Kulcs elvitelek
- A hackerek telefonalapú többtényezős hitelesítési (MFA) kódokat lophatnak a szakértők szerint.
- A telefontársaságokat becsapták azzal, hogy telefonszámokat küldjenek át, hogy a bűnözők megkaphassák a kódokat.
- A biztonság növelésének egyszerű, olcsó módja a hitelesítő alkalmazás használata a telefonon.
A hackerek elleni védelem érdekében hagyja abba az SMS-ben és hanghívásokban küldött telefonalapú többtényezős hitelesítési (MFA) kódokat – írja egy vezető biztonsági szakértő egy új elemzésében.
A telefonkódok ki vannak téve a hackerek általi lehallgatásnak – írta Alex Weinert, a Microsoft személyazonosság-biztonsági igazgatója egy nemrégiben megjelent blogbejegyzésében. A szöveg alapú kódok jobbak a semminél, mondják a megfigyelők. A felhasználóknak azonban le kell cserélniük a telefonalapú hitelesítést alkalmazásokkal és biztonsági kulcsokkal.
"Ezek a mechanizmusok nyilvánosan kapcsolt telefonhálózatokon (PSTN) alapulnak, és úgy gondolom, hogy a ma elérhető MFA-módszerek közül ezek a legkevésbé biztonságosak" - írta.
"Ez a szakadék csak nőni fog, ahogy az MFA bevezetése megnöveli a támadók érdeklődését e módszerek feltörése iránt, és a célzott hitelesítők kiterjesztik biztonsági és használhatósági előnyeiket. Tervezze meg, hogy most a jelszó nélküli erős hitelesítésre váltson – a hitelesítő alkalmazás azonnali és fejlődő lehetőség."
Az MFA olyan biztonsági módszer, amelyben a számítógép-felhasználó csak azután kap hozzáférést egy webhelyhez vagy alkalmazáshoz, miután két vagy több bizonyítékot sikeresen bemutatott egy hitelesítési mechanizmusnak. Ezeket a kódokat gyakran telefonon küldik.
A hackerek úgy tesznek, mintha te lennél
Megfigyelők szerint azonban a hackerek többféleképpen is hozzáférhetnek a telefonkódokhoz. Egyes esetekben a telefontársaságokat becsapták azzal, hogy telefonszámokat küldjenek át, hogy a hackerek hozzáférhessenek a kódokhoz.
"A telefonok annyira nem biztonságosak, hogy a felhasználók gyakran kapnak átverési hívásokat a harmadik világ országaiból, miközben amerikai regionális telefonszámokat mutatnak be" - mondta Matthew Rogers, a Syntax felhőszolgáltató CISO-ja egy e-mailes interjúban. "A telefonok is ki vannak téve a SIM-csere támadásoknak, amelyek könnyen megkerülhetik az MFA-t szöveges üzenetekkel."
A közelmúltban a BBC népszerű rádióműsorvezetője, Jeremy Vine egy támadás áldozatává vált, amely a WhatsApp-fiókjába való behatoláshoz vezetett.
"A Vine-t sikeresen becsapó támadás azzal kezdődik, hogy egy látszólag kéretlen SMS-üzenet érkezik, amely tartalmazza a fiókjuk kétfaktoros hitelesítési kódját" - mondta Ray Walsh, a ProPrivacy adatvédelmi felülvizsgálati oldal adatvédelmi szakértője. email interjú.
"Ezt követően az áldozat közvetlen üzenetet kap egy kapcsolattartójától, amely azt állítja, hogy véletlenül küldött neki egy kódot. Végül megkérik az áldozatot, hogy továbbítsa a kódot a hackernek, amely azonnali hozzáférést biztosít az áldozat fiókjához."
A szoftverrel is gond lehet. "Az eszközök sebezhetősége miatt az MFA-t potenciálisan lehallgathatják egy szivárgó alkalmazás vagy egy olyan feltört eszköz, amelyről a felhasználó nem tud" - mondta George Freeman, a LexisNexis Risk Solutions kormányzati csoportjának megoldási tanácsadója egy e-mailes interjúban.
Még ne add fel a telefonodat
A szövegalapú MFA azonban jobb a semminél, mondják a szakértők. "Az MFA az egyik leghatékonyabb eszköz, amellyel a felhasználók megvédhetik fiókjaikat" - mondta Mark Nunnikhoven, a Trend Micro kiberbiztonsági vállalat felhőkutatási alelnöke egy e-mailes interjúban.
"Engedélyezni kell, amikor csak lehetséges. Ha van választása, használjon hitelesítő alkalmazást okostelefonján – de végül csak győződjön meg arról, hogy az MFA bármilyen formában engedélyezve van."
A biztonság növelésének egyszerű, olcsó módja a hitelesítő alkalmazás használata a telefonon – mondta Peter Robert, az Expert Computer Solutions informatikai vállalat társalapítója és vezérigazgatója egy e-mailes interjúban.
„Ha megvan a költségvetése, és kritikusnak tartja a biztonságot, azt javaslom, hogy értékelje a hardver alapú MFA-kulcsokat” – tette hozzá. „A biztonság miatt aggódó vállalkozások és magánszemélyek számára a sötét web használatát is javaslom. felügyeleti szolgáltatás, amely tájékoztatja Önt arról, hogy Önnel kapcsolatos személyes adatok elérhetők és eladók a sötét weben."
A Mission Impossible-stílusú megközelítés érdekében az új szabvány FIDO2 Webauthn-nel biometrikus hitelesítést használ, mondja Freeman. "A felhasználó csatlakozik egy pénzügyi oldalhoz, beír egy felhasználónevet, a webhely felveszi a kapcsolatot [a] felhasználó mobileszközével, egy biztonságos alkalmazás [a] telefonon, majd bekéri a felhasználót az arcazonosító vagy az ujjlenyomat megadására. Ha sikeres, akkor hitelesít a webes munkamenet” – mondta.
A sok lehetséges fenyegetés miatt talán ideje elkezdeni biztonságosabb módokat keresni a személyes adatokat tároló webhelyekre való bejelentkezéshez. Lehet, hogy hackerek leselkednek az internetre, csak arra várnak, hogy elkapják jelszavadat.