Негізгі ұсыныстар
- Хакерлер телефон негізіндегі көп факторлы аутентификация (MFA) кодтарын ұрлауы мүмкін дейді сарапшылар.
- Телефон компаниялары қылмыскерлерге кодтарды алуға мүмкіндік беру үшін телефон нөмірлерін тасымалдауға алданып қалды.
- Қауіпсіздікті арттырудың қарапайым, арзан жолы - телефоныңыздағы аутентификация қолданбасын пайдалану.
Хакерлерден қорғану үшін SMS және дауыстық қоңыраулар арқылы жіберілетін телефон негізіндегі көп факторлы аутентификация (MFA) кодтарын пайдалануды тоқтатыңыз, деп жазады қауіпсіздік саласындағы жетекші сарапшы жаңа талдауда.
Телефон кодтары хакерлердің ұстауына осал, деп жазды Microsoft корпорациясының жеке басын куәландыратын қауіпсіздік директоры Алекс Вайнерт жақында блог жазбасында. Мәтінге негізделген кодтар жоқтан жақсы, дейді бақылаушылар. Бірақ пайдаланушылар телефон негізіндегі аутентификацияны қолданбалар мен қауіпсіздік кілттерімен ауыстыруы керек.
"Бұл механизмдер жалпыға қолжетімді телефон желілеріне (PSTN) негізделген және менің ойымша, олар бүгінде қолжетімді СІМ әдістерінің ішіндегі ең қауіпсізі", - деп жазды ол.
"Бұл алшақтық тек СІМ қабылдау шабуылдаушылардың осы әдістерді бұзуға қызығушылығын арттырған сайын және арнайы жасалған аутентификаторлар қауіпсіздік пен пайдалану артықшылықтарын кеңейтетіндіктен ғана кеңейеді. Құпия сөзсіз күшті аутентификацияға көшуді қазір жоспарлаңыз - аутентификация қолданбасы дереу және дамып келе жатқан опция."
MFA – компьютер пайдаланушысына аутентификация механизміне екі немесе одан да көп дәлелдемелерді сәтті ұсынғаннан кейін ғана веб-сайтқа немесе қолданбаға кіру рұқсаты берілетін қауіпсіздік әдісі. Бұл кодтар жиі телефон арқылы жіберіледі.
Хакерлер сіз болып көрінеді
Хакерлердің телефон кодтарына қол жеткізуінің жолдары бар, дейді бақылаушылар. Кейбір жағдайларда телефон компаниялары хакерлерге кодтарды алуға мүмкіндік беру үшін телефон нөмірлерін тасымалдауға алданып қалды.
"Телефондардың қауіптілігі сонша, пайдаланушылар американдық аймақтық телефон нөмірлерін көрсете отырып, үшінші әлем елдерінен оларға бағытталған алаяқтық қоңырауларды жиі алады ", - деді Мэттью Роджерс, Syntax бұлтты провайдерінің CISO қызметкері электрондық поштаға берген сұхбатында. "Телефондар да SIM алмасу шабуылдарына ұшырайды, олар СІМ-ді мәтіндік хабарлама арқылы оңай айналып өтеді."
Жақында танымал BBC радиосының жүргізушісі Джереми Вайн шабуылдың құрбаны болды, соның салдарынан оның WhatsApp аккаунты еніп кетті.
"Vine-ді сәтті алдаған шабуыл олардың тіркелгісіне екі факторлы аутентификация коды бар, қажетсіз болып көрінетін SMS-хабарламаны алудан басталады", - деді Рэй Уолш, ProPrivacy құпиялылығын шолу сайтының деректер құпиясы бойынша сарапшысы. электрондық пошта сұхбаты.
"Осыдан кейін жәбірленуші контактіден оларға кездейсоқ код жібергені туралы тікелей хабарлама алады. Соңында жәбірленушіден хакерге жәбірленушінің есептік жазбасына лезде қол жеткізуге мүмкіндік беретін кодты жіберуді сұрайды.."
Бағдарламалық құрал да мәселе болуы мүмкін. "Құрылғының осалдығына байланысты СІМ-ді ағып кеткен қолданба немесе пайдаланушы білмейтін бұзылған құрылғы тыңдауы мүмкін", - деді Джордж Фриман, LexisNexis Risk Solutions үкіметтік тобының шешімдер жөніндегі кеңесшісі электрондық поштаға берген сұхбатында.
Телефоныңызды әлі де тастамаңыз
Алайда, мәтінге негізделген СІМ жоқтан жақсы дейді сарапшылар. Марк Нунниховен, Trend Micro киберқауіпсіздік компаниясының бұлтты зерттеулері жөніндегі вице-президенті электрондық поштаға берген сұхбатында: "СІМ - бұл пайдаланушы өз есептік жазбаларын қорғауға арналған ең қуатты құралдардың бірі" деді.
"Оны мүмкіндігінше қосу керек. Таңдау мүмкіндігіңіз болса, смартфонда аутентификация қолданбасын пайдаланыңыз, бірақ соңында СІМ кез келген пішінде қосылғанына көз жеткізіңіз."
Қауіпсіздікті арттырудың қарапайым, арзан әдісі - телефоныңыздағы аутентификация қолданбасын пайдалану, дейді Expert Computer Solutions IT компаниясының негізін қалаушы және бас директоры Питер Роберт электрондық поштаға берген сұхбатында.
«Егер сізде бюджет болса және қауіпсіздікті маңызды деп санасаңыз, мен сізді аппараттық құралдарға негізделген СІМ кілттерін бағалауға шақырар едім», - деп қосты ол. «Қауіпсіздікке алаңдайтын компаниялар мен жеке тұлғалар үшін мен қараңғы вебті ұсынар едім. бақылау қызметі сіз туралы жеке ақпараттың қолжетімділігін және қараңғы желіде сатылып жатқанын білуге мүмкіндік береді."
Миссия мүмкін емес стиліндегі тәсіл үшін Webauthn бар жаңа стандартты FIDO2 биометриялық аутентификацияны пайдаланады, дейді Фриман. "Пайдаланушы қаржылық сайтқа қосылып, пайдаланушы атын енгізеді, веб-сайт [пайдаланушының] мобильді құрылғысына, [телефондағы] қауіпсіз қолданбаға хабарласады, содан кейін пайдаланушыдан [олардың] бет идентификаторын немесе саусақ ізін сұрайды. Сәтті болғанда, ол аутентификацияланады. веб-сессия », - деді ол.
Мүмкін қауіптер көп болғандықтан, жеке ақпаратты сақтайтын веб-сайттарға кірудің қауіпсіз жолдарын іздеуді бастау керек. Хакерлер интернетте құпия сөзіңізді ұстап алуды күтуде болуы мүмкін.
