Негизги алып салуулар
- Хакерлер телефонго негизделген көп факторлуу аутентификациянын (MFA) коддорун уурдашы мүмкүн дейт эксперттер.
- Телефон компаниялары кылмышкерлерге коддорду алуу үчүн телефон номерлерин өткөрүп берүүгө алданып калышты.
- Коопсуздукту жогорулатуунун жөнөкөй, арзан жолу – телефонуңуздагы аутентификация колдонмосун колдонуу.
Хакерлерден коопсуз болуу үчүн SMS жана үн чалуулары аркылуу жөнөтүлгөн телефонго негизделген көп факторлуу аутентификация (МФА) коддорун колдонууну токтотуңуз, деп жазат коопсуздук боюнча мыкты адис жаңы анализинде.
Телефон коддору хакерлер тарабынан тыныгууга дуушар болушат, деп жазган Microsoftтун идентификациялык коопсуздук боюнча директору Алекс Вайнерт акыркы блогунда. Текстке негизделген коддор жоктон жакшы, дешет байкоочулар. Бирок колдонуучулар телефонго негизделген аутентификацияны колдонмолор жана коопсуздук ачкычтары менен алмаштыруусу керек.
"Бул механизмдер жалпыга ачык которулган телефон тармактарына (PSTN) негизделген жана мен алар ТИМдин бүгүнкү күндө жеткиликтүү ыкмаларынын эң коопсузу деп эсептейм "деп жазды ал.
"Бул ажырым ТИМ кабыл алуу чабуулчулардын бул ыкмаларды бузууга кызыгуусун арттырганда гана кеңейет жана атайын түзүлгөн аутентификаторлор коопсуздук жана колдонуу артыкчылыктарын кеңейтет. Сырсөзсүз күчтүү аутентификацияга өтүүнү азыр пландаштырыңыз – аныктыгын текшергич колдонмосу дароо жана өнүгүп жаткан опция."
MFA – бул компьютер колдонуучусуна аутентификация механизмине эки же андан көп далилдерди ийгиликтүү тапшыргандан кийин гана веб-сайтка же тиркемеге кирүү мүмкүнчүлүгү берилген коопсуздук ыкмасы. Бул коддор көбүнчө телефон аркылуу жөнөтүлөт.
Хакерлер сиздей түр көрсөтүшөт
Хакерлердин телефон коддоруна кирүү жолдору бар, дешет байкоочулар. Кээ бир учурларда, телефон компаниялары хакерлерге коддорду алуу үчүн телефон номерлерин өткөрүп берүү үчүн алданып калышкан.
"Телефондор ушунчалык кооптуу болгондуктан, колдонуучулар Американын аймактык телефон номерлерин көрсөтүп жатып, үчүнчү дүйнө өлкөлөрүнөн аларга шылуун чалуулар көп болот ", - деди Мэттью Роджерс, CISO, булут провайдери Syntax электрондук почта менен болгон маегинде. "Телефондор SIM-карталарды алмаштыруу чабуулдарына да дуушар болушат, алар ТИМди SMS аркылуу оңой эле айланып өтүшөт."
Жакында популярдуу Би-Би-Си радиосунун алып баруучусу Жереми Вайн кол салуудан жабыркап, анын WhatsApp аккаунтуна кирип кеткен.
"Vine'ди ийгиликтүү алдап кеткен чабуул алардын аккаунтуна эки факторлуу аутентификация кодун камтыган күтүлбөгөн SMS билдирүүнү алуу менен башталат ", - деди ProPrivacy купуялыкты карап чыгуу сайтынын маалымат купуялыгы боюнча эксперти Рэй Уолш. электрондук интервью.
"Андан кийин жабырлануучу кокусунан код жөнөткөнүн ырастаган байланыштан түз билдирүү алат. Акырында, жабырлануучудан хакерге кодду жөнөтүүсү суралат, бул аларга жабырлануучунун аккаунтуна заматта кирүү мүмкүнчүлүгүн берет.."
Программалык камсыздоо да көйгөй болушу мүмкүн. "Түзмөктүн чабалдыгынан улам, ТИМди колдонуучу билбеген тиркеме же бузулган түзмөк тыңшап калышы мүмкүн", - деди Джордж Фриман, LexisNexis Risk Solutions өкмөттүк тобунун чечимдер боюнча консультанты электрондук почта аркылуу берген маегинде.
Телефонуңузду дагы эле таштабаңыз
Бирок, текстке негизделген ТИМ жоктон жакшы, дешет эксперттер. Марк Нунниховен, киберкоопсуздук боюнча Trend Micro компаниясынын булут боюнча изилдөөлөр боюнча вице-президенти электрондук почта аркылуу берген маегинде "Тышкы иштер министрлиги колдонуучу өз аккаунттарын коргоо үчүн эң күчтүү куралдардын бири болуп саналат" деди.
"Аны мүмкүн болушунча иштетүү керек. Эгер тандооңуз болсо, смартфонуңуздагы аутентификация колдонмосун колдонуңуз, бирок аягында ТИМ каалаган формада иштетилгенин текшериңиз."
Коопсуздукту жогорулатуунун жөнөкөй, арзан ыкмасы – бул телефонуңуздагы аутентификация колдонмосун колдонуу, деп билдирди Expert Computer Solutions IT компаниясынын негиздөөчүсү жана башкы директору Питер Роберт электрондук почта менен болгон маегинде.
“Эгерде бюджетиңиз болсо жана коопсуздукту маанилүү деп эсептесеңиз, мен сизге аппараттык жабдыкка негизделген ТИМ ачкычтарын баалоого чакырат элем, - деп кошумчалады ал. "Коопсуздукка тынчсызданган ишканалар жана жеке адамдар үчүн мен караңгы желени сунуштайм" мониторинг кызматы сиз жөнүндө жеке маалымат жеткиликтүү же карангы желеде сатылып жаткан же сатылбай турганын билдирүү үчүн."
Mission Impossible стилиндеги ыкма үчүн, Webauthn менен жаңы FIDO2 стандарты биометрикалык аутентификацияны колдонот, дейт Фриман. "Колдонуучу каржылык сайтка туташып, колдонуучунун атын киргизет, веб-сайт [колдонуучунун] мобилдик түзмөгү, [телефондогу] коопсуз колдонмосу менен байланышат, андан кийин колдонуучудан [анын] бетинин ID же манжа изин сурайт. Ийгиликтүү болгондо, ал аутентификацияланат. веб-сессия », - деди ал.
Мүмкүн болгон коркунучтар көп болгондуктан, жеке маалыматты сактаган веб-сайттарга кирүүнүн коопсуз жолдорун издеп баштоого убакыт келди. Хакерлер интернетте сырсөзүңүздү кармап алууну күтүп жатышкан болушу мүмкүн.
