ซื้อกลับบ้านที่สำคัญ
- แฮกเกอร์สามารถขโมยรหัสการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ทางโทรศัพท์ได้ ผู้เชี่ยวชาญกล่าว
- บริษัทโทรศัพท์ถูกหลอกให้โอนหมายเลขโทรศัพท์เพื่อให้อาชญากรได้รับรหัส
- วิธีที่ง่ายและราคาประหยัดในการเพิ่มความปลอดภัยคือการใช้แอปยืนยันตัวตนบนโทรศัพท์ของคุณ
เพื่อความปลอดภัยจากแฮกเกอร์ หยุดใช้รหัสการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ทางโทรศัพท์ที่ส่งผ่าน SMS และการโทร ผู้เชี่ยวชาญด้านความปลอดภัยชั้นนำเขียนบทวิเคราะห์ใหม่
รหัสโทรศัพท์เสี่ยงต่อการถูกแฮ็กเกอร์สกัดกั้น โดย Alex Weinert ผู้อำนวยการด้านความปลอดภัยของข้อมูลประจำตัวที่ Microsoft เขียนไว้ในบล็อกโพสต์ล่าสุด ผู้สังเกตการณ์กล่าวว่ารหัสแบบข้อความดีกว่าไม่มีอะไรเลย แต่ผู้ใช้ควรแทนที่การตรวจสอบสิทธิ์ทางโทรศัพท์ด้วยแอปและคีย์ความปลอดภัย
"กลไกเหล่านี้ใช้เครือข่ายโทรศัพท์สาธารณะ (PSTN) และฉันเชื่อว่าวิธีการเหล่านี้ปลอดภัยน้อยที่สุดสำหรับวิธีการ MFA ที่มีอยู่ในปัจจุบัน" เขาเขียน
"ช่องว่างนั้นจะกว้างขึ้นเมื่อการนำ MFA มาใช้เพิ่มความสนใจของผู้โจมตีในการทำลายวิธีการเหล่านี้ และตัวตรวจสอบความถูกต้องที่สร้างขึ้นตามวัตถุประสงค์จะขยายข้อได้เปรียบด้านความปลอดภัยและความสามารถในการใช้งาน วางแผนการย้ายไปยังการตรวจสอบสิทธิ์ที่เข้มงวดโดยไม่ต้องใช้รหัสผ่านตอนนี้ แอปตรวจสอบความถูกต้องจะให้บริการทันทีและ ตัวเลือกการพัฒนา."
MFA คือวิธีการรักษาความปลอดภัยที่ผู้ใช้คอมพิวเตอร์ได้รับอนุญาตให้เข้าถึงเว็บไซต์หรือแอปพลิเคชันหลังจากนำเสนอหลักฐานสองชิ้นขึ้นไปต่อกลไกการตรวจสอบสิทธิ์ได้สำเร็จเท่านั้น รหัสเหล่านี้มักจะส่งทางโทรศัพท์
แฮกเกอร์แกล้งทำเป็นคุณ
แฮ็กเกอร์สามารถเข้าถึงรหัสโทรศัพท์ได้หลายวิธี อย่างไรก็ตาม ผู้สังเกตการณ์กล่าว ในบางกรณี บริษัทโทรศัพท์ถูกหลอกให้โอนหมายเลขโทรศัพท์เพื่อให้แฮกเกอร์ได้รับรหัส
"โทรศัพท์ไม่ปลอดภัยมากจนผู้ใช้มักจะได้รับสายหลอกลวงจากประเทศโลกที่สามในขณะที่แสดงหมายเลขโทรศัพท์ในภูมิภาคของอเมริกา" Matthew Rogers CISO ของ Syntax ผู้ให้บริการคลาวด์กล่าวในการสัมภาษณ์ทางอีเมล "โทรศัพท์ยังถูกโจมตีด้วยการเปลี่ยนซิม ซึ่งสามารถเลี่ยงผ่าน MFA ผ่านข้อความได้อย่างง่ายดาย"
เมื่อเร็วๆ นี้ Jeremy Vine พิธีกรรายการวิทยุชื่อดังของ BBC ตกเป็นเหยื่อของการโจมตีที่นำไปสู่การเจาะบัญชี WhatsApp ของเขา
"การโจมตีที่หลอกให้ Vine ประสบความสำเร็จเริ่มต้นด้วยการรับข้อความ SMS ที่ดูเหมือนไม่พึงประสงค์ซึ่งมีรหัสการตรวจสอบสิทธิ์แบบสองปัจจัยไปยังบัญชีของพวกเขา" Ray Walsh ผู้เชี่ยวชาญด้านความเป็นส่วนตัวของข้อมูลในเว็บไซต์ตรวจสอบความเป็นส่วนตัว ProPrivacy กล่าวใน สัมภาษณ์ทางอีเมล
"หลังจากนั้น ผู้เสียหายได้รับข้อความตรงจากผู้ติดต่อที่อ้างว่าส่งรหัสให้โดยไม่ได้ตั้งใจ สุดท้าย เหยื่อจะถูกขอให้ส่งต่อรหัสให้แฮ็กเกอร์ ซึ่งทำให้เข้าถึงบัญชีของเหยื่อได้ทันที."
ซอฟต์แวร์ก็เป็นปัญหาได้เช่นกัน "เนื่องจากช่องโหว่ของอุปกรณ์ MFA อาจถูกดักฟังโดยแอปรั่วหรืออุปกรณ์ที่ถูกบุกรุกซึ่งผู้ใช้ไม่ทราบ" George Freeman ที่ปรึกษาด้านโซลูชันของกลุ่ม LexisNexis Risk Solutions กล่าวในการสัมภาษณ์ทางอีเมล
อย่าเพิ่งถอดโทรศัพท์
อย่างไรก็ตาม MFA แบบข้อความก็ยังดีกว่าไม่ทำอะไรเลย ผู้เชี่ยวชาญกล่าว "MFA เป็นหนึ่งในเครื่องมือที่ทรงพลังที่สุดที่ผู้ใช้ต้องมีในการปกป้องบัญชีของตน" Mark Nunnikhoven รองประธานฝ่ายวิจัยระบบคลาวด์ของบริษัท Trend Micro กล่าวในการสัมภาษณ์ทางอีเมล
"ควรเปิดใช้งานทุกครั้งที่ทำได้ หากคุณมีตัวเลือก ให้ใช้แอปตรวจสอบสิทธิ์บนสมาร์ทโฟนของคุณ แต่สุดท้ายแล้ว ตรวจสอบให้แน่ใจว่าเปิดใช้งาน MFA ในรูปแบบใดก็ได้"
วิธีที่ง่ายและต้นทุนต่ำในการเพิ่มความปลอดภัยคือการใช้แอพรับรองความถูกต้องบนโทรศัพท์ของคุณ Peter Robert ผู้ร่วมก่อตั้งและ CEO ของบริษัท IT Expert Computer Solutions กล่าวในการสัมภาษณ์ทางอีเมล
“หากคุณมีงบประมาณและคิดว่าการรักษาความปลอดภัยมีความสำคัญ เราขอแนะนำให้คุณประเมินคีย์ MFA ที่ใช้ฮาร์ดแวร์” เขากล่าวเสริม "สำหรับธุรกิจและบุคคลที่กังวลเกี่ยวกับความปลอดภัย ฉันยังขอแนะนำเว็บที่มืดมิด บริการตรวจสอบเพื่อแจ้งให้คุณทราบหากมีและขายข้อมูลส่วนบุคคลเกี่ยวกับคุณในเว็บมืด"
สำหรับแนวทางสไตล์ Mission Impossible มากขึ้น FIDO2 มาตรฐานใหม่ที่มี Webauthn ใช้การพิสูจน์ตัวตนแบบไบโอเมตริกซ์ Freeman กล่าว "ผู้ใช้เชื่อมต่อกับเว็บไซต์ทางการเงิน ป้อนชื่อผู้ใช้ เว็บไซต์จะติดต่อกับอุปกรณ์มือถือของผู้ใช้ [the] แอปที่ปลอดภัยบนโทรศัพท์ [the] จากนั้นให้ผู้ใช้ระบุ ID ใบหน้าหรือลายนิ้วมือ [ของพวกเขา] เมื่อสำเร็จ ระบบจะตรวจสอบสิทธิ์ เว็บเซสชัน” เขากล่าว
ด้วยภัยคุกคามที่เป็นไปได้มากมาย อาจถึงเวลาที่จะเริ่มมองหาวิธีที่ปลอดภัยยิ่งขึ้นในการเข้าสู่ระบบเว็บไซต์ที่จัดเก็บข้อมูลส่วนบุคคล แฮกเกอร์อาจซุ่มอยู่บนเว็บเพื่อรอสกัดกั้นรหัสผ่านของคุณ