Βασικά Takeaways
- Οι χάκερ μπορούν να κλέψουν κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) που βασίζονται σε τηλέφωνο, λένε οι ειδικοί.
- Εταιρείες τηλεφωνίας εξαπατήθηκαν να μεταφέρουν αριθμούς τηλεφώνου για να επιτρέψουν στους εγκληματίες να λάβουν τους κωδικούς.
- Ένας απλός, χαμηλού κόστους τρόπος για να αυξήσετε την ασφάλεια είναι να χρησιμοποιήσετε την εφαρμογή ελέγχου ταυτότητας στο τηλέφωνό σας.
Για να παραμείνετε ασφαλείς από τους χάκερ, σταματήστε να χρησιμοποιείτε κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) που αποστέλλονται μέσω SMS και φωνητικών κλήσεων, γράφει ένας κορυφαίος ειδικός σε θέματα ασφάλειας σε μια νέα ανάλυση.
Οι τηλεφωνικοί κωδικοί είναι ευάλωτοι σε υποκλοπές από χάκερ, έγραψε ο Alex Weinert, διευθυντής ασφάλειας ταυτότητας στη Microsoft, σε πρόσφατη ανάρτηση ιστολογίου. Οι κώδικες που βασίζονται σε κείμενο είναι καλύτεροι από το τίποτα, λένε οι παρατηρητές. Ωστόσο, οι χρήστες θα πρέπει να αντικαταστήσουν τον έλεγχο ταυτότητας βάσει τηλεφώνου με εφαρμογές και κλειδιά ασφαλείας.
"Αυτοί οι μηχανισμοί βασίζονται σε δημόσια τηλεφωνικά δίκτυα (PSTN) και πιστεύω ότι είναι οι λιγότερο ασφαλείς από τις μεθόδους MFA που είναι διαθέσιμες σήμερα", έγραψε.
"Αυτό το χάσμα θα διευρυνθεί μόνο καθώς η υιοθέτηση του MFA αυξάνει το ενδιαφέρον των επιτιθέμενων για παραβίαση αυτών των μεθόδων και οι ειδικά κατασκευασμένοι έλεγχοι ταυτότητας επεκτείνουν τα πλεονεκτήματα ασφάλειας και χρηστικότητας. Σχεδιάστε τώρα τη μετάβασή σας σε ισχυρή πιστοποίηση χωρίς κωδικό πρόσβασης - η εφαρμογή ελέγχου ταυτότητας παρέχει άμεση και εξελισσόμενη επιλογή."
Το MFA είναι μια μέθοδος ασφαλείας κατά την οποία ένας χρήστης υπολογιστή έχει πρόσβαση σε έναν ιστότοπο ή μια εφαρμογή μόνο μετά την επιτυχή παρουσίαση δύο ή περισσότερων αποδεικτικών στοιχείων σε έναν μηχανισμό ελέγχου ταυτότητας. Αυτοί οι κωδικοί αποστέλλονται συχνά μέσω τηλεφώνου.
Οι χάκερ προσποιούνται ότι είστε εσείς
Υπάρχουν ωστόσο τρόποι με τους οποίους οι χάκερ μπορούν να αποκτήσουν πρόσβαση σε τηλεφωνικούς κωδικούς, λένε οι παρατηρητές. Σε ορισμένες περιπτώσεις, εταιρείες τηλεφωνίας έχουν εξαπατηθεί να μεταφέρουν αριθμούς τηλεφώνου για να επιτρέψουν στους χάκερ να λάβουν τους κωδικούς.
"Τα τηλέφωνα είναι τόσο ανασφαλή που οι χρήστες δέχονται συχνά κλήσεις απάτης που δρομολογούνται σε αυτούς από χώρες του τρίτου κόσμου ενώ εμφανίζουν αμερικανικούς περιφερειακούς αριθμούς τηλεφώνου", δήλωσε ο Matthew Rogers, CISO του παρόχου cloud Syntax, σε μια συνέντευξη μέσω email. "Τα τηλέφωνα υπόκεινται επίσης σε επιθέσεις ανταλλαγής SIM, οι οποίες μπορούν εύκολα να παρακάμψουν το MFA μέσω μηνύματος κειμένου."
Πρόσφατα, ο δημοφιλής ραδιοφωνικός παρουσιαστής του BBC, Jeremy Vine, έπεσε θύμα επίθεσης που οδήγησε στον λογαριασμό του στο WhatsApp.
"Η επίθεση που ξεγέλασε με επιτυχία τον Vine ξεκινά με τη λήψη ενός φαινομενικά αυτόκλητου μηνύματος SMS που περιέχει τον κωδικό ελέγχου ταυτότητας δύο παραγόντων στον λογαριασμό τους", δήλωσε ο Ray Walsh, ειδικός σε θέματα απορρήτου δεδομένων στον ιστότοπο ελέγχου απορρήτου ProPrivacy. μια συνέντευξη μέσω email.
"Στη συνέχεια, το θύμα λαμβάνει ένα άμεσο μήνυμα από μια επαφή που ισχυρίζεται ότι του έστειλε έναν κωδικό κατά λάθος. Τέλος, ζητείται από το θύμα να προωθήσει στον χάκερ τον κωδικό, ο οποίος του δίνει άμεση πρόσβαση στον λογαριασμό του θύματος."
Το λογισμικό μπορεί επίσης να είναι πρόβλημα. "Λόγω τρωτών σημείων της συσκευής, το MFA θα μπορούσε ενδεχομένως να υποκλαπεί από μια διαρροή εφαρμογή ή μια παραβιασμένη συσκευή που ο χρήστης δεν γνωρίζει", δήλωσε ο George Freeman, σύμβουλος λύσεων στην κυβερνητική ομάδα της LexisNexis Risk Solutions, σε μια συνέντευξη μέσω email.
Μην εγκαταλείπετε το τηλέφωνό σας ακόμα
Ωστόσο, το MFA που βασίζεται σε κείμενο είναι καλύτερο από το τίποτα, λένε οι ειδικοί. "Το MFA είναι ένα από τα πιο ισχυρά εργαλεία που έχει ένας χρήστης για την προστασία των λογαριασμών του", δήλωσε ο Mark Nunnikhoven, αντιπρόεδρος έρευνας cloud στην εταιρεία κυβερνοασφάλειας Trend Micro, σε μια συνέντευξη μέσω email.
"Θα πρέπει να είναι ενεργοποιημένο όποτε είναι δυνατόν. Εάν έχετε την επιλογή, χρησιμοποιήστε μια εφαρμογή ελέγχου ταυτότητας στο smartphone σας - αλλά στο τέλος, απλώς βεβαιωθείτε ότι το MFA είναι ενεργοποιημένο σε οποιαδήποτε μορφή."
Ένας απλός, χαμηλού κόστους τρόπος για να αυξήσετε την ασφάλεια είναι να χρησιμοποιήσετε την εφαρμογή ελέγχου ταυτότητας στο τηλέφωνό σας, δήλωσε ο Peter Robert, συνιδρυτής και Διευθύνων Σύμβουλος της εταιρείας IT Expert Computer Solutions, σε μια συνέντευξη μέσω email.
"Εάν έχετε τον προϋπολογισμό και θεωρείτε την ασφάλεια κρίσιμης σημασίας, θα σας ενθαρρύνω να αξιολογήσετε τα κλειδιά MFA που βασίζονται σε υλικό", πρόσθεσε. "Για τις επιχειρήσεις και τα άτομα που ενδιαφέρονται για την ασφάλεια, θα συνιστούσα επίσης έναν σκοτεινό ιστό υπηρεσία παρακολούθησης για να σας ενημερώνει εάν προσωπικές πληροφορίες σχετικά με εσάς είναι διαθέσιμες και προς πώληση στον σκοτεινό ιστό."
Για μια πιο προσέγγιση τύπου Mission Impossible, το νέο πρότυπο FIDO2 με Webauthn χρησιμοποιεί βιομετρικό έλεγχο ταυτότητας, λέει ο Freeman. "Ο χρήστης συνδέεται σε έναν οικονομικό ιστότοπο, εισάγει ένα όνομα χρήστη, ο ιστότοπος έρχεται σε επαφή με την κινητή συσκευή [του] χρήστη, μια ασφαλής εφαρμογή στο τηλέφωνο και, στη συνέχεια, ζητά από τον χρήστη την ταυτότητα προσώπου ή το δακτυλικό του αποτύπωμα. Όταν είναι επιτυχής, στη συνέχεια επαληθεύεται η διαδικτυακή συνεδρία», είπε.
Με τόσες πολλές πιθανές απειλές, ίσως είναι καιρός να αρχίσετε να αναζητάτε πιο ασφαλείς τρόπους σύνδεσης σε ιστότοπους που αποθηκεύουν προσωπικές πληροφορίες. Οι χάκερ μπορεί να κρύβονται στον ιστό απλώς περιμένοντας να υποκλέψουν τον κωδικό πρόσβασής σας.