Folje kryesore
- Hakerët mund të vjedhin kodet e vërtetimit me shumë faktorë (MFA) të bazuara në telefon, thonë ekspertët.
- Kompanitë telefonike janë mashtruar për të transferuar numra telefoni për të lejuar kriminelët të marrin kodet.
- Një mënyrë e thjeshtë dhe me kosto të ulët për të rritur sigurinë është përdorimi i aplikacionit të vërtetuesit në telefonin tuaj.
Për të qëndruar të sigurt nga hakerët, ndaloni përdorimin e kodeve të vërtetimit me shumë faktorë (MFA) të bazuara në telefon të dërguara përmes SMS dhe thirrjeve zanore, shkruan një ekspert i lartë i sigurisë në një analizë të re.
Kodet e telefonit janë të cenueshëm ndaj përgjimit nga hakerat, shkroi Alex Weinert, drejtor i sigurisë së identitetit në Microsoft, në një postim të fundit në blog. Kodet e bazuara në tekst janë më mirë se asgjë, thonë vëzhguesit. Por përdoruesit duhet të zëvendësojnë vërtetimin e bazuar në telefon me aplikacione dhe çelësa sigurie.
"Këto mekanizma bazohen në rrjetet telefonike të ndërruara publikisht (PSTN) dhe besoj se janë më pak të sigurta nga metodat e MPJ-së të disponueshme sot," shkroi ai.
"Ky hendek do të zgjerohet vetëm pasi miratimi i MPJ-së rrit interesin e sulmuesve për të thyer këto metoda dhe autentifikuesit e krijuar me qëllim zgjerojnë avantazhet e tyre të sigurisë dhe të përdorshmërisë. Planifikoni lëvizjen tuaj drejt vërtetimit të fortë pa fjalëkalim tani - aplikacioni i vërtetuesit ofron një të menjëhershme dhe opsion në zhvillim."
MFA është një metodë sigurie në të cilën një përdoruesi kompjuteri i jepet akses në një faqe interneti ose aplikacion vetëm pasi të ketë paraqitur me sukses dy ose më shumë prova në një mekanizëm vërtetimi. Këto kode shpesh dërgohen me telefon.
Hakerët pretendojnë se jeni ju
Ka mënyra se si hakerat mund të kenë akses në kodet telefonike, megjithatë, thonë vëzhguesit. Në disa raste, kompanitë telefonike janë mashtruar për të transferuar numra telefoni për të lejuar hakerët të marrin kodet.
"Telefonat janë aq të pasigurt saqë përdoruesit shpesh do të marrin telefonata mashtruese që u drejtohen atyre nga vendet e botës së tretë ndërsa tregojnë numra telefoni rajonalë amerikanë," tha Matthew Rogers, CISO i ofruesit të cloud Syntax, në një intervistë me email. "Telefonat janë gjithashtu subjekt i sulmeve të shkëmbimit të kartave SIM, të cilat lehtë mund të anashkalojnë MPJ-në përmes mesazheve me tekst."
Kohët e fundit, prezantuesi i njohur i radios BBC Jeremy Vine u viktimua me një sulm që çoi në depërtimin e llogarisë së tij WhatsApp.
"Sulmi që mashtroi me sukses Vine fillon me marrjen e një mesazhi SMS në dukje të pakërkuar që përmban kodin e vërtetimit me dy faktorë në llogarinë e tyre," tha Ray Walsh, ekspert i privatësisë së të dhënave në faqen e shqyrtimit të privatësisë ProPrivacy. një intervistë me email.
"Pas kësaj, viktima merr një mesazh të drejtpërdrejtë nga një kontakt që pretendon se i ka dërguar një kod aksidentalisht. Më në fund, viktimës i kërkohet t'i përcjellë hakerit kodin, i cili i jep akses të menjëhershëm në llogarinë e viktimës"
Softueri mund të jetë gjithashtu një problem. "Për shkak të dobësive të pajisjes, MPJ potencialisht mund të përgjohet nga një aplikacion që rrjedh ose një pajisje e komprometuar për të cilën përdoruesi nuk është në dijeni," tha në një intervistë me email George Freeman, konsulent zgjidhjesh në grupin qeveritar të LexisNexis Risk Solutions.
Mos e hiqni akoma telefonin tuaj
Megjithatë, MPJ e bazuar në tekst është më mirë se asgjë, thonë ekspertët. "MFA është një nga mjetet më të fuqishme që një përdorues ka për të mbrojtur llogaritë e tyre," tha Mark Nunnikhoven, nënkryetar i kërkimit në cloud në kompaninë e sigurisë kibernetike Trend Micro, në një intervistë me email.
"Duhet të aktivizohet kurdoherë që është e mundur. Nëse keni zgjedhje, përdorni një aplikacion vërtetimi në smartfonin tuaj - por në fund, thjesht sigurohuni që MFA të jetë aktivizuar në çdo formë."
Një mënyrë e thjeshtë dhe me kosto të ulët për të rritur sigurinë është të përdorni aplikacionin e vërtetimit në telefonin tuaj, tha në një intervistë me email Peter Robert, bashkëthemelues dhe CEO i kompanisë IT Expert Computer Solutions.
"Nëse keni buxhet dhe e konsideroni sigurinë kritike, do t'ju inkurajoja të vlerësoni çelësat e MPJ-së të bazuar në harduer," shtoi ai. "Për bizneset dhe individët që shqetësohen për sigurinë, unë do të rekomandoja gjithashtu një ueb të errët shërbimi i monitorimit për t'ju njoftuar nëse informacioni personal për ju është i disponueshëm dhe për shitje në rrjetin e errët."
Për një qasje më të stilit të Mission Impossible, standardi i ri FIDO2 me Webauthn përdor vërtetimin biometrik, thotë Freeman. Përdoruesi lidhet me një sajt financiar, fut një emër përdoruesi, faqja e internetit kontakton pajisjen celulare të përdoruesit, një aplikacion i sigurt në telefon më pas i kërkon përdoruesit ID-në e fytyrës ose gjurmën e gishtit. Kur është i suksesshëm, ai më pas vërtetohet sesioni në ueb”, tha ai.
Me kaq shumë kërcënime të mundshme, mund të jetë koha të filloni të kërkoni mënyra më të sigurta për t'u kyçur në faqet e internetit që ruajnë informacione personale. Hakerët mund të përgjojnë në ueb vetëm duke pritur për të kapur fjalëkalimin tuaj.