Pagrindiniai pasiėmimai
- Įsilaužėliai gali pavogti telefonais pagrįstus kelių veiksnių autentifikavimo (MFA) kodus, sako ekspertai.
- Telefonų bendrovės buvo apgaudinėjamos, kad perkeltų telefono numerius, kad nusik altėliai galėtų gauti kodus.
- Paprastas ir nebrangus būdas padidinti saugumą yra naudoti autentifikavimo programą telefone.
Siekdami apsisaugoti nuo įsilaužėlių, nustokite naudoti telefonu pagrįstus daugiafaktorinius autentifikavimo (MFA) kodus, siunčiamus SMS žinutėmis ir balso skambučiais, naujoje analizėje rašo geriausias saugumo ekspertas.
Telefono kodus gali perimti įsilaužėliai, neseniai paskelbtame tinklaraščio įraše rašė Alexas Weinertas, Microsoft tapatybės saugumo direktorius. Stebėtojai teigia, kad tekstiniai kodai yra geriau nei nieko. Tačiau naudotojai turėtų telefono autentifikavimą pakeisti programomis ir saugos raktais.
„Šie mechanizmai yra pagrįsti viešai perjungiamais telefono tinklais (PSTN), ir manau, kad jie yra mažiausiai saugūs iš šiandien prieinamų MFA metodų“, – rašė jis.
"Šis atotrūkis tik padidės, nes MFA priėmimas padidins užpuolikų susidomėjimą pažeisti šiuos metodus, o specialiai sukurti autentifikatoriai padidins jų saugumo ir naudojimo pranašumus. Suplanuokite savo perėjimą prie tvirto autentifikavimo be slaptažodžio dabar – autentifikavimo programa suteikia tiesioginį ir tobulėjanti parinktis."
MFA yra saugos metodas, kai kompiuterio vartotojui prieiga prie svetainės arba programos suteikiama tik sėkmingai pateikus du ar daugiau įrodymų autentifikavimo mechanizmui. Šie kodai dažnai siunčiami telefonu.
Hakeriai apsimeta tavimi
Yra būdų, kaip įsilaužėliai gali gauti prieigą prie telefono kodų, tačiau teigia stebėtojai. Kai kuriais atvejais telefonų bendrovės buvo apgaudinėjamos, kad perkeltų telefono numerius, kad įsilaužėliai galėtų gauti kodus.
„Telefonai yra tokie nesaugūs, kad vartotojai dažnai sulaukia sukčiavimo skambučių iš trečiojo pasaulio šalių, rodydami Amerikos regioninius telefono numerius“, – interviu el. paštu sakė debesų paslaugų teikėjo „Syntax“CISO Matthew Rogersas. "Telefonai taip pat susiduria su SIM keitimo atakomis, kurios gali lengvai apeiti MFA teksto pranešimu."
Neseniai populiarus BBC radijo laidų vedėjas Jeremy Vine'as nukentėjo nuo atakos, dėl kurios buvo įsiskverbta į jo WhatsApp paskyrą.
„Ataka, kuri sėkmingai apgavo Vine, prasideda gavus iš pažiūros neprašytą SMS žinutę, kurioje yra dviejų veiksnių autentifikavimo kodas jų paskyroje“, – sakė privatumo peržiūros svetainės „ProPrivacy“duomenų privatumo ekspertas Ray'us Walshas. paštu interviu.
"Po to auka gauna tiesioginį pranešimą iš kontaktinio asmens, teigiančio, kad netyčia atsiuntė jiems kodą. Galiausiai aukos prašoma persiųsti įsilaužėliui kodą, kuris suteikia jam tiesioginę prieigą prie aukos paskyros."
Programinė įranga taip pat gali sukelti problemų. „Dėl įrenginio pažeidžiamumo MFA gali pasiklausyti nesandari programa arba pažeistas įrenginys, apie kurį vartotojas nežino“, – interviu el. paštu sakė George'as Freemanas, sprendimų konsultantas iš „LexisNexis Risk Solutions“vyriausybinės grupės.
Dar neatsisakyk savo telefono
Tačiau teksto MFA yra geriau nei nieko, sako ekspertai. „MFA yra vienas iš galingiausių įrankių, kuriuos vartotojas turi apsaugoti savo paskyras“, – interviu el. paštu sakė Markas Nunnikhovenas, kibernetinio saugumo bendrovės „Trend Micro“debesų tyrimų viceprezidentas.
"Jis turėtų būti įjungtas, kai tik įmanoma. Jei turite pasirinkimą, naudokite autentifikavimo programą savo išmaniajame telefone, bet galiausiai įsitikinkite, kad MFA įgalinta bet kokia forma."
Paprastas ir nebrangus būdas padidinti saugumą – telefone naudoti autentifikavimo programą, interviu el. paštu sakė IT bendrovės „Expert Computer Solutions“įkūrėjas ir generalinis direktorius Peteris Robertas.
„Jei turite biudžetą ir manote, kad saugumas yra labai svarbus, raginčiau įvertinti aparatūros pagrindu sukurtus MFA raktus“, – pridūrė jis. stebėjimo paslauga, kad praneštumėte, ar asmeninė informacija apie jus yra prieinama ir parduodama tamsiajame žiniatinklyje."
Siekiant labiau Mission Impossible stiliaus metodo, naujasis standartas FIDO2 su Webauthn naudoja biometrinį autentifikavimą, sako Freemanas. „Vartotojas prisijungia prie finansinės svetainės, įveda naudotojo vardą, svetainė susisiekia su [vartotojo] mobiliuoju įrenginiu, saugi programėlė [telefone] paprašo vartotojo įvesti [jų] veido ID arba piršto atspaudą. Kai pavyksta, ji autentifikuojasi. žiniatinklio sesijoje“, – sakė jis.
Kadangi tiek daug galimų grėsmių, gali būti laikas pradėti ieškoti saugesnių būdų prisijungti prie svetainių, kuriose saugoma asmeninė informacija. Piratai gali slypėti žiniatinklyje, tik laukia, kol perims jūsų slaptažodį.