Verkostoitunutelama

Internet & Security

Miksi puhelimen todennus voi olla epävarmaa

PorMarkus

Jun 1, 2022
GettyImages 1197506471 f8e5aa8564244221a7a48b117bb84cd9

Tärkeimmät oppimispisteet

  • Hakkerit voivat varastaa puhelinpohjaisia ​​monitekijätodennuskoodeja (MFA), asiantuntijat sanovat.
  • Puhelinyhtiöitä on huijattu luovuttamaan puhelinnumeroita, jotta rikolliset voivat saada koodit.
  • Helppo ja edullinen tapa lisätä turvallisuutta on käyttää puhelimesi autentikointisovellusta.
Suojautuaksesi hakkereilta lopeta tekstiviestien ja äänipuhelujen kautta lähetettyjen puhelinpohjaisten monitekijätodennuskoodien (MFA) käyttö, huipputurvallisuusasiantuntija kirjoittaa uudessa analyysissä. Puhelinkoodit ovat alttiina hakkereiden sieppaamiselle, Alex Weinert, Microsoftin identiteettiturvallisuusjohtaja, kirjoitti äskettäisessä blogiviestissä. Tekstipohjaiset koodit ovat parempia kuin ei mitään, tarkkailijat sanovat. Käyttäjien on kuitenkin korvattava puhelimen todennus sovelluksilla ja suojausavaimilla. «Nämä mekanismit perustuvat yleisiin puhelinverkkoihin (PSTN), ja uskon, että ne ovat vähiten turvallisia tällä hetkellä saatavilla olevista MFA-menetelmistä», hän kirjoitti. «Tämä ero vain kasvaa, kun MFA:n käyttöönotto lisää hyökkääjien kiinnostusta murtautua näiden menetelmien läpi, ja tarkoitukseen rakennetut autentikaattorit laajentavat heidän tietoturva- ja käytettävyysetujaan. Suunnittele siirtymisesi salasanattomaan vahvaan todennustilaan nyt – todennussovellus tarjoaa välittömän ja kehittyvän vaihtoehdon.» MFA on suojausmenetelmä, jossa tietokoneen käyttäjä pääsee verkkosivustolle tai sovellukseen vasta toimitettuaan kaksi tai useampia todisteita todennusmekanismiin. Nämä koodit lähetetään usein puhelimitse.

Hakkerit teeskentelevät olevansa sinua

Hakkerit voivat kuitenkin päästä käsiksi puhelinkoodeihin, tarkkailijat sanovat. Joissakin tapauksissa puhelinyhtiöitä on huijattu luovuttamaan puhelinnumeroita, jotta hakkerit voivat saada koodit. «Puhelimet ovat niin epävarmoja, että käyttäjät saavat usein huijauspuheluita kolmannen maailman maista, kun he näyttävät Yhdysvaltain alueellisia puhelinnumeroita», sanoi Matthew Rogers, pilvipalveluntarjoajan Syntaxin CISO sähköpostihaastattelussa. «Puhelimet ovat myös alttiina SIM-vaihtohyökkäyksille, jotka voivat helposti ohittaa MFA:n tekstiviestillä.» Äskettäin suosittu BBC:n radiojuontaja Jeremy Vine joutui hyökkäyksen uhriksi, joka johti hänen WhatsApp-tilinsä vaarantumiseen. «Vinen onnistuneesti huijannut hyökkäys alkaa ilmeisen ei-toivotun tekstiviestin vastaanottamisesta, joka sisältää kaksivaiheisen todennuskoodin heidän tililleen», tietosuoja-arviointisivuston ProPrivacyn tietosuojaasiantuntija Ray Walsh sanoi sähköpostihaastattelussa. «Sen jälkeen uhri saa suoran viestin yhteyshenkilöltä, joka väittää lähettäneensä vahingossa koodin. Lopuksi uhria pyydetään välittämään koodi hakkerille, jolloin hän pääsee suoraan uhrin tilille.» Ohjelmisto voi myös olla ongelma. «Laitteen haavoittuvuuksien vuoksi MFA voi mahdollisesti salakuunnella vuotavaa sovellusta tai vaarantunutta laitetta, josta käyttäjä ei ole tietoinen», sanoi George Freeman, LexisNexis Risk Solutions -hallinnon ryhmän ratkaisukonsultti sähköpostihaastattelussa.

Älä vielä luovuta puhelintasi

Asiantuntijoiden mukaan tekstipohjainen MFA on kuitenkin parempi kuin ei mitään. «MFA on yksi tehokkaimmista työkaluista, joita käyttäjällä on suojata tilinsä», sanoi Mark Nunnikhoven, kyberturvallisuusyrityksen Trend Micron pilvitutkimuksen varatoimitusjohtaja sähköpostihaastattelussa. «Se tulee ottaa käyttöön aina kun mahdollista. Jos sinulla on mahdollisuus valita, käytä älypuhelimesi todennussovellusta, mutta varmista viime kädessä, että MFA on käytössä jossain muodossa.» Helppo ja halpa tapa lisätä turvallisuutta on käyttää puhelimesi autentikointisovellusta, sanoi Peter Robert, IT-yrityksen Expert Computer Solutionsin perustaja ja toimitusjohtaja sähköpostihaastattelussa. «Jos sinulla on budjetti ja uskot turvallisuuden olevan kriittistä, suosittelen laitteistopohjaisten MFA-avainten arvioimista», hän lisäsi. tietää, onko henkilökohtaisia ​​tietojasi saatavilla ja myynnissä pimeässä verkossa.»

Lähikuva sormesta sormenjälkitunnistimella.

Enemmän Mahdoton tehtäväUusi standardi FIDO2 Webauthnilla käyttää biometristä todennusta, Freeman sanoo. «Käyttäjä muodostaa yhteyden taloussivustolle, syöttää käyttäjätunnuksen, sivusto ottaa yhteyttä [the] käyttäjän mobiililaite, turvallinen sovellus [the] puhelin pyytää sitten käyttäjää: [their] kasvotunnus tai sormenjälki. Jos se onnistuu, verkkoistunto varmistetaan», hän sanoi. Koska mahdollisia uhkia on niin paljon, voi olla aika etsiä turvallisempia tapoja kirjautua henkilökohtaisia ​​tietoja tallentaville verkkosivustoille. Hakkerit saattavat väijyä verkossa odottaen sieppaamista salasanasi.

Suosittelemme: Miksi puhelimen tietoja kannattaa tarkkailla korjausten aikana?

Por Markus

Aiheeseen liittyvät merkinnät

Internet & Security

Apple sanoo poistaneensa miljoona epäilyttävää sovellusta viime vuonna

Dic 7, 2022 Markus
Internet & Security

Apple varoittaa käyttäjiä Zero-Day-haavoittuvuudesta

Nov 19, 2022 Markus
Internet & Security

Google pyrkii häiritsemään botnet-kohdistusta Windows-koneissa

Nov 17, 2022 Markus

Olet menettänyt

File Types

Mikä on CHA-tiedosto?

17 de diciembre de 2022 Markus
MS Office

Kuinka käyttää Excelin DATEVALUE-funktiota

16 de diciembre de 2022 Markus
& More Movies Streaming TV

Crunchyroll: mikä se on ja kuinka katsoa animea siinä

16 de diciembre de 2022 Markus
Antivirus

Tarkista Avira Rescue -järjestelmä

16 de diciembre de 2022 Markus