1

Как хакеры читают ваши SMS и обходят защиту 2FA?

Для безопасного доступа к онлайн-сервисам сегодня недостаточно просто логина и сильного пароля. Недавнее исследование показало, что более 80% всех взломов, связанных с хакерскими атаками, происходят из-за компрометации и слабых учетных данных. Поэтому внедрение двухфакторной аутентификации (2FA) стало необходимостью. Она обеспечивает дополнительный уровень безопасности. Согласно данным, пользователи, включившие 2FA, блокируют около 99,9% автоматизированных атак. Но не стоит терять бдительность.

Как и в случае с любым хорошим решением в области кибербезопасности, злоумышленники рано или поздно придумывают способы его обойти. 2FA не стала исключением! Обойти её можно с помощью одноразовых кодов, которые отправляют в виде SMS на смартфон пользователя. Тем не менее, зная, что хакеры могут использовать некоторые приложения, чтобы «зеркалить» ваши сообщения себе, многие важные онлайн-сервисы по-прежнему отправляют одноразовые коды по SMS.

В чем же проблема с SMS?

Думаете, известные компании, такие как Microsoft, призывают пользователей отказаться от решений 2FA, использующих SMS и голосовые звонки, просто так? SMS известны своей печально низкой безопасностью, что делает их открытыми для множества различных атак. Например, можно подменить SIM-карту.

Также одноразовые коды можно взломать с помощью легкодоступных инструментов, используя технику обратного прокси. Программа перехватывает связь между настоящим сервисом и жертвой, отслеживает и записывает взаимодействие жертвы с сервисом, включая любые учетные данные, которые она может использовать.

В дополнение к этому хакер может установить зловредные приложения через Google Play Store на ваше устройство Android. Как? Если злоумышленник имеет доступ к вашим учетным данным и сумеет войти в ваш аккаунт Google Play на ноутбуке, он сможет автоматически установить любое приложение на ваш смартфон. А дальше дело за малым. После установки приложения злоумышленник может применить простые методы социальной инженерии, чтобы убедить пользователя включить разрешения, необходимые якобы для нормальной работы приложения.

Есть ли альтернатива?

Чтобы чувствовать себя защищенным в Интернете, необходимо сначала проверить, надежна ли ваша первая линия обороны. Обратите внимание на свой пароль, не скомпрометирован ли он. Существует ряд программ безопасности, которые позволяют это сделать. Например, введите номер или почту на сайте haveibeenpwned.com.

Если это возможно, откажитесь от использования SMS в качестве метода 2FA. Вместо этого вы можете использовать одноразовые коды на основе приложений, например, через Google Authenticator. В этом случае код генерируется в приложении Google Authenticator на вашем устройстве, а не отправляется вам. Однако и такой подход также может быть скомпрометирован хакерами, использующими некоторые сложные вредоносные программы. Лучшей альтернативой будет использование специальных аппаратных устройств, таких как YubiKey.

 

Это небольшие USB-устройства, которые обеспечивают упрощенный способ включения 2FA в различных службах. Такие физические устройства необходимо подключать или подносить близко к гаджету для входа в систему в рамках 2FA.  Это снижает риски, связанные с видимыми одноразовыми кодами, такими как коды, отправляемые по SMS.

Поставщикам услуг, разработчикам и исследователям тоже стоит продолжить работу над созданием более доступных и безопасных методов аутентификации. Например, внедрять многофакторную аутентификацию, где одновременно используются несколько методов аутентификации, которые комбинируются по мере необходимости.

 

Источник: The conversation

Related Posts

card__image

New information security regulation for financial institutions — DORA

Извините, этот текст доступен только на “en” и “ua”. On January 17, 2025, the Digital Operational Resilience Act (Regulation (EU) 2022/2554) or DORA (Digital Operational Resilience Act) entered into force. The DORA focuses on information and communications technology (ICT) risk management by introducing strict rules for ICT risk management, incident reporting, operational resilience testing, and […]

card__image

Secure by Design: From Concept to Cybersecurity Imperative in 2025

Извините, этот текст доступен только на “en” и “ua”. In a rapidly evolving digital landscape, the Secure by Design (SbD) philosophy is proving strategically essential and measurably effective. A report from Secure Code Warrior, analyzing data from 600 enterprise customers over nine years, found that large organizations that train developers in secure-by-design practices can reduce […]

card__image

Zero-Day Vulnerabilities: Unseen Threats and Their Impact

Извините, этот текст доступен только на “en” и “ua”. The ultimate guide to zero-day vulnerabilities and their effects in 2025 starts with a clear truth: zero-day vulnerabilities rank among the most severe dangers in the modern digital landscape.   A zero-day vulnerability  — flaws exploited before patches are available. This makes them incredibly challenging to […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *