Skip to content

Чому автентифікація на основі телефону може бути небезпечною

18 de Квітень de 2021

Ключові винос

  • Експерти заявляють, що хакери можуть викрасти коди багатофакторної автентифікації (MFA) на основі телефону.
  • Телефонні компанії були обмануті передати телефонні номери, щоб злочинці могли отримати коди.
  • Простий, недорогий спосіб підвищити рівень безпеки – це використання програми автентифікації на телефоні.

Фотограф, Басак Гурбуз Дерман / Getty Images

Щоб захиститись від хакерів, припиніть використовувати коди багатофакторної автентифікації (MFA) на основі телефону, що надсилаються за допомогою SMS та голосових дзвінків, пише новий експерт з питань безпеки. Телефонні коди вразливі для перехоплення хакерами, пише Алекс Вайнерт, директор служби безпеки особистості в Microsoft, у своєму недавньому дописі в блозі. Текстові коди кращі за нічого, вважають спостерігачі. Але користувачам слід замінити автентифікацію на основі телефону додатками та ключами безпеки. “Ці механізми базуються на телефонних мережах, що комутуються з загальнодоступною мережею (PSTN), і я вважаю, що вони найменш захищені з методів МЗС, доступних сьогодні”, – написав він. “Цей розрив буде лише збільшуватися, оскільки прийняття МЗС підвищує інтерес зловмисників до порушення цих методів, а спеціально розроблені автентифікатори розширюють свої переваги щодо безпеки та зручності використання. Сплануйте свій перехід до надійної надійної автентифікації вже зараз – програма автентифікації надає миттєвий та постійно розвивається варіант”. MFA – це метод безпеки, при якому користувачеві комп’ютера надається доступ до веб-сайту або програми лише після успішного подання двох або більше доказів механізму автентифікації. Ці коди часто надсилаються по телефону.

Хакери прикидаються, що ти ти

Однак, за словами спостерігачів, хакери можуть отримати доступ до телефонних кодів. У деяких випадках телефонні компанії були обмануті передати телефонні номери, щоб хакери могли отримати коди. “Телефони настільки небезпечні, що користувачі часто отримуватимуть їм шахрайські дзвінки з країн третього світу, показуючи американські регіональні телефонні номери”, – сказав Метью Роджерс, CISO хмарного провайдера Syntax, в електронному інтерв’ю. “Телефони також піддаються атакам заміни SIM-карт, які можуть легко обійти МЗС за допомогою текстового повідомлення”. Нещодавно популярний радіоведучий BBC Джеремі Вайн став жертвою нападу, який призвів до проникнення в його акаунт WhatsApp.

“Атака, яка успішно обдурила Vine, починається з отримання, здавалося б, небажаного SMS-повідомлення, яке містить двофакторний код автентифікації на їх акаунт”, – сказав Рей Уолш, експерт з питань конфіденційності даних на сайті огляду конфіденційності ProPrivacy, в електронному інтерв’ю. “Після цього жертва отримує пряме повідомлення від контакту, який стверджує, що надіслав їм код випадково. Нарешті, жертву просять переслати хакеру код, який надає їм миттєвий доступ до облікового запису жертви”. Програмне забезпечення також може бути проблемою. “Через вразливості пристроїв МЗС потенційно може бути прослуховано через негерметичний додаток або компрометований пристрій, про який користувач не знає”, – заявив Джордж Фріман, консультант з питань урядової групи LexisNexis Risk Solutions в електронному інтерв’ю.

Поки не відмовляйтесь від телефону

Однак текстові МЗС краще, ніж ніщо, вважають експерти. “МЗС є одним з найпотужніших інструментів, які користувач повинен захищати свої облікові записи”, – сказав Марк Нунникховен, віце-президент з хмарних досліджень компанії з кібербезпеки Trend Micro, в електронному інтерв’ю. “Його слід увімкнути, коли це можливо. Якщо у вас є вибір, скористайтеся програмою автентифікації на своєму смартфоні, але врешті-решт просто переконайтеся, що MFA увімкнено в будь-якій формі.” Простим, недорогим способом підвищення безпеки є використання програми автентифікації на вашому телефоні, – заявив в інтерв’ю електронною поштою Пітер Роберт, співзасновник та генеральний директор ІТ-компанії Expert Computer Solutions. “Якщо у вас є бюджет і ви вважаєте безпеку критично важливою, я б закликав вас оцінити апаратні ключі MFA”, – додав він. “Для підприємств та приватних осіб, які стурбовані безпекою, я також рекомендую службу моніторингу темних веб-сайтів, яка дозволить вам знати, чи є особиста інформація про вас доступною та продається у темній мережі “.

Крупним планом пальця на сканер відбитків пальців.

чесний майк / Getty Images

Для більшого Місія неможливаУ стилістичному підході новий стандарт FIDO2 з Webauthn використовує біометричну аутентифікацію, говорить Фріман. “Користувач підключається до фінансового сайту, вводить ім’я користувача, веб-сайт контактує [the] мобільний пристрій користувача, безпечний додаток увімкнено [the] потім телефон запитує у користувача [their] посвідчення особи або відбиток пальця. Після успішного завершення автентифікації веб-сеансу “, – сказав він. З такою кількістю можливих загроз, можливо, пора почати шукати більш безпечні способи входу на веб-сайти, що зберігають особисту інформацію. Хакери можуть ховатися в Інтернеті, просто чекаючи щоб перехопити ваш пароль.