Clau per emportar
- Els pirates informàtics poden robar codis d'autenticació multifactor (MFA) basats en el telèfon, diuen els experts.
- S'han enganyat a les companyies telefòniques perquè transfereixin números de telèfon per permetre als delinqüents obtenir els codis.
- Una manera senzilla i de baix cost d'augmentar la seguretat és utilitzar l'aplicació d'autenticació al telèfon.
Per mantenir-se a salvo dels pirates informàtics, deixeu d'utilitzar codis d'autenticació multifactor (MFA) basats en el telèfon enviats mitjançant SMS i trucades de veu, escriu un expert en seguretat en una nova anàlisi.
Els codis de telèfon són vulnerables a la intercepció per part dels pirates informàtics, va escriure Alex Weinert, director de seguretat d'identitat de Microsoft, en una publicació recent al bloc. Segons els observadors, els codis basats en text són millors que res. Però els usuaris haurien de substituir l'autenticació basada en telèfon per aplicacions i claus de seguretat.
"Aquests mecanismes es basen en xarxes telefòniques de commutació pública (PSTN) i crec que són els mètodes MFA menys segurs disponibles avui dia", va escriure.
"Aquesta bretxa només s'ampliarà a mesura que l'adopció de l'MFA augmenti l'interès dels atacants a trencar aquests mètodes i els autenticadors creats específicament amplien els seus avantatges de seguretat i usabilitat. Planifiqueu el vostre pas a una autenticació forta sense contrasenya ara: l'aplicació d'autenticació proporciona una aplicació immediata i opció en evolució."
MFA és un mètode de seguretat en què un usuari d'ordinador té accés a un lloc web o aplicació només després de presentar amb èxit dues o més proves a un mecanisme d'autenticació. Aquests codis s'envien sovint per telèfon.
Els pirates informàtics pretenen ser tu
Hi ha maneres en què els pirates informàtics poden accedir als codis de telèfon, diuen els observadors. En alguns casos, les companyies telefòniques han estat enganyades perquè transfereixin números de telèfon per permetre als pirates informàtics obtenir els codis.
"Els telèfons són tan insegurs que els usuaris sovint rebran trucades d'estafa des de països del tercer món mentre mostren els números de telèfon regionals nord-americans", va dir Matthew Rogers, CISO del proveïdor de núvol Syntax, en una entrevista per correu electrònic. "Els telèfons també estan subjectes a atacs d'intercanvi de SIM, que poden evitar fàcilment l'MFA mitjançant missatges de text."
Recentment, el popular presentador de ràdio de la BBC Jeremy Vine va ser víctima d'un atac que va provocar la penetració del seu compte de WhatsApp.
"L'atac que va enganyar amb èxit a Vine comença amb la recepció d'un missatge SMS aparentment no sol·licitat que conté el codi d'autenticació de dos factors al seu compte", va dir Ray Walsh, expert en privadesa de dades del lloc de revisió de privadesa ProPrivacy, a una entrevista per correu electrònic.
"Després d'això, la víctima rep un missatge directe d'un contacte que afirma haver-li enviat un codi per accident. Finalment, se li demana que reenviï el codi al pirata informàtic, que li dóna accés instantani al compte de la víctima.."
El programari també pot ser un problema. "A causa de les vulnerabilitats del dispositiu, l'MFA podria ser escoltat per una aplicació amb fuites o un dispositiu compromès que l'usuari no coneix", va dir George Freeman, consultor de solucions del grup governamental de LexisNexis Risk Solutions, en una entrevista per correu electrònic..
No abandonis el teu telèfon encara
No obstant això, l'MFA basat en text és millor que res, diuen els experts. "L'MFA és una de les eines més potents que té un usuari per protegir els seus comptes", va dir Mark Nunnikhoven, vicepresident d'investigació al núvol de l'empresa de ciberseguretat Trend Micro, en una entrevista per correu electrònic..
"S'hauria d'activar sempre que sigui possible. Si teniu l'opció, utilitzeu una aplicació d'autenticació al vostre telèfon intel·ligent, però al final, només assegureu-vos que l'MFA estigui habilitat en qualsevol forma."
Una manera senzilla i de baix cost d'augmentar la seguretat és utilitzar l'aplicació d'autenticació al telèfon, va dir Peter Robert, cofundador i director general de l'empresa de TI Expert Computer Solutions, en una entrevista per correu electrònic.
"Si teniu el pressupost i considereu la seguretat crítica, us animaria a avaluar les claus MFA basades en maquinari", va afegir. "Per a les empreses i persones que estan preocupades per la seguretat, també recomanaria una web fosca. servei de supervisió per informar-vos si la vostra informació personal està disponible i a la venda a la web fosca."
Per a un enfocament més d'estil Mission Impossible, el nou estàndard FIDO2 amb Webauthn utilitza l'autenticació biomètrica, diu Freeman. "L'usuari es connecta a un lloc financer, introdueix un nom d'usuari, el lloc web es posa en contacte amb el dispositiu mòbil de l'usuari, una aplicació segura al telèfon sol·licita a l'usuari la seva identificació facial o empremta digital. Quan té èxit, s'autentica. la sessió web", va dir.
Amb tantes amenaces possibles, pot ser que sigui el moment de començar a buscar maneres més segures d'iniciar sessió als llocs web que emmagatzemen informació personal. Els pirates informàtics podrien estar a l'aguait al web esperant interceptar la vostra contrasenya.