Ключови изводи
- Хакерите могат да откраднат телефонни кодове за многофакторно удостоверяване (MFA), казват експерти.
- Телефонните компании са били подмамени да прехвърлят телефонни номера, за да позволят на престъпниците да получат кодовете.
- Прост и евтин начин за повишаване на сигурността е да използвате приложението за удостоверяване на телефона си.
За да сте в безопасност от хакери, спрете да използвате базирани на телефона многофакторни кодове за удостоверяване (MFA), изпращани чрез SMS и гласови повиквания, пише топ експерт по сигурността в нов анализ.
Телефонните кодове са уязвими за прихващане от хакери, написа в скорошна публикация в блог Алекс Уайнърт, директор по сигурността на самоличността в Microsoft. Текстовите кодове са по-добри от нищо, казват наблюдатели. Но потребителите трябва да заменят базираното на телефона удостоверяване с приложения и ключове за сигурност.
„Тези механизми са базирани на обществени комутируеми телефонни мрежи (PSTN) и вярвам, че те са най-малко сигурният от наличните днес методи на MFA“, написа той.
"Тази празнина само ще се разшири, тъй като приемането на MFA увеличава интереса на атакуващите към разбиването на тези методи и специално изградените удостоверители разширяват своите предимства в сигурността и използваемостта. Планирайте преминаването си към силно удостоверяване без парола сега - приложението за удостоверяване предоставя незабавно и развиваща се опция."
MFA е метод за сигурност, при който компютърен потребител получава достъп до уебсайт или приложение само след успешно представяне на две или повече доказателства на механизъм за удостоверяване. Тези кодове често се изпращат по телефона.
Хакери се преструват на вас
Въпреки това, има начини хакерите да получат достъп до телефонните кодове, казват наблюдатели. В някои случаи телефонните компании са били измамени да прехвърлят телефонни номера, за да позволят на хакерите да получат кодовете.
"Телефоните са толкова несигурни, че потребителите често ще получават измамни обаждания към тях от страни от третия свят, докато показват американски регионални телефонни номера", каза Матю Роджърс, CISO на облачния доставчик Syntax, в интервю по имейл. „Телефоните също са обект на атаки за размяна на SIM карти, които могат лесно да заобиколят MFA чрез текстово съобщение.“
Наскоро популярният радиоводещ на BBC Джеръми Вайн беше жертва на атака, която доведе до проникване в акаунта му в WhatsApp.
"Атаката, която успешно подмами Vine, започва с получаването на привидно непоискано SMS съобщение, което съдържа двуфакторния код за удостоверяване на техния акаунт," Рей Уолш, експерт по поверителност на данните в сайта за преглед на поверителността ProPrivacy, каза в интервю по имейл.
"След това жертвата получава директно съобщение от контакт, който твърди, че им е изпратил код случайно. Накрая жертвата е помолена да препрати кода на хакера, което им дава незабавен достъп до акаунта на жертвата."
Софтуерът също може да бъде проблем. „Поради уязвимости на устройството, MFA може потенциално да бъде подслушван от изтекло приложение или компрометирано устройство, за което потребителят не знае“, каза Джордж Фрийман, консултант по решения в правителствената група на LexisNexis Risk Solutions, в интервю по имейл.
Не се отказвайте още от телефона си
Въпреки това, базираната на текст MFA е по-добра от нищо, казват експерти. „MFA е един от най-мощните инструменти, с които потребителят разполага, за да защити своите акаунти“, каза в интервю по имейл Марк Нуникховен, вицепрезидент на облачните изследвания в компанията за киберсигурност Trend Micro.
"Трябва да се активира винаги, когато е възможно. Ако имате избор, използвайте приложение за удостоверяване на вашия смартфон, но в крайна сметка просто се уверете, че MFA е активиран във всякаква форма."
Прост, евтин начин за повишаване на сигурността е да използвате приложението за удостоверяване на телефона си, каза Питър Робърт, съосновател и главен изпълнителен директор на ИТ компанията Expert Computer Solutions, в интервю по имейл.
„Ако разполагате с бюджета и смятате, че сигурността е критична, бих ви насърчил да оцените базирани на хардуер MFA ключове“, добави той. „За фирми и физически лица, които са загрижени за сигурността, бих препоръчал и тъмна мрежа услуга за наблюдение, за да ви уведоми дали личната информация за вас е налична и се продава в тъмната мрежа."
За подход, по-скоро в стила на мисията невъзможна, новият стандарт FIDO2 с Webauthn използва биометрично удостоверяване, казва Фрийман. „Потребителят се свързва с финансов сайт, въвежда потребителско име, уебсайтът се свързва с мобилното устройство на [потребителя], защитено приложение на [телефона] след това подканва потребителя за [техния] лицев идентификатор или пръстов отпечатък. Когато е успешен, той след това удостоверява уеб сесията", каза той.
С толкова много възможни заплахи може би е време да започнете да търсите по-сигурни начини за влизане в уебсайтове, които съхраняват лична информация. Хакери може да дебнат в мрежата и просто да чакат да прихванат паролата ви.