Skip to content
Internet & Security

Proč může být telefonické ověřování nezabezpečené

27 de Červen de 2021
GettyImages 1197506471 f8e5aa8564244221a7a48b117bb84cd9

Klíčové jídlo

  • Podle odborníků mohou hackeři ukrást kódy založené na telefonním vícefaktorovém ověřování (MFA).
  • Telefonní společnosti byly podvedeny k přenosu telefonních čísel, aby umožnily zločincům získat kódy.
  • Jednoduchým a levným způsobem, jak zvýšit zabezpečení, je použití aplikace ověřovatele v telefonu.
Abyste byli v bezpečí před hackery, přestaňte používat kódy vícefaktorového ověřování založené na telefonu zasílané prostřednictvím SMS a hlasových hovorů, píše v nové analýze špičkový odborník na bezpečnost. Telefonní kódy jsou zranitelné hackery, napsal v nedávném příspěvku na blogu Alex Weinert, ředitel zabezpečení identity ve společnosti Microsoft. Pozorovatelé tvrdí, že textové kódy jsou lepší než nic. Uživatelé by však měli ověřování na základě telefonu nahradit aplikacemi a bezpečnostními klíči. „Tyto mechanismy jsou založeny na veřejně komutovaných telefonních sítích (PSTN) a domnívám se, že jsou nejméně bezpečné z dnes dostupných metod MFA,“ napsal. „Tato propast se jen prohloubí, protože přijetí MFA zvyšuje zájem útočníků o prolomení těchto metod a účelové ověřovače rozšiřují jejich výhody v oblasti zabezpečení a použitelnosti. Nyní si naplánujte přechod na silné heslo bez hesla – aplikace ověřovatele poskytuje okamžitou a vyvíjející se možnost.“ MFA je metoda zabezpečení, při které je uživateli počítače povolen přístup na web nebo k aplikaci až po úspěšném předložení dvou nebo více důkazů mechanismu ověřování. Tyto kódy jsou často odesílány telefonicky.

Hackeři předstírají, že jste vy

Existují způsoby, jak mohou hackeři získat přístup k telefonním kódům, tvrdí však pozorovatelé. V některých případech byly telefonní společnosti podvedeny k přenosu telefonních čísel, aby hackeři mohli kódy získat. „Telefony jsou tak nejisté, že uživatelé často dostanou podvodné hovory, které jim budou směrovány ze zemí třetího světa, a budou přitom ukazovat americká regionální telefonní čísla,“ uvedl v e-mailovém rozhovoru Matthew Rogers, CISO poskytovatele cloudu. „Telefony také podléhají útokům na výměnu SIM, které mohou snadno obejít MFA prostřednictvím textových zpráv.“ Nedávno byl populární rozhlasový moderátor BBC Jeremy Vine obětí útoku, který vedl k proniknutí do jeho účtu WhatsApp.

„Útok, který Vine úspěšně podvedl, začíná přijetím zdánlivě nevyžádané SMS zprávy, která obsahuje dvoufaktorový autentizační kód k jejich účtu,“ uvedl v e-mailovém rozhovoru Ray Walsh, expert na ochranu osobních údajů na webu ProPrivacy pro kontrolu soukromí. „Následně oběť obdrží přímou zprávu od kontaktu s tvrzením, že jí náhodou zaslala kód. Nakonec je oběť požádána, aby hackerovi předala kód, který jí umožní okamžitý přístup k účtu oběti.“ Problémem může být i software. „Kvůli zranitelnosti zařízení může být MFA potenciálně odposloucháváno děravou aplikací nebo napadeným zařízením, o kterém si uživatel není vědom,“ uvedl v e-mailovém rozhovoru George Freeman, konzultant řešení ve vládní skupině LexisNexis Risk Solutions.

Nevzdávejte se telefonu

Odborníci však tvrdí, že textová MFA je lepší než nic. „MFA je jedním z nejsilnějších nástrojů, které uživatel k ochraně svých účtů má,“ uvedl v e-mailovém rozhovoru Mark Nunnikhoven, viceprezident pro cloudový výzkum v kybernetické společnosti Trend Micro. „Mělo by to být povoleno, kdykoli je to možné. Pokud máte na výběr, použijte ve svém smartphonu ověřovací aplikaci – ale nakonec se ujistěte, že je MFA povoleno v jakékoli formě.“ Jednoduchým a levným způsobem, jak zvýšit zabezpečení, je použití aplikace pro autentizaci ve vašem telefonu, uvedl v e-mailovém rozhovoru Peter Robert, spoluzakladatel a generální ředitel IT společnosti Expert Computer Solutions. „Pokud máte rozpočet a považujete zabezpečení za kritické, doporučil bych vám vyhodnotit hardwarové klíče MFA,“ dodal. „Pro firmy a jednotlivce, kteří se zajímají o bezpečnost, bych také doporučil temnou webovou monitorovací službu, která vám umožní vědět, jestli jsou vaše osobní údaje k dispozici a k ​​prodeji na temném webu. “

Detailní záběr na prst na skeneru otisků prstů.

Pro více Nesplnitelná miseStylový přístup, nový standard FIDO2 s Webauthn využívá biometrické ověřování, říká Freeman. „Uživatel se připojí k finanční stránce, zadá uživatelské jméno, kontakty na web [the] mobilní zařízení uživatele, zapnutá zabezpečená aplikace [the] telefon poté vyzve uživatele k zadání [their] ID obličeje nebo otisk prstu. Když bude úspěšný, pak ověří webovou relaci, „řekl. S tolika možnými hrozbami by mohl být čas začít hledat bezpečnější způsoby přihlášení k webům, které ukládají osobní informace. Hackeři by mohli číhat na webu jen na počkání zachytit vaše heslo.