Key Takeaway
- Penggodam boleh mencuri kod pengesahan pelbagai faktor (MFA) berasaskan telefon, kata pakar.
- Syarikat telefon telah ditipu untuk memindahkan nombor telefon untuk membolehkan penjenayah mendapatkan kod.
- Cara mudah dan kos rendah untuk meningkatkan keselamatan ialah menggunakan apl pengesah pada telefon anda.
Untuk kekal selamat daripada penggodam, berhenti menggunakan kod pengesahan berbilang faktor (MFA) berasaskan telefon yang dihantar melalui SMS dan panggilan suara, pakar keselamatan terkemuka menulis dalam analisis baharu.
Kod telefon terdedah kepada pemintasan oleh penggodam, Alex Weinert, pengarah keselamatan identiti di Microsoft, menulis dalam catatan blog baru-baru ini. Kod berasaskan teks lebih baik daripada tiada, kata pemerhati. Tetapi pengguna harus menggantikan pengesahan berasaskan telefon dengan apl dan kunci keselamatan.
"Mekanisme ini berdasarkan rangkaian telefon bertukar awam (PSTN), dan saya percaya ia adalah kaedah MFA yang paling tidak selamat yang ada pada hari ini, " tulisnya.
"Jurang itu hanya akan melebar apabila penerimaan MFA meningkatkan minat penyerang untuk memecahkan kaedah ini dan pengesah yang dibina khas memperluaskan kelebihan keselamatan dan kebolehgunaan mereka. Rancang langkah anda ke pengesahan kukuh tanpa kata laluan sekarang-apl pengesah menyediakan segera dan pilihan yang berkembang."
MFA ialah kaedah keselamatan di mana pengguna komputer diberikan akses kepada tapak web atau aplikasi hanya selepas berjaya mengemukakan dua atau lebih bukti kepada mekanisme pengesahan. Kod ini selalunya dihantar melalui telefon.
Penggodam Berpura-pura Menjadi Anda
Ada cara penggodam boleh mendapatkan akses kepada kod telefon, bagaimanapun, kata pemerhati. Dalam sesetengah keadaan, syarikat telefon telah ditipu untuk memindahkan nombor telefon untuk membolehkan penggodam mendapatkan kod tersebut.
"Telefon sangat tidak selamat sehinggakan pengguna sering mendapat panggilan penipuan yang disalurkan kepada mereka dari negara dunia ketiga sambil menunjukkan nombor telefon serantau Amerika," kata Matthew Rogers, CISO penyedia awan Syntax, dalam temu bual e-mel. "Telefon juga tertakluk kepada serangan pertukaran SIM, yang boleh memintas MFA melalui mesej teks dengan mudah."
Baru-baru ini, pengacara radio BBC popular Jeremy Vine telah menjadi mangsa dengan serangan yang menyebabkan akaun WhatsAppnya ditembusi.
"Serangan yang berjaya menipu Vine bermula dengan penerimaan mesej SMS yang kelihatan tidak diminta yang mengandungi kod pengesahan dua faktor ke akaun mereka," Ray Walsh, pakar privasi data di tapak semakan privasi ProPrivacy, berkata dalam temu bual e-mel.
"Susulan itu, mangsa menerima mesej terus daripada kenalan yang mendakwa telah menghantar kod kepada mereka secara tidak sengaja. Akhirnya, mangsa diminta untuk memajukan penggodam kod tersebut, yang memberikan mereka akses segera ke akaun mangsa."
Perisian juga boleh menjadi masalah. "Disebabkan oleh kelemahan peranti, MFA berkemungkinan dicuri dengar oleh aplikasi bocor atau peranti terjejas yang tidak diketahui oleh pengguna," kata George Freeman, perunding penyelesaian di kumpulan kerajaan LexisNexis Risk Solutions, dalam temu bual e-mel.
Jangan Lepaskan Telefon Anda Lagi
Walau bagaimanapun, MFA berasaskan teks lebih baik daripada tiada, kata pakar. "MFA ialah salah satu alat paling berkuasa yang dimiliki pengguna untuk melindungi akaun mereka," kata Mark Nunnikhoven, naib presiden penyelidikan awan di syarikat keselamatan siber Trend Micro, dalam temu bual e-mel.
"Ia harus didayakan apabila boleh. Jika anda mempunyai pilihan, gunakan apl pengesahan pada telefon pintar anda-tetapi pada akhirnya, cuma pastikan MFA didayakan dalam sebarang bentuk."
Cara mudah dan kos rendah untuk meningkatkan keselamatan ialah menggunakan apl pengesah pada telefon anda, kata Peter Robert, pengasas bersama dan Ketua Pegawai Eksekutif syarikat IT Expert Computer Solutions, dalam temu bual e-mel.
“Jika anda mempunyai belanjawan dan menganggap keselamatan penting, saya akan menggalakkan anda menilai kunci MFA berasaskan perkakasan," tambahnya. "Untuk perniagaan dan individu yang mengambil berat tentang keselamatan, saya juga akan mengesyorkan web gelap perkhidmatan pemantauan untuk memberitahu anda jika maklumat peribadi tentang anda tersedia dan untuk dijual di web gelap."
Untuk pendekatan gaya Mission Impossible yang lebih, FIDO2 standard baharu dengan Webauthn menggunakan pengesahan biometrik, kata Freeman. "Pengguna menyambung ke tapak kewangan, memasukkan nama pengguna, tapak web menghubungi peranti mudah alih pengguna, aplikasi selamat pada telefon kemudian menggesa pengguna untuk ID muka atau cap jari [mereka]. Apabila berjaya, ia kemudian mengesahkan sesi web," katanya.
Dengan begitu banyak kemungkinan ancaman, mungkin sudah tiba masanya untuk mula mencari cara yang lebih selamat untuk log masuk ke tapak web yang menyimpan maklumat peribadi. Penggodam mungkin bersembunyi di web hanya menunggu untuk memintas kata laluan anda.