Հիմնական տանողներ
- Հաքերները կարող են գողանալ հեռախոսի վրա հիմնված բազմագործոն նույնականացման (MFA) կոդերը, ասում են փորձագետները:
- Հեռախոսային ընկերություններին խաբել են՝ փոխանցելով հեռախոսահամարներ՝ հանցագործներին թույլ տալու համար ստանալ կոդերը:
- Անվտանգությունը բարձրացնելու պարզ, էժան միջոցը ձեր հեռախոսի վավերացնող հավելվածն օգտագործելն է:
Հակերներից պաշտպանվելու համար դադարեք օգտագործել հեռախոսի վրա հիմնված բազմագործոն նույնականացման (MFA) կոդերը, որոնք ուղարկվում են SMS-ի և ձայնային զանգերի միջոցով, գրում է անվտանգության բարձրակարգ փորձագետը նոր վերլուծության մեջ:
Հեռախոսային կոդերը խոցելի են հաքերների կողմից գաղտնալսման համար, գրել է Microsoft-ի ինքնության անվտանգության տնօրեն Ալեքս Վայներտը բլոգի վերջին գրառման մեջ: Տեքստի վրա հիմնված ծածկագրերն ավելի լավ են, քան ոչինչ, ասում են դիտորդները: Սակայն օգտատերերը պետք է փոխարինեն հեռախոսի վրա հիմնված նույնականացումը հավելվածներով և անվտանգության բանալիներով:
«Այս մեխանիզմները հիմնված են հանրային անջատված հեռախոսային ցանցերի (PSTN) վրա, և ես կարծում եմ, որ դրանք ամենաքիչ անվտանգն են այսօր առկա ԱԳՆ մեթոդներից», - գրել է նա:
«Այդ բացը միայն կմեծանա, քանի որ ԱԳՆ-ի ընդունումը մեծացնում է հարձակվողների հետաքրքրությունը այս մեթոդները խախտելու նկատմամբ, իսկ նպատակային իսկորոշիչները ընդլայնում են նրանց անվտանգության և օգտագործման առավելությունները: Պլանավորեք ձեր տեղափոխությունը դեպի գաղտնաբառ չունեցող ուժեղ վավերացում հիմա. իսկորոշիչ հավելվածը տրամադրում է անհապաղ և զարգացող տարբերակ։"
MFA-ն անվտանգության մեթոդ է, որի դեպքում համակարգչից օգտվողին թույլատրվում է մուտք գործել կայք կամ հավելված միայն երկու կամ ավելի ապացույցներ նույնականացման մեխանիզմին հաջողությամբ ներկայացնելուց հետո: Այս կոդերը հաճախ ուղարկվում են հեռախոսով։
Հաքերները ձևացնում են, թե դուք եք
Կան ուղիներ, որոնց միջոցով հաքերները կարող են մուտք գործել հեռախոսային կոդեր, սակայն, ասում են դիտորդները: Որոշ դեպքերում հեռախոսային ընկերություններին խաբել են՝ փոխանցելով հեռախոսահամարներ՝ հաքերներին թույլ տալու համար ստանալ կոդերը:
«Հեռախոսներն այնքան անապահով են, որ օգտատերերը հաճախ խաբեության զանգեր են ստանում երրորդ աշխարհի երկրներից՝ ցույց տալով ամերիկյան տարածաշրջանային հեռախոսահամարները», - էլեկտրոնային փոստով հարցազրույցում ասել է Մեթյու Ռոջերսը՝ ամպային մատակարար Syntax-ի CISO: «Հեռախոսները նույնպես ենթակա են SIM փոխանակման հարձակումների, որոնք հեշտությամբ կարող են շրջանցել ԱԳՆ-ն տեքստային հաղորդագրության միջոցով»:
Վերջերս BBC-ի հանրահայտ ռադիոհաղորդավար Ջերեմի Վայնը հարձակման զոհ է դարձել, որը հանգեցրել է նրան, որ ներթափանցել են նրա WhatsApp հաշիվը:
«Հարձակումը, որը հաջողությամբ խաբել է Vine-ին, սկսվում է թվացյալ չպահանջված SMS հաղորդագրություն ստանալուց հետո, որը պարունակում է երկու գործոնով նույնականացման կոդը իրենց հաշվի համար», - ասաց Ռեյ Ուոլշը, տվյալների գաղտնիության փորձագետ ProPrivacy-ի գաղտնիության վերանայման կայքում: էլեկտրոնային փոստով հարցազրույց:
«Դրանից հետո զոհը ստանում է ուղիղ հաղորդագրություն կոնտակտից, որում պնդում է, որ պատահաբար կոդ է ուղարկել իրեն: Վերջապես, զոհին խնդրում են հաքերին փոխանցել կոդը, որը թույլ է տալիս ակնթարթորեն մուտք գործել զոհի հաշիվ: «
Ծրագրային ապահովումը նույնպես կարող է խնդիր լինել: «Սարքի խոցելիության պատճառով ԱԳՆ-ն կարող է գաղտնալսվել արտահոսող հավելվածի կամ վտանգված սարքի կողմից, որի մասին օգտատերը տեղյակ չէ», - ասել է Ջորջ Ֆրիմանը, LexisNexis Risk Solutions-ի կառավարական խմբի լուծումների խորհրդատուը::
Դեռևս մի հրաժարվեք ձեր հեռախոսից
Սակայն, տեքստի վրա հիմնված ԱԳՆ-ն ավելի լավ է, քան ոչինչ, ասում են փորձագետները: «MFA-ն ամենահզոր գործիքներից մեկն է, որն ունի օգտատերը՝ պաշտպանելու իրենց հաշիվները», - էլփոստի հարցազրույցում ասել է Մարկ Նուննիհովենը՝ կիբերանվտանգության ոլորտի կիբերանվտանգության ընկերության ամպային հետազոտության փոխնախագահ Մարկ Նուննիկովենը::
«Այն պետք է միացված լինի հնարավորության դեպքում: Եթե ունեք ընտրություն, օգտագործեք նույնականացման հավելված ձեր սմարթֆոնի վրա, բայց ի վերջո, պարզապես համոզվեք, որ MFA-ն միացված է ցանկացած ձևով»:
Անվտանգությունը բարձրացնելու պարզ, էժան միջոցը ձեր հեռախոսի վավերացման հավելվածն օգտագործելն է,- ասել է Expert Computer Solutions ՏՏ ընկերության համահիմնադիր և գործադիր տնօրեն Փիթեր Ռոբերտը էլեկտրոնային փոստով տված հարցազրույցում:
«Եթե ունեք բյուջե և համարում եք անվտանգությունը կարևոր, ես կխրախուսեմ ձեզ գնահատել ապարատային վրա հիմնված MFA բանալիները», - ավելացրեց նա: «Բիզնեսների և անհատների համար, ովքեր մտահոգված են անվտանգության հարցերով, ես նաև խորհուրդ կտամ մութ վեբ: մոնիտորինգի ծառայություն՝ ձեզ տեղեկացնելու համար, թե արդյոք ձեր մասին անձնական տեղեկությունները հասանելի են և վաճառվում են մութ համացանցում»:
Ավելի շատ Mission Impossible-ի ոճի մոտեցման համար Webauthn-ի հետ նոր ստանդարտ FIDO2-ն օգտագործում է կենսաչափական նույնականացում, ասում է Ֆրիմանը: «Օգտատերը միանում է ֆինանսական կայքին, մուտքագրում է օգտանունը, կայքը կապվում է [օգտատիրոջ] շարժական սարքի հետ, հեռախոսի անվտանգ հավելվածը, այնուհետև օգտատիրոջը հուշում է [իրենց] դեմքի ID-ն կամ մատնահետքը: Երբ հաջողվում է, այն այնուհետև նույնականացվում է: վեբ նիստը»,- ասաց նա։
Այդքան հնարավոր սպառնալիքներով, գուցե ժամանակն է սկսել փնտրել անձնական տեղեկություններ պահող կայքեր մուտք գործելու ավելի անվտանգ ուղիներ: Հաքերները կարող են թաքնվել համացանցում, պարզապես սպասում են ձեր գաղտնաբառը կոտրելուն: