Key takeaways
- Hackere kan stjele telefonbaserte multifaktorautentiseringskoder (MFA), sier eksperter.
- Telefonselskaper har blitt lurt til å overføre telefonnumre for å la kriminelle få kodene.
- En enkel, rimelig måte å øke sikkerheten på er å bruke autentiseringsappen på telefonen.
For å holde deg trygg mot hackere, slutt å bruke telefonbaserte multifaktorautentiseringskoder (MFA) sendt via SMS og taleanrop, skriver en topp sikkerhetsekspert i en ny analyse.
Telefonkoder er sårbare for avlytting av hackere, skrev Alex Weinert, direktør for identitetssikkerhet i Microsoft, i et nylig blogginnlegg. Tekstbaserte koder er bedre enn ingenting, sier observatører. Men brukere bør erstatte telefonbasert autentisering med apper og sikkerhetsnøkler.
"Disse mekanismene er basert på offentlig svitsjede telefonnettverk (PSTN), og jeg tror de er den minst sikre av MFA-metodene som er tilgjengelige i dag," skrev han.
"Det gapet vil bare øke ettersom MFA-adopsjon øker angripernes interesse for å bryte disse metodene, og spesialbygde autentiseringer utvider sikkerhets- og brukervennlighetsfordelene deres. Planlegg overgangen til passordløs sterk autentisering nå – autentiseringsappen gir en umiddelbar og alternativ i utvikling."
MFA er en sikkerhetsmetode der en datamaskinbruker kun gis tilgang til et nettsted eller en applikasjon etter å ha presentert to eller flere bevis til en autentiseringsmekanisme. Disse kodene sendes ofte via telefon.
Hackere late som om de er deg
Det finnes måter hackere kan få tilgang til telefonkoder på, sier observatører. I noen tilfeller har telefonselskaper blitt lurt til å overføre telefonnumre for å la hackere få kodene.
"Telefoner er så usikre at brukere ofte vil få svindelanrop dirigert til dem fra tredjeverdensland mens de viser amerikanske regionale telefonnumre," sa Matthew Rogers, CISO for skyleverandøren Syntax, i et e-postintervju. "Telefoner er også utsatt for SIM-bytteangrep, som enkelt kan omgå MFA via tekstmelding."
Nylig ble den populære BBC-radioverten Jeremy Vine utsatt for et angrep som førte til at WhatsApp-kontoen hans ble penetrert.
"Angrepet som vellykket lurte Vine starter med mottak av en tilsynelatende uønsket SMS-melding som inneholder tofaktorautentiseringskoden til kontoen deres," sa Ray Walsh, datapersonvernekspert på nettstedet ProPrivacy for personvernvurdering. et e-postintervju.
"Deretter mottar offeret en direkte melding fra en kontakt som hevder å ha sendt dem en kode ved et uhell. Til slutt blir offeret bedt om å videresende koden til hackeren, som gir dem umiddelbar tilgang til offerets konto.."
Programvare kan også være et problem. "På grunn av enhetssårbarheter, kan MFA potensielt bli avlyttet av en lekk app eller en kompromittert enhet brukeren ikke er klar over," sa George Freeman, løsningskonsulent i regjeringsgruppen til LexisNexis Risk Solutions, i et e-postintervju.
Ikke gi opp telefonen din ennå
Tekstbasert MFA er imidlertid bedre enn ingenting, sier eksperter. "MFA er et av de kraftigste verktøyene en bruker har for å beskytte kontoene sine," sa Mark Nunnikhoven, visepresident for skyforskning i nettsikkerhetsselskapet Trend Micro, i et e-postintervju.
"Det bør være aktivert når det er mulig. Hvis du har valget, bruk en autentiseringsapp på smarttelefonen din - men til slutt, bare sørg for at MFA er aktivert i enhver form."
En enkel, rimelig måte å øke sikkerheten på er å bruke autentiseringsappen på telefonen din, sa Peter Robert, medgründer og administrerende direktør i IT-selskapet Expert Computer Solutions, i et e-postintervju.
“Hvis du har budsjettet og anser sikkerhet som kritisk, vil jeg oppfordre deg til å vurdere maskinvarebaserte MFA-nøkler," la han til. "For bedrifter og enkeltpersoner som er opptatt av sikkerhet, vil jeg også anbefale et mørkt nett overvåkingstjeneste for å informere deg om personlig informasjon om deg er tilgjengelig og for salg på det mørke nettet."
For en mer Mission Impossible-tilnærming, bruker den nye standarden FIDO2 med Webauthn biometrisk autentisering, sier Freeman. "Brukeren kobler til et finansnettsted, skriver inn et brukernavn, nettstedet kontakter [brukerens] mobilenhet, en sikker app på [telefonen] ber deretter brukeren om [deres] ansikts-ID eller fingeravtrykk. Når det lykkes, autentiseres det deretter nettøkten," sa han.
Med så mange mulige trusler kan det være på tide å begynne å lete etter sikrere måter å logge på nettsteder som lagrer personlig informasjon. Hackere kan lurer på nettet og venter på å fange opp passordet ditt.