

MFA 채택이 이러한 방법을 깨는 데 대한 공격자의 관심을 높이고 특수 제작된 인증자가 보안 및 사용성 이점을 확장함에 따라 이러한 격차는 더욱 커질 것입니다. 지금 바로 비밀번호 없는 강력한 인증으로의 전환을 계획하세요. 인증 앱은 즉각적이고 진화하는 옵션을 제공합니다."

MFA는 인증 메커니즘에 둘 이상의 증거를 성공적으로 제시한 후에만 컴퓨터 사용자에게 웹사이트 또는 애플리케이션에 대한 액세스 권한을 부여하는 보안 방법입니다. 이 코드는 종종 전화로 전송됩니다.

해커가 당신인 척

그러나 관찰자들은 해커가 전화 코드에 액세스할 수 있는 방법이 있다고 말합니다. 경우에 따라 전화 회사는 해커가 코드를 얻을 수 있도록 전화 번호를 전송하도록 속였습니다.

CISO인 매튜 로저스(Matthew Rogers)는 "전화가 너무 안전하지 않기 때문에 사용자는 종종 제3세계 국가에서 사기 전화를 받고 미국 지역 전화번호를 보여줍니다."라고 말했습니다. 클라우드 공급자 구문, 이메일 인터뷰에서 말했다. "전화는 또한 문자 메시지를 통해 MFA를 쉽게 우회할 수 있는 SIM 스와핑 공격의 대상이 됩니다."

최근 인기 있는 BBC 라디오 진행자 Jeremy Vine이 WhatsApp 계정에 침투하는 공격을 당했습니다.

"바인을 성공적으로 속인 공격은 겉보기에 원치 않는 SMS 메시지를 수신하는 것으로 시작됩니다. 계정에 대한 2단계 인증 코드가 포함되어 있습니다." 개인 정보 검토 사이트 ProPrivacy, 이메일 인터뷰에서 말했다.

이어 “피해자는 연락처로부터 실수로 코드를 보냈다는 다이렉트 메시지를 받았다. 마지막으로 피해자는 해커가 피해자의 계정에 즉시 액세스할 수 있는 코드를 전달하도록 요청받습니다."

소프트웨어도 문제가 될 수 있습니다. "기기 취약성으로 인해 누출된 앱 또는 사용자가 인식하지 못하는 손상된 장치"라고 정부의 솔루션 컨설턴트인 George Freeman이 말했습니다. 그룹 LexisNexis 위험 솔루션, 이메일 인터뷰에서 말했다.

아직 휴대전화를 포기하지 마세요

그러나 전문가들은 텍스트 기반 MFA가 없는 것보다 낫다고 말합니다. "MFA는 사용자가 계정을 보호하는 데 필요한 가장 강력한 도구 중 하나입니다."라고 의 클라우드 연구 부사장인 Mark Nunnikhoven은 말했습니다. 사이버 보안 기업 트렌드마이크로, 이메일 인터뷰에서 말했다.

"가능할 때마다 활성화해야 합니다. 선택의 여지가 있다면 스마트폰의 인증 앱을 사용하십시오. 그러나 결국 MFA가 어떤 형태로든 활성화되어 있는지 확인하십시오."

보안을 강화하는 간단하고 저렴한 방법은 휴대폰에서 인증 앱을 사용하는 것입니다. Peter Robert, 공동 창립자 겸 CEO IT 기업 전문 컴퓨터 솔루션, 이메일 인터뷰에서 말했다.

"예산이 있고 보안이 중요하다고 생각한다면 하드웨어 기반 MFA 키를 평가하는 것이 좋습니다."라고 그는 덧붙였습니다. "보안이 걱정되는 기업과 개인에게도 다크웹을 추천하고 싶다. 귀하에 대한 개인 정보를 사용할 수 있고 어둠 속에서 판매할 수 있는지 알려주는 모니터링 서비스 편물."

지문 스캐너에 손가락의 근접 촬영입니다. — 정직 마이크 / 게티 이미지

더 많은 것을 위해 불가능한 임무-스타일 접근, 새로운 표준 Webauthn이 있는 FIDO2 Freeman은 생체 인증을 사용한다고 말합니다. "사용자가 금융 사이트에 연결하고 사용자 이름을 입력하면 웹사이트가 [사용자]의 모바일 장치에 연결되고 [] 전화의 보안 앱이 사용자에게 [그들의] 얼굴 ID 또는 지문을 묻는 메시지를 표시합니다. 성공하면 웹 세션을 인증한다"고 말했다.

가능한 위협이 너무 많기 때문에 개인 정보를 저장하는 웹 사이트에 로그온하는 더 안전한 방법을 찾아야 할 때입니다. 해커가 암호를 가로채기 위해 웹에 숨어 있을 수 있습니다.