Klíčové poznatky
- Hackeři mohou ukrást kódy vícefaktorové autentizace (MFA) založené na telefonu, říkají odborníci.
- Telefonní společnosti byly podvedeny k přenosu telefonních čísel, aby zločinci mohli získat kódy.
- Jednoduchým a levným způsobem, jak zvýšit zabezpečení, je použití aplikace pro ověřování v telefonu.
Abyste zůstali v bezpečí před hackery, přestaňte používat telefonní kódy vícefaktorové autentizace (MFA) zasílané prostřednictvím SMS a hlasových hovorů, píše špičkový bezpečnostní expert v nové analýze.
Telefonní kódy jsou zranitelné vůči zachycení hackery, napsal v nedávném příspěvku na blogu Alex Weinert, ředitel zabezpečení identit ve společnosti Microsoft. Podle pozorovatelů jsou textové kódy lepší než nic. Uživatelé by však měli nahradit ověřování pomocí telefonu aplikacemi a bezpečnostními klíči.
„Tyto mechanismy jsou založeny na veřejně komutovaných telefonních sítích (PSTN) a domnívám se, že jsou ze současných dostupných metod MFA nejméně bezpečné,“napsal.
"Tato mezera se bude jen prohlubovat, protože přijetí MFA zvýší zájem útočníků o prolomení těchto metod a účelové autentizátory rozšíří své výhody v oblasti zabezpečení a použitelnosti. Naplánujte si přechod na silnou autentizaci bez hesla již nyní – aplikace pro ověřování poskytuje okamžitou a vyvíjející se možnost."
MFA je metoda zabezpečení, při které je uživateli počítače udělen přístup k webové stránce nebo aplikaci pouze po úspěšném předložení dvou nebo více důkazů autentizačnímu mechanismu. Tyto kódy jsou často zasílány telefonicky.
Hackeři předstírají, že jste vy
Pozorovatelé však říkají, že existují způsoby, jak mohou hackeři získat přístup k telefonním kódům. V některých případech byly telefonní společnosti oklamány, aby přenesly telefonní čísla, aby umožnili hackerům získat kódy.
"Telefony jsou tak nezabezpečené, že na ně uživatelé často dostávají podvodné hovory ze zemí třetího světa a přitom zobrazují americká regionální telefonní čísla," řekl Matthew Rogers, CISO cloudového poskytovatele Syntax, v e-mailovém rozhovoru. "Telefony jsou také předmětem útoků na výměnu SIM karet, které mohou snadno obejít MFA prostřednictvím textové zprávy."
Nedávno se populární moderátor BBC Jeremy Vine stal obětí útoku, který vedl k proniknutí do jeho účtu WhatsApp.
„Útok, který úspěšně oklamal Vine, začíná přijetím zdánlivě nevyžádané SMS zprávy, která obsahuje dvoufaktorový ověřovací kód, na jejich účet,“řekl Ray Walsh, odborník na ochranu osobních údajů na webu ProPrivacy. e-mailový rozhovor.
"Následně oběť obdrží přímou zprávu od kontaktu, který tvrdí, že jí kód poslal náhodou. Nakonec je oběť požádána, aby kód předala hackerovi, což jí umožní okamžitý přístup k účtu oběti."
Problémem může být i software. "Kvůli zranitelnosti zařízení by MFA mohla být potenciálně odposlouchávána děravou aplikací nebo kompromitovaným zařízením, o kterém uživatel neví," řekl George Freeman, konzultant pro řešení ve vládní skupině LexisNexis Risk Solutions, v e-mailovém rozhovoru.
Ještě se nevzdávejte telefonu
Textová makrofinanční pomoc je však podle odborníků lepší než nic. „MFA je jedním z nejmocnějších nástrojů, které má uživatel k ochraně svých účtů,“řekl v e-mailovém rozhovoru Mark Nunnikhoven, viceprezident cloudového výzkumu společnosti Trend Micro zabývající se kybernetickou bezpečností.
"Mělo by být povoleno, kdykoli je to možné. Máte-li na výběr, použijte ověřovací aplikaci na svém smartphonu – ale nakonec se ujistěte, že je MFA povolena v jakékoli formě."
Jednoduchým a levným způsobem, jak zvýšit zabezpečení, je použít aplikaci pro ověřování v telefonu, řekl v e-mailovém rozhovoru Peter Robert, spoluzakladatel a generální ředitel IT společnosti Expert Computer Solutions.
„Pokud máte rozpočet a považujete zabezpečení za kritické, doporučil bych vám vyhodnotit hardwarové klíče MFA,“dodal. „Pro firmy a jednotlivce, kteří se zajímají o bezpečnost, bych také doporučil tmavý web monitorovací služba, která vám dá vědět, zda jsou vaše osobní údaje dostupné a na prodej na temném webu."
Pro více přístup ve stylu Mission Impossible využívá nový standard FIDO2 s Webauthn biometrické ověřování, říká Freeman. "Uživatel se připojí k finanční stránce, zadá uživatelské jméno, webová stránka kontaktuje [uživatelovo] mobilní zařízení, zabezpečená aplikace v [telefonu] poté uživatele vyzve k zadání [jejich] obličejového ID nebo otisku prstu. Když uspěje, ověří se webovou relaci,“řekl.
S tolika možnými hrozbami je možná čas začít hledat bezpečnější způsoby přihlášení na weby, které uchovávají osobní údaje. Hackeři mohou číhat na webu a čekat na zachycení vašeho hesla.