מזונות חשובים
- האקרים יכולים לגנוב קודי אימות רב-גורמי (MFA) מבוססי טלפון, אומרים מומחים.
- חברות טלפון הוטעו להעביר מספרי טלפון כדי לאפשר לפושעים לקבל את הקודים.
- דרך פשוטה ובעלות נמוכה להגביר את האבטחה היא להשתמש באפליקציית המאמת בטלפון שלך.
כדי להישאר בטוח מפני האקרים, הפסק להשתמש בקודי אימות רב-גורמי (MFA) מבוססי טלפון הנשלחים באמצעות SMS ושיחות קוליות, כותב מומחה אבטחה מוביל בניתוח חדש.
קודי טלפון פגיעים ליירוט על ידי האקרים, כתב אלכס ויינרט, מנהל אבטחת זהות במיקרוסופט, בפוסט שפורסם לאחרונה בבלוג. קודים מבוססי טקסט עדיפים מכלום, אומרים צופים. אבל המשתמשים צריכים להחליף אימות מבוסס טלפון באפליקציות ומפתחות אבטחה.
"המנגנונים האלה מבוססים על רשתות טלפון עם מיתוג ציבורי (PSTN), ואני מאמין שהם הכי פחות מאובטחים מבין שיטות ה-MFA הקיימות כיום", הוא כתב.
"הפער הזה רק יתרחב ככל שאימוץ MFA יגדיל את העניין של התוקפים בשבירת שיטות אלה ומאמתים מותאמים להרחיב את יתרונות האבטחה והשימושיות שלהם. תכנן את המעבר שלך לאימות חזקה ללא סיסמה כעת - אפליקציית המאמת מספקת מיד אפשרות מתפתחת."
MFA היא שיטת אבטחה שבה ניתנת למשתמש מחשב גישה לאתר או לאפליקציה רק לאחר שהציג בהצלחה שתי ראיות או יותר למנגנון אימות. קודים אלה נשלחים לעתים קרובות בטלפון.
האקרים מעמידים פנים שהם אתם
ישנן דרכים שבהן האקרים יכולים לקבל גישה לקודי טלפון, עם זאת, אומרים משקיפים. במקרים מסוימים, חברות טלפון הונו כדי להעביר מספרי טלפון כדי לאפשר להאקרים לקבל את הקודים.
"הטלפונים כל כך לא מאובטחים שלעתים קרובות משתמשים יקבלו שיחות הונאה מנותבות אליהם ממדינות עולם שלישי תוך הצגת מספרי טלפון אזוריים אמריקאים", אמר מתיו רוג'רס, CISO של ספקית הענן Syntax, בראיון באימייל. "טלפונים נתונים גם להתקפות החלפת SIM, שיכולות לעקוף בקלות את MFA באמצעות הודעת טקסט."
לאחרונה, מנחה הרדיו הפופולרי של ה-BBC, ג'רמי ויין, נפל קורבן להתקפה שהובילה לחדירת חשבון ה-WhatsApp שלו.
"המתקפה שהערימה בהצלחה את Vine מתחילה בקבלת הודעת SMS, לכאורה, לא רצויה המכילה את קוד האימות הדו-גורמי לחשבון שלהם", אמר ריי וולש, מומחה לפרטיות נתונים באתר סקירת הפרטיות ProPrivacy, ב- ראיון במייל.
"בעקבות זה, הקורבן מקבל הודעה ישירה מאיש קשר שטוען ששלח לו קוד בטעות. לבסוף, הקורבן מתבקש להעביר להאקר את הקוד, מה שנותן לו גישה מיידית לחשבון של הקורבן."
תוכנה יכולה להיות גם בעיה. "בשל נקודות תורפה במכשירים, ה-MFA עלול להיות מצותת על ידי אפליקציה דולפת או מכשיר שנפגע שהמשתמש אינו מודע אליו", אמר ג'ורג' פרימן, יועץ פתרונות בקבוצה הממשלתית של LexisNexis Risk Solutions, בראיון באימייל.
אל תוותר על הטלפון שלך עדיין
עם זאת, MFA מבוסס טקסט עדיף מכלום, אומרים מומחים. "MFA הוא אחד הכלים החזקים ביותר שיש למשתמש כדי להגן על החשבונות שלו", אמר מארק נוניקהובן, סגן נשיא למחקר ענן בחברת אבטחת הסייבר Trend Micro, בראיון באימייל.
"זה צריך להיות מופעל בכל פעם שאפשר. אם יש לך אפשרות, השתמש באפליקציית אימות בטלפון החכם שלך - אבל בסופו של דבר, רק ודא ש-MFA מופעל בכל צורה."
דרך פשוטה ובעלות נמוכה להגביר את האבטחה היא להשתמש באפליקציית המאמת בטלפון שלך, אמר פיטר רוברט, מייסד שותף ומנכ ל חברת ה-IT Expert Computer Solutions, בראיון באימייל.
"אם יש לך את התקציב ואתה מחשיב את האבטחה כקריטית, אני ממליץ לך להעריך מפתחות MFA מבוססי חומרה", הוא הוסיף. "לעסקים ואנשים פרטיים שמודאגים מאבטחה, הייתי ממליץ גם על רשת אפלה שירות ניטור כדי ליידע אותך אם מידע אישי עליך זמין ולמכירה ברשת האפלה."
לגישה יותר בסגנון Mission Impossible, התקן החדש FIDO2 עם Webauthn משתמש באימות ביומטרי, אומר פרימן. "המשתמש מתחבר לאתר פיננסי, מזין שם משתמש, האתר יוצר קשר עם המכשיר הנייד של המשתמש, אפליקציה מאובטחת בטלפון ולאחר מכן מבקשת מהמשתמש להזין את זיהוי הפנים או טביעת האצבע שלו. כאשר הוא מצליח, הוא מאמת סשן האינטרנט," הוא אמר.
עם כל כך הרבה איומים אפשריים, אולי הגיע הזמן להתחיל לחפש דרכים מאובטחות יותר להתחבר לאתרי אינטרנט המאחסנים מידע אישי. האקרים יכולים להיות אורבים באינטרנט רק מחכים ליירט את הסיסמה שלך.
