Zakaj je preverjanje pristnosti po telefonu lahko nevarno
Ključni odvzemi
- Hekerji lahko ukradejo kode za večfaktorno preverjanje pristnosti (MFA), ki temeljijo na telefonu, pravijo strokovnjaki.
- Telefonska podjetja so bila zavedena pri prenosu telefonskih številk, da bi kriminalcem omogočili, da dobijo kode.
- Preprost in poceni način za povečanje varnosti je uporaba aplikacije za preverjanje pristnosti v telefonu.
Če želite ostati varni pred hekerji, prenehajte uporabljati telefonske kode za večfaktorno preverjanje pristnosti (MFA), poslane prek SMS-ov in glasovnih klicev, piše vrhunski strokovnjak za varnost v novi analizi.
Telefonske kode so ranljive za prestrezanje s strani hekerjev, je zapisal Alex Weinert, direktor za varnost identitete pri Microsoftu. nedavna objava na blogu. Opazovalci pravijo, da so kode, ki temeljijo na besedilu, boljše kot nič. Toda uporabniki bi morali telefonsko preverjanje pristnosti zamenjati z aplikacijami in varnostnimi ključi.
"Ti mehanizmi temeljijo na javno komutiranih telefonskih omrežjih (PSTN) in verjamem, da so najmanj varne od metod MFA, ki so danes na voljo," je zapisal.
"Ta vrzel se bo le še povečala, ko bo sprejetje MFA povečalo zanimanje napadalcev za zlom teh metod, namensko izdelani overitelji pa bodo razširili svoje prednosti glede varnosti in uporabnosti. Načrtujte svoj prehod na močno overjanje brez gesla – aplikacija za preverjanje pristnosti ponuja takojšnjo in razvijajočo se možnost.«
MFA je varnostna metoda, pri kateri je uporabniku računalnika odobren dostop do spletnega mesta ali aplikacije šele po uspešni predstavitvi dveh ali več dokazov mehanizmu za preverjanje pristnosti. Te kode se pogosto pošiljajo po telefonu.
Hekerji se pretvarjajo, da ste vi
Vendar pa obstajajo načini, kako lahko hekerji dobijo dostop do telefonskih kod, pravijo opazovalci. V nekaterih primerih so bila telefonska podjetja zavedena pri prenosu telefonskih številk, da bi hekerjem omogočili pridobitev kod.
"Telefoni so tako nevarni, da bodo uporabniki pogosto prejeli prevarne klice iz držav tretjega sveta, medtem ko prikazujejo ameriške regionalne telefonske številke," Matthew Rogers, CISO pri Sintaksa ponudnika oblakov, je dejal v e-poštnem intervjuju. "Telefoni so prav tako izpostavljeni napadom zamenjave SIM, ki lahko zlahka zaobidejo MFA prek besedilnega sporočila."
Nedavno je bil priljubljeni radijski voditelj BBC Jeremy Vine žrtev napada, zaradi katerega je bil vdor v njegov račun WhatsApp.
"Napad, ki je uspešno prelisičil Vine, se začne s prejemom na videz nezaželenega SMS sporočila ki vsebuje dvofaktorsko kodo za preverjanje pristnosti njihovega računa,« je Ray Walsh, strokovnjak za zasebnost podatkov pri spletno mesto za pregled zasebnosti ProPrivacy, je dejal v e-poštnem intervjuju.
"Po tem žrtev prejme neposredno sporočilo od stika, ki trdi, da ji je po nesreči poslala kodo. Nazadnje je žrtev pozvana, da hekerju posreduje kodo, ki ji omogoči takojšen dostop do žrtvinega računa."
Problem je lahko tudi programska oprema. "Zaradi ranljivosti naprav bi lahko MFA prisluškovali aplikaciji, ki pušča, ali ogrožena naprava, za katero se uporabnik ne zaveda," je George Freeman, svetovalec za rešitve pri vladi skupina LexisNexis rešitve tveganja, je dejal v e-poštnem intervjuju.
Še ne odpovejte se telefonu
Vendar pa je besedilna MFA boljša kot nič, pravijo strokovnjaki. "MFA je eno najmočnejših orodij, ki jih ima uporabnik za zaščito svojih računov," je Mark Nunnikhoven, podpredsednik raziskav v oblaku pri podjetje za kibernetsko varnost Trend Micro, je dejal v e-poštnem intervjuju.
"To je treba omogočiti, kadar koli je to mogoče. Če imate izbiro, uporabite aplikacijo za preverjanje pristnosti na pametnem telefonu, vendar se na koncu prepričajte, da je MFA omogočena v kakršni koli obliki."
Preprost in poceni način za povečanje varnosti je uporaba aplikacije za preverjanje pristnosti v telefonu, Peter Robert, soustanovitelj in izvršni direktor IT podjetje Expert Computer Solutions, je dejal v e-poštnem intervjuju.
"Če imate proračun in menite, da je varnost ključnega pomena, bi vas spodbujal, da ocenite ključe MFA, ki temeljijo na strojni opremi," je dodal. »Podjetjem in posameznikom, ki jih skrbi varnost, bi priporočal tudi temni splet storitev spremljanja, ki vas obvešča, ali so osebni podatki o vas na voljo in naprodaj na temo spletu."
Za več Misija nemogoče- stilski pristop, novi standard FIDO2 z Webauthn uporablja biometrično preverjanje pristnosti, pravi Freeman. »Uporabnik se poveže s finančnim mestom, vnese uporabniško ime, spletno mesto vzpostavi stik z [uporabnikovo] mobilno napravo, varna aplikacija na [telefonu] nato od uporabnika pozove [njihov] ID obraza ali prstni odtis. Ko je uspešen, potem preveri pristnost spletne seje," je dejal.
Zaradi toliko možnih groženj je morda čas, da začnete iskati varnejše načine za prijavo na spletna mesta, ki hranijo osebne podatke. Hekerji se lahko skrivajo na spletu in samo čakajo, da prestrežejo vaše geslo.