მთავარი წაღებები
- ჰაკერებს შეუძლიათ მოიპარონ ტელეფონზე დაფუძნებული მრავალფაქტორიანი ავთენტიფიკაციის (MFA) კოდები, ამბობენ ექსპერტები.
- სატელეფონო კომპანიებს მოტყუებული აქვთ ტელეფონის ნომრების გადაცემა, რათა კრიმინალებს მიეცეთ კოდები.
- უსაფრთხოების გაზრდის მარტივი, იაფფასიანი გზა არის ავთენტიფიკატორის აპლიკაციის გამოყენება თქვენს ტელეფონზე.
ჰაკერებისგან დასაცავად, შეწყვიტეთ ტელეფონზე დაფუძნებული მრავალფაქტორიანი ავთენტიფიკაციის (MFA) კოდების გამოყენება, რომლებიც გაგზავნილია SMS-ით და ხმოვანი ზარებით, წერს უსაფრთხოების უმაღლესი ექსპერტი ახალ ანალიზში.
ტელეფონის კოდები დაუცველია ჰაკერების მიერ, დაწერა ალექს ვაინერტმა, Microsoft-ის პირადობის უსაფრთხოების დირექტორმა, ბოლო ბლოგ პოსტში. დამკვირვებლების თქმით, ტექსტზე დაფუძნებული კოდები არაფერზე უკეთესია. მაგრამ მომხმარებლებმა უნდა შეცვალონ ტელეფონზე დაფუძნებული ავტორიზაცია აპებითა და უსაფრთხოების გასაღებებით.
"ეს მექანიზმები დაფუძნებულია საჯაროდ ჩართულ სატელეფონო ქსელებზე (PSTN) და მე მჯერა, რომ ისინი დღეს ყველაზე ნაკლებად უსაფრთხოა MFA მეთოდებს შორის," წერს ის.
"ეს უფსკრული მხოლოდ გაფართოვდება, რადგან საგარეო საქმეთა სამინისტროს მიღება გაზრდის თავდამსხმელთა ინტერესს ამ მეთოდების დარღვევის მიმართ და დანიშნულებისამებრ შექმნილი ავთენტიფიკატორები აფართოებენ მათ უსაფრთხოებასა და გამოყენებადობის უპირატესობებს. დაგეგმეთ თქვენი გადასვლა პაროლის გარეშე ძლიერ ავტორიზაციაზე ახლა - ავთენტიფიკატორის აპი უზრუნველყოფს დაუყოვნებლივ და განვითარებადი ვარიანტი."
MFA არის უსაფრთხოების მეთოდი, რომლის დროსაც კომპიუტერის მომხმარებელს ეძლევა წვდომა ვებსაიტზე ან აპლიკაციაზე მხოლოდ ავტორიზაციის მექანიზმში ორი ან მეტი მტკიცებულების წარმატებით წარდგენის შემდეგ. ეს კოდები ხშირად იგზავნება ტელეფონით.
ჰაკერები თავს იჩენენ თავს
არსებობს გზები, რომ ჰაკერებს შეუძლიათ მიიღონ წვდომა ტელეფონის კოდებზე, თუმცა, დამკვირვებლების თქმით. ზოგიერთ შემთხვევაში, სატელეფონო კომპანიებს მოტყუებული აქვთ ტელეფონის ნომრების გადაცემა, რათა ჰაკერებს მიეღოთ კოდები.
"ტელეფონები იმდენად დაუცველია, რომ მომხმარებლები ხშირად მიიღებენ თაღლითურ ზარებს მესამე სამყაროს ქვეყნებიდან, როდესაც აჩვენებენ ამერიკის რეგიონალურ ტელეფონის ნომრებს", - თქვა მეთიუ როჯერსმა, ღრუბლოვანი პროვაიდერის Syntax-ის CISO. "ტელეფონები ასევე ექვემდებარება SIM-ის შეცვლას, რაც ადვილად აცილებს საგარეო საქმეთა სამინისტროს ტექსტური შეტყობინების საშუალებით."
ცოტა ხნის წინ, პოპულარული BBC რადიო წამყვანი ჯერემი ვაინი გახდა თავდასხმის მსხვერპლი, რამაც გამოიწვია მისი WhatsApp ანგარიშის შეღწევა.
"შეტევა, რომელმაც წარმატებით მოატყუა ვაინი, იწყება ერთი შეხედვით არასასურველი SMS შეტყობინების მიღებით, რომელიც შეიცავს ორფაქტორიან ავთენტიფიკაციის კოდს მათ ანგარიშზე", - თქვა რეი უოლშმა, მონაცემთა კონფიდენციალურობის ექსპერტმა კონფიდენციალურობის მიმოხილვის საიტზე ProPrivacy. ელ.ფოსტის ინტერვიუ.
"შემდეგ, მსხვერპლი იღებს პირდაპირ შეტყობინებას კონტაქტისგან, რომელიც ამტკიცებს, რომ მას შემთხვევით გაუგზავნა კოდი. ბოლოს, მსხვერპლს სთხოვენ ჰაკერს გადაუგზავნოს კოდი, რომელიც აძლევს მას მყისიერ წვდომას მსხვერპლის ანგარიშზე."
პროგრამული უზრუნველყოფა ასევე შეიძლება იყოს პრობლემა. „მოწყობილობის დაუცველობის გამო, MFA-ს პოტენციურად მოსმენა შეიძლება გაჟონავებული აპი ან კომპრომეტირებული მოწყობილობა, რომლის შესახებაც მომხმარებელმა არ იცის“, - თქვა ჯორჯ ფრიმენმა, LexisNexis Risk Solutions-ის სამთავრობო ჯგუფის გადაწყვეტილებების კონსულტანტმა..
ჯერ არ დატოვოთ თქვენი ტელეფონი
თუმცა, ტექსტზე დაფუძნებული საგარეო საქმეთა სამინისტრო უკეთესია, ვიდრე არაფერი, ამბობენ ექსპერტები. „MFA არის ერთ-ერთი ყველაზე ძლიერი ინსტრუმენტი, რომელიც მომხმარებელს აქვს თავისი ანგარიშების დასაცავად“, - თქვა მარკ ნუნიხოვენმა, კიბერუსაფრთხოების კომპანია Trend Micro-ის ღრუბლოვანი კვლევის ვიცე-პრეზიდენტმა ელექტრონული ფოსტის ინტერვიუში.
"ის უნდა ჩართოთ შეძლებისდაგვარად. თუ გაქვთ არჩევანი, გამოიყენეთ ავტორიზაციის აპი თქვენს სმარტფონზე - მაგრამ ბოლოს, უბრალოდ დარწმუნდით, რომ MFA ჩართულია ნებისმიერი ფორმით."
უსაფრთხოების გაზრდის მარტივი, დაბალფასიანი გზა არის ავთენტიფიკატორის აპლიკაციის გამოყენება თქვენს ტელეფონზე, თქვა პიტერ რობერტმა, IT კომპანიის Expert Computer Solutions-ის თანადამფუძნებელმა და აღმასრულებელმა დირექტორმა ელექტრონული ფოსტის ინტერვიუში.
„თუ გაქვთ ბიუჯეტი და თვლით უსაფრთხოებას კრიტიკულად, მე მოგიწოდებთ შეაფასოთ აპარატურაზე დაფუძნებული MFA გასაღებები“, დასძინა მან. „ბიზნესებისთვის და პირებისთვის, რომლებიც შეშფოთებულნი არიან უსაფრთხოებაზე, მე ასევე ვურჩევდი ბნელ ქსელს. მონიტორინგის სერვისი, რომელიც გაცნობებთ, არის თუ არა თქვენს შესახებ პერსონალური ინფორმაცია ხელმისაწვდომი და გასაყიდად ბნელ ქსელში."
უფრო Mission Impossible-ის სტილის მიდგომისთვის, ახალი სტანდარტი FIDO2 Webauthn-თან ერთად იყენებს ბიომეტრიულ ავთენტიფიკაციას, ამბობს ფრიმენი. „მომხმარებელი უერთდება ფინანსურ საიტს, შეიყვანს მომხმარებლის სახელს, ვებსაიტი დაუკავშირდება [მომხმარებლის] მობილურ მოწყობილობას, უსაფრთხო აპლიკაციას ტელეფონზე, შემდეგ სთხოვს მომხმარებელს სახის პირადობის მოწმობა ან თითის ანაბეჭდი. წარმატების შემთხვევაში, ის ავთენტიფიცირებულია. ვებ სესიაზე“, - განაცხადა მან.
ამდენი შესაძლო საფრთხის გამო, შესაძლოა დროა დაიწყოთ უფრო უსაფრთხო გზების ძებნა ვებსაიტებზე, რომლებიც ინახავს პერსონალურ ინფორმაციას. ჰაკერები შეიძლება იმალებოდნენ ინტერნეტში, უბრალოდ ელოდებოდნენ თქვენი პაროლის ჩაგდებას.
