Atslēgas līdzņemšanai
- Hakeri var nozagt tālruņu daudzfaktoru autentifikācijas (MFA) kodus, saka eksperti.
- Tālruņa uzņēmumi ir piemānīti pārsūtīt tālruņu numurus, lai noziedznieki varētu iegūt kodus.
- Vienkāršs un lēts veids, kā palielināt drošību, ir tālrunī izmantot autentifikācijas lietotni.
Lai pasargātu sevi no hakeriem, pārtrauciet izmantot tālruņu daudzfaktoru autentifikācijas (MFA) kodus, kas tiek nosūtīti, izmantojot SMS un balss zvanus, jaunā analīzē raksta vadošais drošības eksperts.
Tālruņa kodi ir neaizsargāti pret hakeru pārtveršanu, nesenā emuāra ierakstā rakstīja Microsoft identitātes drošības direktors Alekss Vainerts. Uz tekstu balstīti kodi ir labāki par neko, saka novērotāji. Taču lietotājiem tālruņa autentifikācija ir jāaizstāj ar lietotnēm un drošības atslēgām.
"Šie mehānismi ir balstīti uz publiski komutētiem tālruņu tīkliem (PSTN), un es uzskatu, ka tie ir vismazāk drošākie no šodien pieejamajām MFA metodēm," viņš rakstīja.
"Šī atšķirība tikai palielināsies, jo MFA ieviešana palielinās uzbrucēju interesi pārtraukt šīs metodes, un mērķtiecīgi izveidotie autentifikatori paplašina savas drošības un lietojamības priekšrocības. Plānojiet savu pāreju uz spēcīgu autentifikāciju bez paroles tagad - autentifikācijas lietotne nodrošina tūlītēju un attīstāma iespēja."
MFA ir drošības metode, kurā datora lietotājam tiek piešķirta piekļuve vietnei vai lietojumprogrammai tikai pēc tam, kad autentifikācijas mehānismā ir veiksmīgi uzrādīti divi vai vairāki pierādījumi. Šie kodi bieži tiek nosūtīti pa tālruni.
Hakeri izliekas par tevi
Ir veidi, kā hakeri var piekļūt tālruņu kodiem, tomēr novērotāji saka. Dažos gadījumos tālruņu kompānijas ir tikušas pieviltas pārsūtīt tālruņu numurus, lai ļautu hakeriem iegūt kodus.
"Telefoni ir tik nedroši, ka lietotāji bieži saņems krāpnieciskus zvanus no trešās pasaules valstīm, vienlaikus rādot Amerikas reģionālos tālruņu numurus," e-pasta intervijā sacīja Metjū Rodžers, mākoņpakalpojumu sniedzēja Syntax CISO. "Tālruņi ir pakļauti arī SIM maiņas uzbrukumiem, kas var viegli apiet MFA, izmantojot īsziņu."
Nesen populārais BBC radio vadītājs Džeremijs Vaiins cieta uzbrukumā, kura rezultātā tika iekļūts viņa WhatsApp kontā.
"Uzbrukums, kas veiksmīgi apmānīja Vine, sākas ar šķietami nepieprasītas īsziņas saņemšanu, kas satur divu faktoru autentifikācijas kodu uz viņu kontu," sacīja Rejs Volšs, datu privātuma eksperts privātuma pārskatīšanas vietnē ProPrivacy. e-pasta intervija.
Pēc tam upuris saņem tiešu ziņojumu no kontaktpersonas, kas apgalvo, ka viņam nejauši nosūtījis kodu. Visbeidzot, cietušais tiek lūgts pārsūtīt hakeram kodu, kas nodrošina tūlītēju piekļuvi upura kontam.
Problēma var būt arī programmatūra. "Ierīču ievainojamības dēļ MFA varētu noklausīties noplūdīga lietotne vai uzlauzta ierīce, par kuru lietotājs nezina," e-pasta intervijā sacīja Džordžs Frīmens, LexisNexis Risk Solutions valdības grupas risinājumu konsultants.
Vēl neatdodiet savu tālruni
Tomēr uz tekstu balstīta MFA ir labāka par neko, saka eksperti. "MFA ir viens no jaudīgākajiem rīkiem, kas lietotājam ir nepieciešams, lai aizsargātu savus kontus," e-pasta intervijā sacīja Marks Nunihovens, kiberdrošības uzņēmuma Trend Micro mākoņpētniecības viceprezidents.
"Tam ir jābūt iespējotam, kad vien iespējams. Ja varat izvēlēties, izmantojiet viedtālrunī autentifikācijas lietotni, taču galu galā vienkārši pārliecinieties, vai MFA ir iespējota jebkurā formā."
Vienkāršs un lēts veids, kā palielināt drošību, ir tālrunī izmantot autentifikācijas lietotni, e-pasta intervijā sacīja IT uzņēmuma Expert Computer Solutions līdzdibinātājs un izpilddirektors Pīters Roberts.
“Ja jums ir budžets un uzskatāt, ka drošība ir kritiska, es iesaku jūs novērtēt uz aparatūru balstītas MFA atslēgas," viņš piebilda. "Uzņēmumiem un privātpersonām, kuras rūpējas par drošību, es ieteiktu arī tumšo tīmekli. uzraudzības pakalpojums, lai jūs informētu, vai jūsu personas informācija ir pieejama un pārdošanai tumšajā tīmeklī."
Iespējamās misijas stila pieejai jaunais standarts FIDO2 ar Webauthn izmanto biometrisko autentifikāciju, saka Frīmens. "Lietotājs izveido savienojumu ar finanšu vietni, ievada lietotājvārdu, vietne sazinās ar [lietotāja] mobilo ierīci, droša lietotne [tālrunī] pēc tam pieprasa lietotājam [viņa] sejas ID vai pirksta nospiedumu. Ja tas izdodas, tā autentificējas. tīmekļa sesija," viņš teica.
Tā kā ir tik daudz iespējamo apdraudējumu, iespējams, ir laiks sākt meklēt drošākus veidus, kā pieteikties vietnēs, kurās tiek glabāta personas informācija. Hakeri var slēpties tīmeklī, tikai gaida, lai pārtvertu jūsu paroli.
