Önemli Bilgiler
- Uzmanlar, bilgisayar korsanlarının telefon tabanlı çok faktörlü kimlik doğrulama (MFA) kodlarını çalabileceğini söylüyor.
- Telefon şirketleri, suçluların kodları almasına izin vermek için telefon numaralarını aktarmaları için kandırıldı.
- Güvenliği artırmanın basit ve düşük maliyetli bir yolu, telefonunuzda kimlik doğrulama uygulamasını kullanmaktır.
Bilgisayar korsanlarından korunmak için SMS ve sesli aramalar yoluyla gönderilen telefon tabanlı çok faktörlü kimlik doğrulama (MFA) kodlarını kullanmayı bırakın, üst düzey bir güvenlik uzmanı yeni bir analizde yazıyor.
Telefon kodlarının bilgisayar korsanları tarafından ele geçirilmesine karşı savunmasız olduğunu, Microsoft'ta kimlik güvenliği direktörü Alex Weinert, yakın tarihli bir blog gönderisinde yazdı. Gözlemciler, metin tabanlı kodların hiç olmamasından daha iyi olduğunu söylüyor. Ancak kullanıcılar, telefon tabanlı kimlik doğrulamasını uygulamalar ve güvenlik anahtarlarıyla değiştirmelidir.
"Bu mekanizmalar, genel olarak anahtarlanan telefon ağlarına (PSTN) dayanmaktadır ve bugün mevcut olan MFA yöntemlerinin en az güvenli olduklarına inanıyorum" diye yazdı.
"Bu boşluk yalnızca, MFA'nın benimsenmesi, saldırganların bu yöntemleri kırma konusundaki ilgisini artırdıkça ve amaca yönelik oluşturulmuş kimlik doğrulayıcılar güvenlik ve kullanılabilirlik avantajlarını artırdıkça genişleyecektir. Parolasız güçlü kimlik doğrulamaya geçişinizi şimdi planlayın; kimlik doğrulama uygulaması, anında ve gelişen seçenek."
MFA, bir bilgisayar kullanıcısına yalnızca iki veya daha fazla kanıt parçasını bir kimlik doğrulama mekanizmasına başarıyla sunduktan sonra bir web sitesine veya uygulamaya erişim izni verildiği bir güvenlik yöntemidir. Bu kodlar genellikle telefonla gönderilir.
Bilgisayar korsanları sizi taklit eder
Ancak gözlemciler, bilgisayar korsanlarının telefon kodlarına erişmesinin yolları olduğunu söylüyor. Bazı durumlarda, telefon şirketleri, bilgisayar korsanlarının kodları almasına izin vermek için telefon numaralarını aktarmaları için kandırılmıştır.
Bulut sağlayıcısı Syntax'ın CISO'su Matthew Rogers bir e-posta röportajında, "Telefonlar o kadar güvensiz ki, kullanıcılar genellikle üçüncü dünya ülkelerinden kendilerine yönlendirilen ve Amerikan bölgesel telefon numaralarını gösteren dolandırıcılık çağrıları alıyorlar, " dedi. "Telefonlar ayrıca kısa mesaj yoluyla MFA'yı kolayca atlayabilen SIM değiştirme saldırılarına da maruz kalır."
Son zamanlarda, popüler BBC radyo sunucusu Jeremy Vine, WhatsApp hesabına girilmesine neden olan bir saldırının kurbanı oldu.
ProPrivacy gizlilik inceleme sitesi veri gizliliği uzmanı Ray Walsh, "Vine'ı başarılı bir şekilde kandıran saldırı, hesaplarına iki faktörlü kimlik doğrulama kodunu içeren görünüşte istenmeyen bir SMS mesajının alınmasıyla başlar," dedi. bir e-posta röportajı.
"Bunu takiben, kurban, kendisine yanlışlıkla bir kod gönderdiğini iddia eden bir kişiden doğrudan bir mesaj alır. Son olarak, kurbandan, kurbanın hesabına anında erişim sağlayan kodu bilgisayar korsanına iletmesi istenir."
Yazılım da sorun olabilir. LexisNexis Risk Solutions hükümet grubunun çözüm danışmanı George Freeman bir e-posta röportajında, "Cihaz güvenlik açıkları nedeniyle, MFA, sızdıran bir uygulama veya kullanıcının farkında olmadığı güvenliği ihlal edilmiş bir cihaz tarafından gizlice dinlenebilir," dedi.
Henüz Telefonunuzdan Vazgeçmeyin
Ancak uzmanlar, metin tabanlı MFA'nın hiç olmamasından daha iyi olduğunu söylüyor. Siber güvenlik şirketi Trend Micro'nun bulut araştırmaları başkan yardımcısı Mark Nunnikhoven bir e-posta röportajında, "MFA, bir kullanıcının hesaplarını korumak için sahip olduğu en güçlü araçlardan biridir," dedi.
"Mümkün olduğunda etkinleştirilmelidir. Seçeneğiniz varsa akıllı telefonunuzda bir kimlik doğrulama uygulaması kullanın - ancak sonunda, MFA'nın herhangi bir biçimde etkinleştirildiğinden emin olun."
Güvenliği artırmanın basit ve düşük maliyetli bir yolu, bir BT şirketi Expert Computer Solutions'ın kurucu ortağı ve CEO'su Peter Robert bir e-posta röportajında, telefonunuzda kimlik doğrulama uygulamasını kullanmaktır, dedi.
“Bütçeniz varsa ve güvenliğin kritik olduğunu düşünüyorsanız, donanım tabanlı MFA anahtarlarını değerlendirmenizi tavsiye ederim” diye ekledi. sizinle ilgili kişisel bilgilerin dark web'de bulunup bulunmadığını ve satılıp satılmadığını size bildiren izleme hizmeti."
Daha fazla İmkansız Görev tarzı bir yaklaşım için, Webauthn'lu yeni standart FIDO2 biyometrik kimlik doğrulama kullanıyor, diyor Freeman. "Kullanıcı bir finans sitesine bağlanır, bir kullanıcı adı girer, web sitesi kullanıcının mobil cihazıyla iletişim kurar, telefondaki güvenli bir uygulama kullanıcıdan yüz kimliğini veya parmak izini ister. Başarılı olduğunda, ardından kimlik doğrulaması yapar. web oturumu" dedi.
Bu kadar çok olası tehdit varken, kişisel bilgileri depolayan web sitelerinde oturum açmanın daha güvenli yollarını aramaya başlamanın zamanı gelmiş olabilir. Bilgisayar korsanları, şifrenizi ele geçirmeyi bekleyen web'de gizleniyor olabilir.
