Recomandări cheie
- Hackerii pot fura coduri de autentificare multifactor (MFA) pe bază de telefon, spun experții.
- Companiile de telefonie au fost păcălite să transfere numere de telefon pentru a permite criminalilor să obțină codurile.
- O modalitate simplă și ieftină de a crește securitatea este să utilizați aplicația de autentificare pe telefon.
Pentru a fi protejat de hackeri, nu mai utilizați coduri de autentificare multifactor (MFA) pe bază de telefon trimise prin SMS și apeluri vocale, scrie un expert de top în securitate într-o nouă analiză.
Codurile de telefon sunt vulnerabile la interceptarea de către hackeri, a scris Alex Weinert, director pentru securitatea identității la Microsoft, într-o postare recentă pe blog. Codurile bazate pe text sunt mai bune decât nimic, spun observatorii. Dar utilizatorii ar trebui să înlocuiască autentificarea pe bază de telefon cu aplicații și chei de securitate.
„Aceste mecanisme se bazează pe rețele telefonice cu comutare publică (PSTN) și cred că sunt cele mai puțin sigure dintre metodele MFA disponibile astăzi”, a scris el.
"Această decalaj se va extinde doar pe măsură ce adoptarea MFA crește interesul atacatorilor de a încălca aceste metode, iar autentificatorii special conceputi își extind avantajele de securitate și de utilizare. Planificați-vă acum trecerea la o autentificare puternică fără parolă - aplicația de autentificare oferă o soluție imediată și opțiune în evoluție."
MFA este o metodă de securitate în care unui utilizator de computer i se acordă acces la un site web sau la o aplicație numai după ce a prezentat cu succes două sau mai multe dovezi unui mecanism de autentificare. Aceste coduri sunt adesea trimise prin telefon.
Hackeri se prefac a fi tu
Există modalități în care hackerii pot obține acces la codurile telefonice, spun observatorii. În unele cazuri, companiile de telefonie au fost păcălite să transfere numere de telefon pentru a permite hackerilor să obțină codurile.
„Telefoanele sunt atât de nesigure încât utilizatorii vor primi adesea apeluri înșelătorii direcționate către ei din țări din lumea a treia, în timp ce afișează numere de telefon regionale americane”, a declarat Matthew Rogers, CISO al furnizorului de cloud Syntax, într-un interviu prin e-mail. „Telefoanele sunt, de asemenea, supuse atacurilor de schimb SIM, care pot ocoli cu ușurință MFA prin mesaj text.”
Recent, popularul gazdă radio BBC Jeremy Vine a fost victimizată de un atac care a dus la pătrunderea contului său WhatsApp.
„Atacul care l-a păcălit cu succes pe Vine începe cu primirea unui mesaj SMS aparent nesolicitat care conține codul de autentificare cu doi factori în contul lor”, a declarat Ray Walsh, expert în confidențialitatea datelor la site-ul de evaluare a confidențialității ProPrivacy, în un interviu prin e-mail.
"În continuare, victima primește un mesaj direct de la un contact care pretinde că i-a trimis un cod din greșeală. În cele din urmă, victimei i se cere să trimită codul hackerului, ceea ce îi oferă acces instantaneu la contul victimei.."
Software-ul poate fi, de asemenea, o problemă. „Din cauza vulnerabilităților dispozitivului, MFA ar putea fi urmărit cu urechea de o aplicație cu scurgeri sau de un dispozitiv compromis de care utilizatorul nu este conștient”, a declarat George Freeman, consultant în soluții la grupul guvernamental LexisNexis Risk Solutions, într-un interviu prin e-mail.
Nu renunțați încă la telefon
Cu toate acestea, MFA bazat pe text este mai bine decât nimic, spun experții. „MFA este unul dintre cele mai puternice instrumente pe care le are un utilizator pentru a-și proteja conturile”, a declarat Mark Nunnikhoven, vicepreședinte pentru cercetare în cloud la compania de securitate cibernetică Trend Micro, într-un interviu prin e-mail.
„Ar trebui să fie activat ori de câte ori este posibil. Dacă aveți de ales, utilizați o aplicație de autentificare pe smartphone-dar, în final, asigurați-vă că MFA este activat sub orice formă.”
O modalitate simplă și cu costuri reduse de a crește securitatea este să utilizați aplicația de autentificare pe telefon, a declarat Peter Robert, co-fondator și CEO al companiei IT Expert Computer Solutions, într-un interviu prin e-mail.
„Dacă aveți buget și considerați că securitatea este critică, v-aș încuraja să evaluați cheile MFA bazate pe hardware”, a adăugat el. „Pentru companii și persoane care sunt preocupate de securitate, aș recomanda, de asemenea, un web întunecat. serviciu de monitorizare pentru a vă anunța dacă informațiile personale despre dvs. sunt disponibile și de vânzare pe dark web."
Pentru o abordare mai în stil Mission Impossible, noul standard FIDO2 cu Webauthn folosește autentificarea biometrică, spune Freeman. „Utilizatorul se conectează la un site financiar, introduce un nume de utilizator, site-ul web contactează dispozitivul mobil al utilizatorului, o aplicație securizată de pe telefon, apoi solicită utilizatorului ID-ul facial sau amprenta digitală. Când are succes, se autentifică sesiunea web”, a spus el.
Cu atât de multe amenințări posibile, ar putea fi timpul să începeți să căutați modalități mai sigure de a vă conecta la site-uri web care stochează informații personale. Hackerii ar putea fi pândit pe web abia așteptând să vă intercepteze parola.