Для безопасного доступа к онлайн-сервисам сегодня недостаточно просто логина и сильного пароля. Недавнее исследование показало, что более 80% всех взломов, связанных с хакерскими атаками, происходят из-за компрометации и слабых учетных данных. Поэтому внедрение двухфакторной аутентификации (2FA) стало необходимостью. Она обеспечивает дополнительный уровень безопасности. Согласно данным, пользователи, включившие 2FA, блокируют около 99,9% автоматизированных атак. Но не стоит терять бдительность.
Как и в случае с любым хорошим решением в области кибербезопасности, злоумышленники рано или поздно придумывают способы его обойти. 2FA не стала исключением! Обойти её можно с помощью одноразовых кодов, которые отправляют в виде SMS на смартфон пользователя. Тем не менее, зная, что хакеры могут использовать некоторые приложения, чтобы «зеркалить» ваши сообщения себе, многие важные онлайн-сервисы по-прежнему отправляют одноразовые коды по SMS.
В чем же проблема с SMS?
Думаете, известные компании, такие как Microsoft, призывают пользователей отказаться от решений 2FA, использующих SMS и голосовые звонки, просто так? SMS известны своей печально низкой безопасностью, что делает их открытыми для множества различных атак. Например, можно подменить SIM-карту.
Также одноразовые коды можно взломать с помощью легкодоступных инструментов, используя технику обратного прокси. Программа перехватывает связь между настоящим сервисом и жертвой, отслеживает и записывает взаимодействие жертвы с сервисом, включая любые учетные данные, которые она может использовать.
В дополнение к этому хакер может установить зловредные приложения через Google Play Store на ваше устройство Android. Как? Если злоумышленник имеет доступ к вашим учетным данным и сумеет войти в ваш аккаунт Google Play на ноутбуке, он сможет автоматически установить любое приложение на ваш смартфон. А дальше дело за малым. После установки приложения злоумышленник может применить простые методы социальной инженерии, чтобы убедить пользователя включить разрешения, необходимые якобы для нормальной работы приложения.
Есть ли альтернатива?
Чтобы чувствовать себя защищенным в Интернете, необходимо сначала проверить, надежна ли ваша первая линия обороны. Обратите внимание на свой пароль, не скомпрометирован ли он. Существует ряд программ безопасности, которые позволяют это сделать. Например, введите номер или почту на сайте haveibeenpwned.com.
Если это возможно, откажитесь от использования SMS в качестве метода 2FA. Вместо этого вы можете использовать одноразовые коды на основе приложений, например, через Google Authenticator. В этом случае код генерируется в приложении Google Authenticator на вашем устройстве, а не отправляется вам. Однако и такой подход также может быть скомпрометирован хакерами, использующими некоторые сложные вредоносные программы. Лучшей альтернативой будет использование специальных аппаратных устройств, таких как YubiKey.
Это небольшие USB-устройства, которые обеспечивают упрощенный способ включения 2FA в различных службах. Такие физические устройства необходимо подключать или подносить близко к гаджету для входа в систему в рамках 2FA. Это снижает риски, связанные с видимыми одноразовыми кодами, такими как коды, отправляемые по SMS.
Поставщикам услуг, разработчикам и исследователям тоже стоит продолжить работу над созданием более доступных и безопасных методов аутентификации. Например, внедрять многофакторную аутентификацию, где одновременно используются несколько методов аутентификации, которые комбинируются по мере необходимости.
Источник: The conversation
