Sleutel wegneemetes
- Hackers kan foongebaseerde multi-faktor-verifikasie (MFA)-kodes steel, sê kenners.
- Foonmaatskappye is mislei om telefoonnommers oor te dra sodat misdadigers die kodes kan kry.
- 'n Eenvoudige, laekoste-manier om sekuriteit te verhoog, is om die verifikasie-toepassing op jou foon te gebruik.
Om veilig te bly teen kuberkrakers, hou op om foongebaseerde multifaktor-verifikasie (MFA)-kodes wat per SMS en stemoproepe gestuur word, te gebruik, skryf 'n topsekuriteitskenner in 'n nuwe ontleding.
Foonkodes is kwesbaar vir onderskepping deur kuberkrakers, het Alex Weinert, direkteur van identiteitsekuriteit by Microsoft, in 'n onlangse blogpos geskryf. Teksgebaseerde kodes is beter as niks, sê waarnemers. Maar gebruikers moet foongebaseerde stawing vervang met programme en sekuriteitsleutels.
"Hierdie meganismes is gebaseer op publiek-geskakelde telefoonnetwerke (PSTN), en ek glo hulle is die minste veilige van die MFA-metodes wat vandag beskikbaar is," het hy geskryf.
"Daardie gaping sal net groter word namate MFA-aanneming aanvallers se belangstelling in die verbreking van hierdie metodes verhoog en doelgemaakte waarmerkers hul sekuriteit- en bruikbaarheidsvoordele uitbrei. Beplan nou jou skuif na wagwoordlose sterk verifikasie - die verifikasieprogram bied 'n onmiddellike en ontwikkelende opsie."
MFA is 'n sekuriteitsmetode waarin 'n rekenaargebruiker toegang tot 'n webwerf of toepassing verkry slegs nadat twee of meer bewysstukke suksesvol aan 'n stawingmeganisme voorgelê is. Hierdie kodes word dikwels per telefoon gestuur.
Hackers maak asof hulle jy is
Daar is maniere waarop kuberkrakers toegang tot telefoonkodes kan kry, sê waarnemers. In sommige gevalle is telefoonmaatskappye mislei om telefoonnommers oor te dra sodat kuberkrakers die kodes kan kry.
"Telefone is so onseker dat gebruikers dikwels bedrogspul-oproepe van derdewêreldlande na hulle sal kry terwyl hulle Amerikaanse streekfoonnommers wys," het Matthew Rogers, CISO van die wolkverskaffer Syntax, in 'n e-posonderhoud gesê. "Telefone is ook onderhewig aan SIM-omruilaanvalle, wat MFA maklik via SMS kan omseil."
Onlangs is die gewilde BBC-radiogasheer Jeremy Vine geviktimiseer met 'n aanval wat daartoe gelei het dat sy WhatsApp-rekening binnegedring is.
"Die aanval wat Vine suksesvol bedrieg het, begin met die ontvangs van 'n oënskynlik ongevraagde SMS-boodskap wat die tweefaktor-verifikasiekode vir hul rekening bevat," het Ray Walsh, data-privaatheidskenner by die privaatheidsoorsigwebwerf ProPrivacy, gesê in 'n e-pos onderhoud.
"Daarna ontvang die slagoffer 'n direkte boodskap van 'n kontak wat beweer dat hy per ongeluk 'n kode aan hulle gestuur het. Laastens word die slagoffer gevra om die kode vir die hacker aan te stuur, wat hulle onmiddellik toegang tot die slagoffer se rekening gee.."
Sagteware kan ook 'n probleem wees. "As gevolg van toestelkwesbaarhede kan die MFA moontlik afgeluister word deur 'n lekkende toepassing of 'n gekompromitteerde toestel waarvan die gebruiker nie bewus is nie," het George Freeman, oplossingskonsultant by die regeringsgroep van LexisNexis Risk Solutions, in 'n e-posonderhoud gesê.
Moenie nog jou foon opgee nie
Teksgebaseerde MFA is egter beter as niks, sê kenners. "MFA is een van die kragtigste instrumente wat 'n gebruiker het om hul rekeninge te beskerm," het Mark Nunnikhoven, visepresident van wolknavorsing by die kuberveiligheidsmaatskappy Trend Micro, in 'n e-posonderhoud gesê.
"Dit moet geaktiveer word waar moontlik. As jy die keuse het, gebruik 'n stawing-toepassing op jou slimfoon - maar op die ou end, maak net seker dat MFA in enige vorm geaktiveer is."
'n Eenvoudige, laekoste-manier om sekuriteit te verhoog, is om die verifikasie-toepassing op jou foon te gebruik, het Peter Robert, medestigter en uitvoerende hoof van die IT-maatskappy Expert Computer Solutions, in 'n e-posonderhoud gesê.
“As jy die begroting het en sekuriteit as krities beskou, sal ek jou aanmoedig om hardeware-gebaseerde MFA-sleutels te evalueer,” het hy bygevoeg. “Vir besighede en individue wat bekommerd is oor sekuriteit, sal ek ook 'n donker web aanbeveel moniteringsdiens om jou te laat weet of persoonlike inligting oor jou beskikbaar is en op die donker web te koop is."
Vir 'n meer Mission Impossible-styl benadering, gebruik die nuwe standaard FIDO2 met Webauthn biometriese verifikasie, sê Freeman. "Die gebruiker koppel aan 'n finansiële webwerf, voer 'n gebruikersnaam in, die webwerf kontak [die] gebruiker se mobiele toestel, 'n veilige toepassing op [die] foon vra dan die gebruiker vir [hul] gesig-ID of vingerafdruk. Wanneer dit suksesvol is, staaf dit dan die websessie,” het hy gesê.
Met soveel moontlike bedreigings is dit dalk tyd om te begin soek na veiliger maniere om aan te meld by webwerwe wat persoonlike inligting stoor. Kuberkrakers loer dalk op die web en wag net om jou wagwoord te onderskep.
