Key takeaways
- Hackere kan stjæle telefonbaserede multi-factor authentication (MFA)-koder, siger eksperter.
- Telefonselskaber er blevet narret til at overføre telefonnumre for at give kriminelle mulighed for at få koderne.
- En enkel, billig måde at øge sikkerheden på er at bruge autentificeringsappen på din telefon.
For at beskytte dig mod hackere skal du stoppe med at bruge telefonbaserede multi-factor authentication (MFA)-koder, der sendes via SMS og taleopkald, skriver en topsikkerhedsekspert i en ny analyse.
Telefonkoder er sårbare over for aflytning af hackere, skrev Alex Weinert, direktør for identitetssikkerhed hos Microsoft, i et nyligt blogindlæg. Tekstbaserede koder er bedre end ingenting, siger observatører. Men brugere bør erstatte telefonbaseret godkendelse med apps og sikkerhedsnøgler.
"Disse mekanismer er baseret på offentligt koblede telefonnetværk (PSTN), og jeg tror, de er de mindst sikre af de MFA-metoder, der er tilgængelige i dag," skrev han.
"Denne kløft vil kun blive større, efterhånden som MFA-adoption øger angribernes interesse i at bryde disse metoder, og specialbyggede autentificeringer udvider deres sikkerheds- og brugervenlighedsfordele. Planlæg dit skift til stærk godkendelse uden adgangskode nu – autentificeringsappen giver en øjeblikkelig og Udviklingsmulighed."
MFA er en sikkerhedsmetode, hvor en computerbruger kun får adgang til et websted eller en applikation efter at have præsenteret to eller flere beviser for en godkendelsesmekanisme. Disse koder sendes ofte via telefon.
Hackere foregiver at være dig
Der er måder, hvorpå hackere kan få adgang til telefonkoder, siger observatører. I nogle tilfælde er telefonselskaber blevet narret til at overføre telefonnumre for at give hackere mulighed for at få koderne.
"Telefoner er så usikre, at brugere ofte vil få svindelopkald dirigeret til dem fra tredjeverdenslande, mens de viser amerikanske regionale telefonnumre," sagde Matthew Rogers, CISO for cloud-udbyderen Syntax, i et e-mailinterview. "Telefoner er også genstand for SIM-bytteangreb, som nemt kan omgå MFA via sms."
For nylig blev den populære BBC-radiovært Jeremy Vine udsat for et angreb, der førte til, at hans WhatsApp-konto blev penetreret.
"Angrebet, der med succes narrede Vine, starter med modtagelsen af en tilsyneladende uopfordret sms-besked, der indeholder to-faktor-godkendelseskoden til deres konto," sagde Ray Walsh, databeskyttelsesekspert på webstedet for privatlivsgennemgang, ProPrivacy, i et e-mail interview.
"Derefter modtager offeret en direkte besked fra en kontakt, der hævder at have sendt dem en kode ved et uheld. Til sidst bliver offeret bedt om at videresende hackeren koden, hvilket giver dem øjeblikkelig adgang til offerets konto."
Software kan også være et problem. "På grund af enhedssårbarheder kan MFA potentielt blive afluret af en utæt app eller en kompromitteret enhed, som brugeren ikke er opmærksom på," sagde George Freeman, løsningskonsulent hos regeringsgruppen for LexisNexis Risk Solutions, i et e-mailinterview.
Opgiv ikke din telefon endnu
Tekstbaseret MFA er imidlertid bedre end ingenting, siger eksperter. "MFA er et af de mest kraftfulde værktøjer, en bruger har til at beskytte deres konti," sagde Mark Nunnikhoven, vicepræsident for cloudforskning hos cybersikkerhedsvirksomheden Trend Micro, i et e-mailinterview.
"Det skal være aktiveret, når det er muligt. Hvis du har valget, skal du bruge en godkendelsesapp på din smartphone - men i sidste ende skal du bare sørge for, at MFA er aktiveret i enhver form."
En enkel, billig måde at øge sikkerheden på er at bruge autentificeringsappen på din telefon, sagde Peter Robert, medstifter og administrerende direktør for it-virksomheden Expert Computer Solutions, i et e-mailinterview.
“Hvis du har budgettet og betragter sikkerhed som kritisk, vil jeg opfordre dig til at evaluere hardwarebaserede MFA-nøgler," tilføjede han. "For virksomheder og enkeltpersoner, der er bekymrede for sikkerhed, vil jeg også anbefale et mørkt web overvågningstjeneste for at lade dig vide, om personlige oplysninger om dig er tilgængelige og til salg på det mørke web."
For en mere Mission Impossible-tilgang bruger den nye standard FIDO2 med Webauthn biometrisk autentificering, siger Freeman. "Brugeren opretter forbindelse til et finansielt websted, indtaster et brugernavn, webstedet kontakter [brugerens] mobile enhed, en sikker app på [telefonen] beder derefter brugeren om [deres] ansigts-id eller fingeraftryk. Når det lykkes, godkendes det derefter web-sessionen," sagde han.
Med så mange mulige trusler er det måske på tide at begynde at lede efter mere sikre måder at logge på websteder, der gemmer personlige oplysninger. Hackere lurer muligvis på nettet og venter bare på at opsnappe din adgangskode.
