Mga Key Takeaway
- Maaaring nakawin ng mga hacker ang mga phone-based na multi-factor authentication (MFA) code, sabi ng mga eksperto.
- Nalinlang ang mga kumpanya ng telepono sa paglilipat ng mga numero ng telepono upang payagan ang mga kriminal na makuha ang mga code.
- Ang isang simple at murang paraan upang mapataas ang seguridad ay ang paggamit ng authenticator app sa iyong telepono.
Para manatiling ligtas mula sa mga hacker, ihinto ang paggamit ng mga phone-based na multi-factor authentication (MFA) code na ipinadala sa pamamagitan ng SMS at voice call, sumulat ang isang nangungunang eksperto sa seguridad sa isang bagong pagsusuri.
Ang mga code ng telepono ay mahina sa pagharang ng mga hacker, isinulat ni Alex Weinert, direktor ng seguridad ng pagkakakilanlan sa Microsoft, sa isang kamakailang post sa blog. Ang mga text-based na code ay mas mahusay kaysa wala, sabi ng mga tagamasid. Ngunit dapat palitan ng mga user ang phone-based authentication ng mga app at security key.
"Ang mga mekanismong ito ay nakabatay sa publicly switched telephone networks (PSTN), at naniniwala ako na sila ang hindi gaanong secure sa mga paraan ng MFA na available ngayon, " isinulat niya.
"Lalaki lang ang agwat na iyon habang pinapataas ng pagpapatibay ng MFA ang interes ng mga umaatake sa pagsira sa mga pamamaraang ito at pinapalawak ng mga authenticator na may layunin ang kanilang seguridad at kakayahang magamit. Planuhin ang iyong paglipat sa walang password na malakas na auth ngayon-ang authenticator app ay nagbibigay ng agarang at nagbabagong opsyon."
Ang MFA ay isang paraan ng seguridad kung saan ang isang user ng computer ay binibigyan ng access sa isang website o application pagkatapos lamang ng matagumpay na pagpapakita ng dalawa o higit pang mga ebidensya sa isang mekanismo ng pagpapatunay. Ang mga code na ito ay madalas na ipinapadala sa pamamagitan ng telepono.
Hackers Pretend to Be You
May mga paraan para makakuha ng access ang mga hacker sa mga code ng telepono, gayunpaman, sabi ng mga tagamasid. Sa ilang pagkakataon, nalinlang ang mga kumpanya ng telepono sa paglilipat ng mga numero ng telepono upang payagan ang mga hacker na makuha ang mga code.
"Napaka-insecure ng mga telepono kung kaya't ang mga user ay madalas na nakakatanggap ng mga scam na tawag na iruruta sa kanila mula sa mga third-world na bansa habang nagpapakita ng mga American regional phone number," sabi ni Matthew Rogers, CISO ng cloud provider Syntax, sa isang panayam sa email. "Ang mga telepono ay napapailalim din sa mga pag-atake ng pagpapalit ng SIM, na madaling ma-bypass ang MFA sa pamamagitan ng text message."
Kamakailan, ang sikat na BBC radio host na si Jeremy Vine ay nabiktima ng pag-atake na humantong sa pagpasok sa kanyang WhatsApp account.
"Ang pag-atake na matagumpay na nanlinlang kay Vine ay nagsisimula sa pagtanggap ng tila hindi hinihinging mensaheng SMS na naglalaman ng two-factor authentication code sa kanilang account," sabi ni Ray Walsh, data privacy expert sa privacy review site na ProPrivacy, sa isang panayam sa email.
"Kasunod nito, ang biktima ay nakatanggap ng direktang mensahe mula sa isang contact na nagsasabing nagpadala siya ng code nang hindi sinasadya. Sa wakas, hinihiling sa biktima na ipasa sa hacker ang code, na nagbibigay sa kanila ng agarang access sa account ng biktima."
Software ay maaari ding maging problema. "Dahil sa mga kahinaan ng device, ang MFA ay posibleng ma-eavesdrop ng isang leaky na app o isang nakompromisong device na hindi alam ng user," sabi ni George Freeman, consultant ng mga solusyon sa grupo ng gobyerno ng LexisNexis Risk Solutions, sa isang panayam sa email.
Huwag Pa Ibigay ang Iyong Telepono
Gayunpaman, ang text-based na MFA ay mas mahusay kaysa wala, sabi ng mga eksperto. "Ang MFA ay isa sa pinakamakapangyarihang tool na mayroon ang user para protektahan ang kanilang mga account," sabi ni Mark Nunnikhoven, vice president ng cloud research sa cybersecurity company na Trend Micro, sa isang email interview.
"Dapat itong i-enable hangga't maaari. Kung mayroon kang pagpipilian, gumamit ng authentication app sa iyong smartphone-ngunit sa huli, tiyaking naka-enable ang MFA sa anumang anyo."
Ang isang simple at murang paraan upang mapataas ang seguridad ay ang paggamit ng authenticator app sa iyong telepono, sabi ni Peter Robert, co-founder at CEO ng IT company na Expert Computer Solutions, sa isang panayam sa email.
“Kung mayroon kang badyet at isinasaalang-alang ang seguridad na kritikal, hinihikayat kitang suriin ang mga hardware-based na MFA key, " dagdag niya. "Para sa mga negosyo at indibidwal na nag-aalala tungkol sa seguridad, magrerekomenda din ako ng dark web serbisyo sa pagsubaybay upang ipaalam sa iyo kung available ang personal na impormasyon tungkol sa iyo at ibinebenta sa dark web."
Para sa higit pang Mission Impossible-style na diskarte, ang bagong standard na FIDO2 na may Webauthn ay gumagamit ng biometric authentication, sabi ni Freeman. "Kumokonekta ang user sa isang financial site, nagpasok ng username, nakikipag-ugnayan ang website sa mobile device [ng] user, isang secure na app sa [ang] telepono pagkatapos ay i-prompt ang user para sa [kanilang] facial ID o fingerprint. Kapag matagumpay, ito ay magpapatotoo. ang web session," sabi niya.
Sa napakaraming posibleng pagbabanta, maaaring oras na para magsimulang maghanap ng mga mas secure na paraan para mag-log on sa mga website na nag-iimbak ng personal na impormasyon. Maaaring nagtatago ang mga hacker sa web na naghihintay lamang na harangin ang iyong password.