Чи можу я все ще зламатися з увімкненим 2FA?

Кібербезпека — це ніби гра в халепу. Як тільки хороші хлопці припиняють один тип нападу, з’являється інший.

Імена користувачів та паролі колись були достатньо хорошими, щоб захистити обліковий запис. Але незабаром кіберзлочинці придумали, як це обійти.

Часто вони застосовують "атаки грубої сили", бомбардуючи акаунт користувача різними комбінаціями паролів та входу, намагаючись відгадати правильний.

Для боротьби з такими атаками було додано другий рівень безпеки у підході, відомому як двофакторна автентифікація, або 2FA. Зараз воно широко поширене, але чи залишає 2FA також місце для лазівки, які можуть використати кіберзлочинці?

2FA через текстове повідомлення

Існують різні типи 2FA. Найпоширенішим методом є надсилання одноразового коду як SMS-повідомлення на ваш телефон, яке ви вводите після відповідного запиту з веб-сайту чи служби, до якої ви намагаєтесь отримати доступ.

Більшість з нас знайомі з цим методом, оскільки його підтримують великі платформи соціальних медіа. Однак, хоча це може здатися досить безпечним, це не обов’язково.

Відомо, що хакери змушують операторів мобільних телефонів (таких як Telstra або Optus) переносити номер телефону жертви на власний телефон.

Прикидаючись передбачуваною жертвою, хакер зв’язується з перевізником, розповідаючи про втрату телефону, просячи надіслати їм нову SIM-карту з номером жертви. Будь-який код автентифікації, надісланий на цей номер, надходить безпосередньо до хакера, надаючи їм доступ до облікових записів жертви.

Цей метод називається SIM-обміном. Це, мабуть, найпростіший з кількох типів шахрайства, який може обійти 2FA.

І хоча процеси перевірки перевізників на запити на SIM-карту вдосконалюються, грамотний обманщик може їх обійти.

Програми автентифікатора

Метод автентифікації безпечніший, ніж 2FA, за допомогою текстового повідомлення. Він працює за принципом, відомим як TOTP, або "одноразовий одноразовий пароль".

TOTP є більш безпечним, ніж SMS, оскільки код генерується на вашому пристрої, а не надсилається через мережу, де він може бути перехоплений.

Метод автентифікації використовує такі програми, як Google Authenticator, LastPass, 1Password, Microsoft Authenticator, Authy та Yubico.

Однак, хоча це безпечніше, ніж 2FA через SMS, є повідомлення про те, що хакери крадуть коди автентифікації зі смартфонів Android. Вони роблять це, обманюючи користувача на встановлення шкідливого програмного забезпечення (програмного забезпечення, призначеного для заподіяння шкоди), яке копіює та надсилає коди хакеру.

Операційну систему Android легше зламати, ніж iPhone iOS. IOS Apple є власною, а Android — з відкритим кодом, що полегшує встановлення шкідливих програм.

2FA з використанням унікальних для вас деталей

Біометричні методи — це ще одна форма 2FA. Сюди входять вхід за відбитками пальців, розпізнавання обличчя, сканування сітківки або райдужної оболонки та розпізнавання голосу. Біометрична ідентифікація стає популярною завдяки простоті використання.

Більшість смартфонів сьогодні можна розблокувати, поклавши палець на сканер або дозволивши камері відсканувати ваше обличчя — набагато швидше, ніж введення пароля або пароля.

Однак біометричні дані також можна зламати або з серверів, де вони зберігаються, або з програмного забезпечення, яке обробляє дані.

Одним із важливих випадків є минулорічне порушення даних Biostar 2, коли було зламано майже 28 мільйонів біометричних записів. BioStar 2 — це система безпеки, яка використовує технологію розпізнавання обличчя та відбитків пальців, щоб допомогти організаціям забезпечити доступ до будівель.

У біометричному розпізнаванні також можуть бути помилкові негативні та помилкові спрацьовування. Бруд на зчитувачі відбитків пальців або на пальці людини може призвести до помилкових негативів. Крім того, обличчя іноді можуть бути досить подібними, щоб обдурити системи розпізнавання обличчя.

Інший тип 2FA поставляється у формі питань особистої безпеки, таких як "в якому місті зустрілися ваші батьки?" або "як звали вашого першого вихованця?"

Тільки найрішучіший та винахідливий хакер зможе знайти відповіді на ці питання. Це малоймовірно, але все ж можливо, тим більше, що більшість із нас приймають загальнодоступні онлайн-профілі.

2FA залишається найкращою практикою

Незважаючи на все вищесказане, найбільшою вразливістю до злому все ще є людський фактор. Успішні хакери мають у своєму арсеналі вражаючий спектр психологічних прийомів.

Кібер-атака може бути ввічливим проханням, страшним попередженням, повідомленням нібито від друга чи колеги або інтригуючим посиланням "клікбейт" у електронному листі.

Найкращий спосіб захиститися від хакерів — це розробити здоровий скептицизм. Якщо ви ретельно перевіряєте веб-сайти та посилання перед натисканням, а також використовуєте 2FA, шанси на злом стають зникаючими.

Суть в тому, що 2FA ефективно захищає ваші рахунки. Однак намагайтеся уникати менш безпечного методу SMS, коли надається можливість.

Подібно до того, як грабіжники в реальному світі зосереджуються на будинках з низьким рівнем безпеки, хакери в Інтернеті шукають слабкі місця.

І хоча будь-який захід безпеки можна подолати з достатньою кількістю зусиль, хакер не зробить цю інвестицію, якщо він не здобуде чогось більшого.

Facebook Comments