Ključni podaci za van
- Hakeri mogu ukrasti kodove za višestruku provjeru autentičnosti (MFA) temeljene na telefonu, kažu stručnjaci.
- Telefonske kompanije su prevarene da prenesu telefonske brojeve kako bi kriminalcima omogućile da dođu do kodova.
- Jednostavan, jeftin način za povećanje sigurnosti je upotreba aplikacije za autentifikaciju na vašem telefonu.
Kako biste bili sigurni od hakera, prestanite koristiti telefonske kodove za multifaktorsku provjeru autentičnosti (MFA) koji se šalju SMS-om i glasovnim pozivima, piše vrhunski stručnjak za sigurnost u novoj analizi.
Telefonski kodovi su osjetljivi na presretanje od strane hakera, napisao je Alex Weinert, direktor sigurnosti identiteta u Microsoftu, u nedavnom postu na blogu. Tekstualni kodovi bolji su nego ništa, kažu promatrači. Ali korisnici bi trebali zamijeniti autentifikaciju temeljenu na telefonu aplikacijama i sigurnosnim ključevima.
"Ovi se mehanizmi temelje na javno komutiranim telefonskim mrežama (PSTN) i vjerujem da su najmanje sigurni od danas dostupnih MFA metoda, " napisao je.
"Taj će se jaz samo povećati kako usvajanje MFA-a bude povećavalo zanimanje napadača za razbijanje ovih metoda, a namjenski izrađeni autentifikatori proširuju svoje sigurnosne i upotrebljive prednosti. Planirajte svoj prelazak na snažnu autentifikaciju bez lozinke sada - aplikacija autentifikatora pruža trenutačnu i opcija koja se razvija."
MFA je sigurnosna metoda u kojoj se korisniku računala dopušta pristup web stranici ili aplikaciji tek nakon uspješnog predstavljanja dva ili više dokaza mehanizmu za autentifikaciju. Ovi se kodovi često šalju telefonom.
Hakeri se pretvaraju da su vi
Međutim, postoje načini na koje hakeri mogu doći do telefonskih kodova, kažu promatrači. U nekim su slučajevima telefonske tvrtke prevarene da prenesu telefonske brojeve kako bi hakeri mogli doći do kodova.
"Telefoni su toliko nesigurni da će korisnici često primati prijevarne pozive iz zemalja trećeg svijeta dok prikazuju američke regionalne telefonske brojeve", rekao je Matthew Rogers, CISO pružatelja usluga oblaka Syntax, u intervjuu e-poštom. "Telefoni su također podložni napadima zamjenom SIM kartice, koji mogu lako zaobići MFA putem tekstualne poruke."
Nedavno je popularni radijski voditelj BBC-ja Jeremy Vine bio žrtva napada koji je doveo do provale u njegov WhatsApp račun.
"Napad koji je uspješno prevario Vine počinje primanjem naizgled neželjene SMS poruke koja sadrži kod za autentifikaciju s dva faktora na njihov račun," Ray Walsh, stručnjak za privatnost podataka na stranici za pregled privatnosti ProPrivacy, rekao je u intervju e-poštom.
"Nakon toga, žrtva prima izravnu poruku od kontakta koji tvrdi da im je slučajno poslao kod. Na kraju, od žrtve se traži da hakeru proslijedi kod, što joj daje trenutni pristup žrtvinom računu."
Softver također može biti problem. "Zbog ranjivosti uređaja, MFA bi potencijalno mogla prisluškivati aplikacija koja propušta curenje ili kompromitirani uređaj za koji korisnik nije svjestan", rekao je George Freeman, konzultant za rješenja u vladinoj skupini LexisNexis Risk Solutions, u intervjuu e-poštom.
Nemojte još dati svoj telefon
Međutim, tekstualni MFA bolji je nego ništa, kažu stručnjaci. "MFA je jedan od najmoćnijih alata koje korisnik ima za zaštitu svojih računa", rekao je Mark Nunnikhoven, potpredsjednik istraživanja oblaka u tvrtki za kibernetičku sigurnost Trend Micro, u intervjuu e-poštom.
"Trebalo bi biti omogućeno kad god je to moguće. Ako imate izbora, upotrijebite aplikaciju za autentifikaciju na svom pametnom telefonu - ali na kraju samo provjerite je li MFA omogućen u bilo kojem obliku."
Jednostavan, jeftin način za povećanje sigurnosti je upotreba aplikacije za autentifikaciju na vašem telefonu, rekao je Peter Robert, suosnivač i izvršni direktor IT tvrtke Expert Computer Solutions, u intervjuu e-poštom.
"Ako imate proračun i sigurnost smatrate kritičnom, potaknuo bih vas da procijenite MFA ključeve temeljene na hardveru," dodao je. "Poduzećima i pojedincima koji su zabrinuti za sigurnost, također bih preporučio mračni web uslugu nadzora kako bismo vas obavijestili jesu li osobni podaci o vama dostupni i za prodaju na mračnom webu."
Za pristup više u stilu Nemoguće misije, novi standard FIDO2 s Webauthnom koristi biometrijsku autentifikaciju, kaže Freeman. "Korisnik se spaja na financijsku stranicu, unosi korisničko ime, web stranica kontaktira [korisnikov] mobilni uređaj, sigurna aplikacija na [telefonu] zatim od korisnika traži [njihov] identifikacijski broj lica ili otisak prsta. Kada je uspješna, onda se autentificira web sesija, " rekao je.
Uz toliko mogućih prijetnji, možda je vrijeme da počnete tražiti sigurnije načine za prijavu na web stranice koje pohranjuju osobne podatke. Hakeri bi mogli vrebati na webu samo čekajući da presretnu vašu lozinku.
