De ce autentificarea pe bază de telefon poate fi nesigură

December 02, 2021
ÎnȘtiri Securitatea Internetului

Recomandări cheie

Hackerii pot fura coduri de autentificare multifactor (MFA) pe bază de telefon, spun experții.
Companiile de telefonie au fost păcălite să transfere numere de telefon pentru a permite criminalilor să obțină codurile.
O modalitate simplă și ieftină de a crește securitatea este să utilizați aplicația de autentificare pe telefon.

Mâinile pe o tastatură cu un smartphone, un portofel și un cititor de carduri aliniate deasupra acesteia. — Fotograf, Basak Gurbuz Derman / Getty Images

Pentru a fi protejat de hackeri, nu mai utilizați coduri de autentificare multifactor (MFA) pe bază de telefon trimise prin SMS și apeluri vocale, scrie un expert de top în securitate într-o nouă analiză.

Codurile telefonice sunt vulnerabile la interceptarea de către hackeri, a scris Alex Weinert, director pentru securitatea identității la Microsoft. postare recentă pe blog. Codurile bazate pe text sunt mai bune decât nimic, spun observatorii. Dar utilizatorii ar trebui să înlocuiască autentificarea pe bază de telefon cu aplicații și chei de securitate.

„Aceste mecanisme se bazează pe rețele telefonice comutate public (PSTN) și cred că sunt cele mai puțin sigure dintre metodele MFA disponibile astăzi”, a scris el.

„Această decalaj se va mări doar pe măsură ce adoptarea MFA crește interesul atacatorilor de a încălca aceste metode, iar autentificatoarele create special își extind avantajele de securitate și de utilizare. Planificați-vă acum trecerea la autentificare puternică fără parolă — aplicația de autentificare oferă o opțiune imediată și în evoluție.”

MFA este o metodă de securitate în care unui utilizator de computer i se acordă acces la un site web sau la o aplicație numai după ce a prezentat cu succes două sau mai multe dovezi unui mecanism de autentificare. Aceste coduri sunt adesea trimise prin telefon.

Hackerii se prefac că sunt tu

Cu toate acestea, există modalități în care hackerii pot obține acces la codurile telefonice, spun observatorii. În unele cazuri, companiile de telefonie au fost păcălite să transfere numere de telefon pentru a permite hackerilor să obțină codurile.

„Telefoanele sunt atât de nesigure încât utilizatorii vor primi adesea apeluri înșelătorii direcționate către ei din țări din lumea a treia, în timp ce afișează numere de telefon regionale americane”, Matthew Rogers, CISO al Sintaxă a furnizorului de cloud, a spus într-un interviu prin e-mail. „Telefoanele sunt, de asemenea, supuse atacurilor de schimb SIM, care pot ocoli cu ușurință MFA prin mesaje text.”

Recent, popularul gazdă radio BBC Jeremy Vine a fost victimizată de un atac care a dus la pătrunderea contului său WhatsApp.

„Atacul care l-a păcălit cu succes pe Vine începe cu primirea unui mesaj SMS aparent nesolicitat. care conține codul de autentificare cu doi factori în contul lor”, Ray Walsh, expert în confidențialitatea datelor la site-ul de revizuire a confidențialității ProPrivacy, a spus într-un interviu prin e-mail.

„În continuare, victima primește un mesaj direct de la un contact care susține că i-a trimis un cod din întâmplare. În cele din urmă, victimei i se cere să trimită codul hackerului, ceea ce îi oferă acces instantaneu la contul victimei.”

Software-ul poate fi, de asemenea, o problemă. „Din cauza vulnerabilităților dispozitivului, MFA ar putea fi interceptat de o aplicație care ne scurge sau de un dispozitiv compromis de care utilizatorul nu este conștient”, George Freeman, consultant în soluții la guvern grup de Soluții de risc LexisNexis, a spus într-un interviu prin e-mail.

Nu renunța încă la telefon

Cu toate acestea, MFA bazat pe text este mai bine decât nimic, spun experții. „MFA este unul dintre cele mai puternice instrumente pe care le are un utilizator pentru a-și proteja conturile”, Mark Nunnikhoven, vicepreședinte pentru cercetare în cloud la compania de securitate cibernetică Trend Micro, a spus într-un interviu prin e-mail.

„Ar trebui să fie activat ori de câte ori este posibil. Dacă aveți posibilitatea de a alege, utilizați o aplicație de autentificare pe smartphone, dar în cele din urmă, asigurați-vă că MFA este activat sub orice formă.”

O modalitate simplă și ieftină de a crește securitatea este să utilizați aplicația de autentificare pe telefon, Peter Robert, co-fondator și CEO al Companie IT Expert Computer Solutions, a spus într-un interviu prin e-mail.

„Dacă aveți buget și considerați securitatea critică, v-aș încuraja să evaluați cheile MFA bazate pe hardware”, a adăugat el. „Pentru companii și persoane care sunt preocupate de securitate, aș recomanda și un dark web serviciu de monitorizare pentru a vă anunța dacă informațiile personale despre dvs. sunt disponibile și de vânzare pe întuneric web."

Prim-plan al unui deget pe un scaner de amprente. — honestmike / Getty Images

Pentru mai mult Misiune imposibila-abordarea stilului, noul standard FIDO2 cu Webauthn folosește autentificarea biometrică, spune Freeman. „Utilizatorul se conectează la un site financiar, introduce un nume de utilizator, site-ul web contactează dispozitivul mobil al utilizatorului, o aplicație securizată pe telefon, apoi solicită utilizatorului ID-ul facial sau amprenta digitală. Când are succes, apoi autentifică sesiunea web”, a spus el.

Cu atât de multe amenințări posibile, ar putea fi timpul să începeți să căutați modalități mai sigure de a vă conecta la site-uri web care stochează informații personale. Hackerii ar putea fi pândit pe web abia așteptând să vă intercepteze parola.