Keeawayt
- Hakkerit voivat varastaa puhelinpohjaisia monitekijätodennuskoodeja (MFA), asiantuntijat sanovat.
- Puhelinyhtiöitä on huijattu siirtämään puhelinnumeroita, jotta rikolliset voivat saada koodit.
- Yksinkertainen ja edullinen tapa lisätä turvallisuutta on käyttää puhelimesi autentikointisovellusta.
Pysyäksesi turvassa hakkereilta, lopeta tekstiviestillä ja äänipuheluilla lähetettyjen puhelinpohjaisten monitekijätodennuskoodien käyttö, huipputietoturvaasiantuntija kirjoittaa uudessa analyysissä.
Puhelinkoodit ovat alttiina hakkereiden sieppaukselle, Alex Weinert, Microsoftin identiteettiturvallisuuden johtaja, kirjoitti äskettäisessä blogiviestissä. Tekstipohjaiset koodit ovat parempia kuin ei mitään, tarkkailijat sanovat. Käyttäjien tulee kuitenkin korvata puhelinpohjainen todennus sovelluksilla ja suojausavaimilla.
"Nämä mekanismit perustuvat julkisiin puhelinverkkoihin (PSTN), ja uskon, että ne ovat vähiten turvallisia nykyään saatavilla olevista MFA-menetelmistä", hän kirjoitti.
"Tämä ero vain kasvaa, kun MFA:n käyttöönotto lisää hyökkääjien kiinnostusta murtaa näitä menetelmiä ja tarkoitukseen rakennetut autentikaattorit laajentavat niiden turvallisuus- ja käytettävyysetuja. Suunnittele siirtymäsi salasanattomaan vahvaan todennustilaan nyt – todennussovellus tarjoaa välittömän ja kehittyvä vaihtoehto."
MFA on suojausmenetelmä, jossa tietokoneen käyttäjä saa pääsyn verkkosivustoon tai sovellukseen vasta sen jälkeen, kun hän on onnistuneesti esittänyt kaksi tai useampia todisteita todennusmekanismille. Nämä koodit lähetetään usein puhelimitse.
Hakkerit teeskentelevät olevansa sinä
Hakkerit voivat kuitenkin saada pääsyn puhelinkoodeihin, tarkkailijoiden mukaan. Joissakin tapauksissa puhelinyhtiöitä on huijattu siirtämään puhelinnumeroita, jotta hakkerit voivat saada koodit.
"Puhelimet ovat niin epävarmoja, että käyttäjät saavat usein huijauspuheluita kolmannen maailman maista samalla, kun he näyttävät amerikkalaisia alueellisia puhelinnumeroita", Matthew Rogers, pilvipalveluntarjoajan Syntaxin CISO, sanoi sähköpostihaastattelussa. "Puhelimet ovat myös alttiina SIM-kortin vaihtohyökkäyksille, jotka voivat helposti ohittaa MFA:n tekstiviestillä."
Äskettäin suosittu BBC:n radiojuontaja Jeremy Vine joutui hyökkäyksen uhriksi, joka johti hänen WhatsApp-tililleen tunkeutumiseen.
"Vinen onnistuneesti huijannut hyökkäys alkaa näennäisesti pyytämättömän tekstiviestin vastaanottamisesta, joka sisältää kaksivaiheisen todennuskoodin heidän tililleen", Ray Walsh, tietosuoja-arviointisivuston ProPrivacyn tietosuojaasiantuntija sanoi. sähköpostihaastattelu.
"Tämän jälkeen uhri saa suoran viestin yhteyshenkilöltä, joka väittää lähettäneensä hänelle koodin vahingossa. Lopuksi uhria pyydetään välittämään hakkerille koodi, joka antaa hänelle välittömän pääsyn uhrin tilille"
Ohjelmisto voi myös olla ongelma. "Laitteiden haavoittuvuuksien vuoksi MFA voi mahdollisesti salakuunnella vuotavaa sovellusta tai vaarantunutta laitetta, josta käyttäjä ei ole tietoinen", George Freeman, LexisNexis Risk Solutionsin hallitusryhmän ratkaisukonsultti, sanoi sähköpostihaastattelussa.
Älä luovuta puhelintasi vielä
Tekstipohjainen MFA on kuitenkin parempi kuin ei mitään, asiantuntijat sanovat. "MFA on yksi tehokkaimmista työkaluista, joita käyttäjällä on suojata tilejään", Mark Nunnikhoven, kyberturvallisuusyhtiö Trend Micron pilvitutkimuksen varatoimitusjohtaja, sanoi sähköpostihaastattelussa.
"Se tulee ottaa käyttöön aina kun mahdollista. Jos sinulla on mahdollisuus valita, käytä älypuhelimesi todennussovellusta - mutta varmista loppujen lopuksi, että MFA on käytössä missä tahansa muodossa."
Yksinkertainen ja edullinen tapa lisätä turvallisuutta on käyttää puhelimesi autentikointisovellusta, Peter Robert, IT-yrityksen Expert Computer Solutionsin perustaja ja toimitusjohtaja, sanoi sähköpostihaastattelussa.
"Jos sinulla on budjetti ja pidät tietoturvaa tärkeänä, kehotan sinua arvioimaan laitteistopohjaisia MFA-avaimia", hän lisäsi. "Yrityksille ja yksityishenkilöille, jotka ovat huolissaan turvallisuudesta, suosittelen myös pimeää verkkoa seurantapalvelu, joka ilmoittaa, ovatko sinua koskevat henkilökohtaiset tiedot saatavilla ja myynnissä pimeässä verkossa."
Mission Impossible -tyylisen lähestymistavan saamiseksi uusi standardi FIDO2 Webauthnilla käyttää biometristä todennusta, Freeman sanoo. "Käyttäjä muodostaa yhteyden taloussivustolle, syöttää käyttäjätunnuksen, verkkosivusto ottaa yhteyttä [käyttäjän] mobiililaitteeseen, [puhelimen] suojattu sovellus pyytää sitten käyttäjältä [heidän] kasvotunnuksensa tai sormenjäljensä. Kun se onnistuu, se sitten todentaa web-istunnossa", hän sanoi.
Koska mahdollisia uhkia on niin paljon, saattaa olla aika alkaa etsiä turvallisempia tapoja kirjautua henkilökohtaisia tietoja tallentaville verkkosivustoille. Hakkerit saattavat väijyä verkossa vain odottamassa salasanasi sieppaamista.