Key takeaways
- Hackare kan stjäla telefonbaserade MFA-koder (multi-factor authentication), säger experter.
- Telefonbolag har blivit lurade att överföra telefonnummer för att kriminella ska kunna få koderna.
- Ett enkelt, billigt sätt att öka säkerheten är att använda autentiseringsappen på din telefon.
För att skydda dig mot hackare, sluta använda telefonbaserade multi-factor authentication-koder (MFA) som skickas via SMS och röstsamtal, skriver en toppsäkerhetsexpert i en ny analys.
Telefonkoder är sårbara för avlyssning av hackare, skrev Alex Weinert, chef för identitetssäkerhet på Microsoft, i ett nyligen blogginlägg. Textbaserade koder är bättre än ingenting, säger observatörer. Men användare bör ersätta telefonbaserad autentisering med appar och säkerhetsnycklar.
"Dessa mekanismer är baserade på offentligt kopplade telefonnät (PSTN), och jag tror att de är de minst säkra av de MFA-metoder som finns tillgängliga idag", skrev han.
"Det gapet kommer bara att öka när MFA-antagande ökar angriparnas intresse för att bryta mot dessa metoder och specialbyggda autentiseringsenheter utökar deras säkerhets- och användbarhetsfördelar. Planera din övergång till lösenordslös stark autentisering nu – autentiseringsappen ger en omedelbar och utvecklande alternativ."
MFA är en säkerhetsmetod där en datoranvändare endast ges åtkomst till en webbplats eller applikation efter att ha presenterat två eller flera bevis för en autentiseringsmekanism. Dessa koder skickas ofta per telefon.
Hackare låtsas vara du
Det finns sätt att hackare kan få tillgång till telefonkoder, menar observatörer. I vissa fall har telefonbolag blivit lurade att överföra telefonnummer för att låta hackare få koderna.
"Telefoner är så osäkra att användare ofta kommer att få bluffsamtal dirigerade till dem från länder i tredje världen samtidigt som de visar amerikanska regionala telefonnummer", sa Matthew Rogers, CISO för molnleverantören Syntax, i en e-postintervju. "Telefoner är också föremål för SIM-bytesattacker, som enkelt kan kringgå MFA via textmeddelanden."
Nyligen utsattes den populära BBC-radiovärden Jeremy Vine för en attack som ledde till att hans WhatsApp-konto penetrerades.
"Attacken som framgångsrikt lurade Vine börjar med mottagandet av ett till synes oönskat SMS-meddelande som innehåller tvåfaktorsautentiseringskoden till deras konto", sa Ray Walsh, datasekretessexpert på webbplatsen för sekretessgranskning ProPrivacy, i en e-postintervju.
"Därefter får offret ett direktmeddelande från en kontakt som påstår sig ha skickat en kod till dem av misstag. Slutligen uppmanas offret att vidarebefordra koden till hackaren, vilket ger dem omedelbar tillgång till offrets konto."
Programvara kan också vara ett problem. "På grund av enhetssårbarheter kan MFA potentiellt avlyssnas av en läckande app eller en komprometterad enhet som användaren inte känner till", sa George Freeman, lösningskonsult vid LexisNexis Risk Solutions regeringsgrupp, i en e-postintervju.
Ge inte upp din telefon än
Textbaserad MFA är dock bättre än ingenting, säger experter. "MFA är ett av de mest kraftfulla verktygen en användare har för att skydda sina konton", sa Mark Nunnikhoven, vice vd för molnforskning på cybersäkerhetsföretaget Trend Micro, i en e-postintervju.
"Det bör aktiveras när det är möjligt. Om du har valet, använd en autentiseringsapp på din smartphone - men i slutändan, se bara till att MFA är aktiverat i någon form."
Ett enkelt, billigt sätt att öka säkerheten är att använda autentiseringsappen på din telefon, sa Peter Robert, medgrundare och VD för IT-företaget Expert Computer Solutions, i en e-postintervju.
“Om du har budgeten och anser att säkerheten är kritisk vill jag uppmuntra dig att utvärdera hårdvarubaserade MFA-nycklar", tillade han. "För företag och privatpersoner som är oroliga för säkerheten skulle jag också rekommendera en mörk webb övervakningstjänst för att meddela dig om personlig information om dig är tillgänglig och till försäljning på den mörka webben."
För en mer Mission Impossible-stil använder den nya standarden FIDO2 med Webauthn biometrisk autentisering, säger Freeman. "Användaren ansluter till en finansiell webbplats, anger ett användarnamn, webbplatsen kontaktar [användarens] mobila enhet, en säker app på [telefonen] ber sedan användaren om [sin] ansikts-ID eller fingeravtryck. När det lyckas autentiseras den sedan webbsessionen, sa han.
Med så många möjliga hot kan det vara dags att börja leta efter säkrare sätt att logga in på webbplatser som lagrar personlig information. Hackare kan lurar på webben som bara väntar på att fånga upp ditt lösenord.
