Ключевые выводы
- По словам экспертов, хакеры могут украсть коды многофакторной аутентификации (MFA) с помощью телефона.
- Телефонные компании обманом заставили передать телефонные номера, чтобы преступники могли получить коды.
- Простым и недорогим способом повысить безопасность является использование приложения для проверки подлинности на вашем телефоне.
Чтобы обезопасить себя от хакеров, прекратите использовать коды многофакторной аутентификации (MFA) на основе телефона, отправляемые с помощью SMS и голосовых вызовов, пишет ведущий эксперт по безопасности в новом анализе.
Телефонные коды уязвимы для перехвата хакерами, написал Алекс Вайнерт, директор по безопасности личных данных в Microsoft, в недавнем сообщении в блоге. Текстовые коды лучше, чем ничего, считают наблюдатели. Но пользователям следует заменить аутентификацию по телефону приложениями и ключами безопасности.
«Эти механизмы основаны на телефонных сетях общего пользования (PSTN), и я считаю, что они наименее безопасны из доступных сегодня методов MFA», - написал он.
"Этот разрыв будет только увеличиваться по мере того, как внедрение MFA повышает интерес злоумышленников к взлому этих методов, а специальные средства проверки подлинности расширяют их преимущества в плане безопасности и удобства использования. развивающийся вариант."
MFA - это метод безопасности, при котором пользователю компьютера предоставляется доступ к веб-сайту или приложению только после успешного предоставления двух или более доказательств механизму аутентификации. Эти коды часто отправляются по телефону.
Хакеры выдают себя за вас
Есть способы, которыми хакеры могут получить доступ к телефонным кодам, однако, говорят наблюдатели. В некоторых случаях телефонные компании обманом заставляли передавать телефонные номера, чтобы хакеры могли получить коды.
«Телефоны настолько небезопасны, что пользователи часто получают мошеннические звонки, направляемые на них из стран третьего мира, при этом показывая американские региональные телефонные номера», - сказал Мэтью Роджерс, директор по информационной безопасности облачного провайдера Syntax, в интервью по электронной почте. «Телефоны также подвергаются атакам с подменой SIM-карты, которые могут легко обойти MFA с помощью текстового сообщения».
Недавно популярный радиоведущий BBC Джереми Вайн стал жертвой атаки, в результате которой был взломан его аккаунт в WhatsApp.
«Атака, которая успешно обманула Vine, начинается с получения, казалось бы, нежелательного SMS-сообщения, которое содержит код двухфакторной аутентификации для их учетной записи», - сказал Рэй Уолш, эксперт по конфиденциальности данных на сайте обзора конфиденциальности ProPrivacy. интервью по электронной почте.
"После этого жертва получает прямое сообщение от контакта, утверждающего, что случайно отправила им код. Наконец, жертву просят переслать хакеру код, который дает ей мгновенный доступ к учетной записи жертвы.."
Программное обеспечение также может быть проблемой. «Из-за уязвимостей устройства MFA потенциально может быть перехвачен дырявым приложением или скомпрометированным устройством, о которых пользователь не знает», - сказал в интервью по электронной почте Джордж Фриман, консультант по решениям в правительственной группе LexisNexis Risk Solutions.
Пока не сдавайте свой телефон
Тем не менее, текстовый MFA лучше, чем ничего, считают эксперты. «MFA - это один из самых мощных инструментов, который пользователь может использовать для защиты своих учетных записей», - сказал Марк Нанниховен, вице-президент по облачным исследованиям в компании Trend Micro, занимающейся кибербезопасностью, в интервью по электронной почте.
"Он должен быть включен всегда, когда это возможно. Если у вас есть выбор, используйте приложение для аутентификации на своем смартфоне, но, в конце концов, просто убедитесь, что MFA включен в любой форме."
Простым и недорогим способом повысить безопасность является использование приложения для проверки подлинности на вашем телефоне, сказал в интервью по электронной почте Питер Роберт, соучредитель и генеральный директор ИТ-компании Expert Computer Solutions.
«Если у вас есть бюджет и вы считаете безопасность критически важной, я бы посоветовал вам оценить аппаратные ключи MFA», - добавил он. «Для компаний и частных лиц, которые обеспокоены безопасностью, я бы также рекомендовал темную сеть служба мониторинга, чтобы вы знали, доступна ли личная информация о вас и продается ли она в даркнете."
По словам Фримана, новый стандарт FIDO2 с Webauthn использует биометрическую аутентификацию для того, чтобы сделать подход в стиле «Миссия невыполнима». «Пользователь подключается к финансовому сайту, вводит имя пользователя, веб-сайт связывается с мобильным устройством [этого] пользователя, безопасное приложение на [телефоне] затем запрашивает у пользователя [его] идентификатор лица или отпечаток пальца. В случае успеха он аутентифицируется. веб-сессии», - сказал он.
С таким количеством возможных угроз, возможно, пришло время начать искать более безопасные способы входа на веб-сайты, на которых хранится личная информация. Хакеры могут скрываться в Интернете, просто ожидая перехвата вашего пароля.