Əsas Çıxarışlar
- Hakerlər telefon əsaslı çoxfaktorlu autentifikasiya (MFA) kodlarını oğurlaya bilər, ekspertlər deyir.
- Telefon şirkətləri cinayətkarların kodları əldə etməsinə imkan vermək üçün telefon nömrələrini köçürməklə aldadılıblar.
- Təhlükəsizliyi artırmaq üçün sadə, ucuz yol telefonunuzda autentifikator tətbiqindən istifadə etməkdir.
Hakerlərdən qorunmaq üçün SMS və səsli zənglər vasitəsilə göndərilən telefon əsaslı çoxfaktorlu autentifikasiya (MFA) kodlarından istifadə etməyi dayandırın, yüksək səviyyəli təhlükəsizlik eksperti yeni təhlilində yazır.
Telefon kodları hakerlər tərəfindən ələ keçirilə bilər, Microsoft-un şəxsiyyət təhlükəsizliyi direktoru Alex Weinert son bloq yazısında yazdı. Müşahidəçilər deyirlər ki, mətn əsaslı kodlar heç nədən yaxşıdır. Lakin istifadəçilər telefon əsaslı autentifikasiyanı tətbiqlər və təhlükəsizlik açarları ilə əvəz etməlidirlər.
"Bu mexanizmlər açıq şəkildə dəyişdirilən telefon şəbəkələrinə (PSTN) əsaslanır və mən hesab edirəm ki, onlar bu gün mövcud olan XİN metodları arasında ən az təhlükəsizdirlər" deyə o yazıb.
"XİN-in qəbulu təcavüzkarların bu üsulları pozmağa marağını artırdıqca və məqsədli şəkildə qurulmuş autentifikatorlar təhlükəsizlik və istifadə imkanlarını genişləndirdikcə bu boşluq genişlənəcək. Parolsuz güclü autentifikasiyaya keçidinizi indi planlaşdırın - autentifikator proqramı dərhal və inkişaf edən seçim."
MFA kompüter istifadəçisinə yalnız iki və ya daha çox sübutu autentifikasiya mexanizminə uğurla təqdim etdikdən sonra vebsayt və ya proqrama giriş icazəsinin verildiyi təhlükəsizlik üsuludur. Bu kodlar çox vaxt telefonla göndərilir.
Hakerlər Özünü Sən Edirlər
Hakerlərin telefon kodlarına daxil ola bilməsinin yolları var, lakin müşahidəçilər deyirlər. Bəzi hallarda, telefon şirkətləri hakerlərin kodları əldə etməsinə imkan vermək üçün telefon nömrələrini köçürməklə aldadılıblar.
"Telefonlar o qədər etibarsızdır ki, istifadəçilər Amerikanın regional telefon nömrələrini göstərərkən üçüncü dünya ölkələrindən onlara tez-tez fırıldaqçı zənglər alacaqlar", - Bulud provayderi Syntax-ın CISO-su Metyu Rocers e-poçt müsahibəsində bildirib. "Telefonlar həmçinin SİM dəyişdirmə hücumlarına məruz qalır və bu, mətn mesajı vasitəsilə XİN-dən asanlıqla yan keçə bilər."
Bu yaxınlarda məşhur BBC radio aparıcısı Ceremi Vine hücumun qurbanı oldu və onun WhatsApp hesabına girişi oldu.
"Vine-ı müvəffəqiyyətlə aldadan hücum, onların hesabına iki faktorlu autentifikasiya kodunu ehtiva edən zahirən istənməyən SMS mesajının alınması ilə başlayır, " ProPrivacy məxfiliyin nəzərdən keçirilməsi saytında məlumatların məxfiliyi üzrə eksperti Rey Uolş bildirib. e-poçt müsahibəsi.
"Bunun ardınca qurban təsadüfən onlara kod göndərdiyini iddia edən kontaktdan birbaşa mesaj alır. Nəhayət, qurbandan hakerə qurbanın hesabına dərhal giriş imkanı verən kodu ötürməsi xahiş olunur.."
Proqram təminatı da problem ola bilər. LexisNexis Risk Solutions hökumət qrupunun həllər üzrə məsləhətçisi Corc Friman e-poçt müsahibəsində "Cihazdakı zəifliklərə görə, XİN potensial olaraq istifadəçinin xəbəri olmayan sızan proqram və ya təhlükəyə məruz qalmış cihaz tərəfindən dinlənə bilər" dedi.
Telefonunuzdan hələ də əl çəkməyin
Ancaq mətn əsaslı XİN heç nədən yaxşıdır, ekspertlər deyir. Trend Micro kibertəhlükəsizlik şirkətinin bulud tədqiqatları üzrə vitse-prezidenti Mark Nunnikhoven e-poçt müsahibəsində "XİN istifadəçinin hesablarını qorumaq üçün ən güclü vasitələrdən biridir" dedi.
"Mümkün olduqda aktivləşdirilməlidir. Seçiminiz varsa, smartfonunuzda autentifikasiya proqramından istifadə edin, lakin sonda XİN-in istənilən formada aktiv olduğundan əmin olun."
Təhlükəsizliyi artırmaq üçün sadə, ucuz yol telefonunuzda autentifikator proqramından istifadə etməkdir, İT şirkətinin həmtəsisçisi və baş icraçı direktoru Peter Robert, Expert Computer Solutions e-poçt müsahibəsində bildirib.
“Büdcəniz varsa və təhlükəsizliyi kritik hesab edirsinizsə, mən sizi hardware əsaslı XİN açarlarını qiymətləndirməyi tövsiyə edərdim,” o əlavə etdi. “Təhlükəsizlikdən narahat olan müəssisələr və şəxslər üçün qaranlıq interneti də tövsiyə edərdim. Sizin haqqınızda şəxsi məlumatların mövcud olub-olmadığını və qaranlıq internetdə satılıb-satılmadığını sizə bildirmək üçün monitorinq xidməti."
Daha Mission Impossible üslubunda yanaşma üçün Webauthn ilə yeni standart FIDO2 biometrik autentifikasiyadan istifadə edir, Freeman deyir. "İstifadəçi maliyyə saytına qoşulur, istifadəçi adı daxil edir, vebsayt [istifadəçinin] mobil cihazı, [telefondakı] təhlükəsiz proqramla əlaqə saxlayır, sonra istifadəçidən [öz] üz identifikatorunu və ya barmaq izini tələb edir. Uğurlu olduqda, o, sonra autentifikasiya edir. internet sessiyası "dedi.
Bir çox mümkün təhdidlərə görə, şəxsi məlumatları saxlayan vebsaytlara daxil olmaq üçün daha təhlükəsiz yollar axtarmağa başlamağın vaxtı gələ bilər. Hakerlər internetdə gizlənib sadəcə parolunuzu ələ keçirməyi gözləyirlər.
