1

Как хакеры читают ваши SMS и обходят защиту 2FA?

Для безопасного доступа к онлайн-сервисам сегодня недостаточно просто логина и сильного пароля. Недавнее исследование показало, что более 80% всех взломов, связанных с хакерскими атаками, происходят из-за компрометации и слабых учетных данных. Поэтому внедрение двухфакторной аутентификации (2FA) стало необходимостью. Она обеспечивает дополнительный уровень безопасности. Согласно данным, пользователи, включившие 2FA, блокируют около 99,9% автоматизированных атак. Но не стоит терять бдительность.

Как и в случае с любым хорошим решением в области кибербезопасности, злоумышленники рано или поздно придумывают способы его обойти. 2FA не стала исключением! Обойти её можно с помощью одноразовых кодов, которые отправляют в виде SMS на смартфон пользователя. Тем не менее, зная, что хакеры могут использовать некоторые приложения, чтобы «зеркалить» ваши сообщения себе, многие важные онлайн-сервисы по-прежнему отправляют одноразовые коды по SMS.

В чем же проблема с SMS?

Думаете, известные компании, такие как Microsoft, призывают пользователей отказаться от решений 2FA, использующих SMS и голосовые звонки, просто так? SMS известны своей печально низкой безопасностью, что делает их открытыми для множества различных атак. Например, можно подменить SIM-карту.

Также одноразовые коды можно взломать с помощью легкодоступных инструментов, используя технику обратного прокси. Программа перехватывает связь между настоящим сервисом и жертвой, отслеживает и записывает взаимодействие жертвы с сервисом, включая любые учетные данные, которые она может использовать.

В дополнение к этому хакер может установить зловредные приложения через Google Play Store на ваше устройство Android. Как? Если злоумышленник имеет доступ к вашим учетным данным и сумеет войти в ваш аккаунт Google Play на ноутбуке, он сможет автоматически установить любое приложение на ваш смартфон. А дальше дело за малым. После установки приложения злоумышленник может применить простые методы социальной инженерии, чтобы убедить пользователя включить разрешения, необходимые якобы для нормальной работы приложения.

Есть ли альтернатива?

Чтобы чувствовать себя защищенным в Интернете, необходимо сначала проверить, надежна ли ваша первая линия обороны. Обратите внимание на свой пароль, не скомпрометирован ли он. Существует ряд программ безопасности, которые позволяют это сделать. Например, введите номер или почту на сайте haveibeenpwned.com.

Если это возможно, откажитесь от использования SMS в качестве метода 2FA. Вместо этого вы можете использовать одноразовые коды на основе приложений, например, через Google Authenticator. В этом случае код генерируется в приложении Google Authenticator на вашем устройстве, а не отправляется вам. Однако и такой подход также может быть скомпрометирован хакерами, использующими некоторые сложные вредоносные программы. Лучшей альтернативой будет использование специальных аппаратных устройств, таких как YubiKey.

 

Это небольшие USB-устройства, которые обеспечивают упрощенный способ включения 2FA в различных службах. Такие физические устройства необходимо подключать или подносить близко к гаджету для входа в систему в рамках 2FA.  Это снижает риски, связанные с видимыми одноразовыми кодами, такими как коды, отправляемые по SMS.

Поставщикам услуг, разработчикам и исследователям тоже стоит продолжить работу над созданием более доступных и безопасных методов аутентификации. Например, внедрять многофакторную аутентификацию, где одновременно используются несколько методов аутентификации, которые комбинируются по мере необходимости.

 

Источник: The conversation

Related Posts

card__image

Цены в даркнете 2021: сколько стоят ваши данные?

Только за 2020 год такие известные корпорации и организации, как NASA, McDonald’s, Microsoft, T-Mobile, Lockheed Martin, и даже компании по кибербезопасности FireEye и SolarWinds стали жертвами серьезных утечек.   Вы наверняка не раз видели, как новостная лента пестрила такими заголовками, но куда дальше попадает вся эта украденная информация. Конечно же, на продажу в даркнет. Даркнет […]

card__image

Страховая компания AXA вновь внесла кибер-риски в топ глобальных опасений

Кибер-риски заняли второе место после климатических изменений в мире, по версии страховой компании AXA. При этом судя по отчету AXA Future Risks Report 2021, кибер-риски были признаны риском номер один в Северной и Южной Америке, а также вторым по важности в трёх других регионах: Азии, Африке и Европе.     Если сравнивать с прошедшим годом, […]

card__image

Готов ли бизнес противостоять кибератакам?

В 2020 году уровень киберпреступности вырос на 600% из-за пандемии. В 2021 году программы-вымогатели стали проблемой национальной безопасности во многих странах. Главный вопрос, что же могут предпринять компании для защиты своей прибыли, данных и душевного спокойствия? Прежде всего важно защитить бизнес ещё до начала атаки. Ведь вопрос не в том, подвергнетесь ли вы атаке, а […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *