25Aug

Evo kako napadač može zaobići vašu dva faktorska autentifikaciju

Sustavi provjere autentičnosti s dva faktora nisu sigurni kako izgledaju. Napadač zapravo ne treba vaš fizički autentifikacijski token ako može previdjeti vašu telefonsku tvrtku ili samu sigurnu uslugu da ih pusti.

Dodatna autentifikacija uvijek je korisna. Iako ništa ne nudi savršenu sigurnost koju svi želimo, upotreba autentifikacije s dva faktora povećava prepreke za napadače koji žele vaše stvari.

Tvrtka vašeg telefona je slaba veza

Sustavi za provjeru autentičnosti u dva koraka na mnogim web-lokacijama funkcioniraju tako da slanje poruke na telefon putem SMS-a kada netko pokuša prijaviti. Čak i ako upotrebljavate aplikaciju na telefonu za generiranje kodova, postojidobre šanse da vaša usluga izbora nudi ljudima da se prijavite slanjem SMS koda na vaš telefon. Ili, usluga vam može omogućiti uklanjanje zaštite od autentičnosti s dva faktora s vašeg računa nakon što potvrdite da imate pristup telefonskom broju koji ste konfigurirali kao telefonski broj za oporavak.

Sve ovo zvuči dobro. Imate mobitel i ima telefonski broj. U njemu ima fizičku SIM karticu koja ga povezuje s tim davateljem mobitela. Sve izgleda vrlo fizičko. Ali, na žalost, vaš telefonski broj nije siguran kao što mislite.

Ako ste ikada trebali premjestiti postojeći telefonski broj na novu SIM karticu nakon što ste izgubili telefon ili ste samo dobili novu, znat ćete što često možete učiniti u cijelosti preko telefona - ili možda čak i on-line. Sve što napadač treba učiniti je nazvati službu za korisnike vaše tvrtke mobitela i pretvarati se da ste vi. Morat će znati što je vaš telefonski broj i znati neke osobne podatke o vama. To su vrste detalja - na primjer, broj kreditne kartice, posljednje četiri znamenke SSN-a i druge - koji redovito propuštaju velike baze podataka i koriste se za krađu identiteta. Napadač može pokušati dobiti vaš telefonski broj premješten na svoj telefon.

Postoje još lakši načini. Ili, na primjer, mogu primiti prosljeđivanje poziva postavljeno na kraj telefonskog telefona tako da se dolazni glasovni pozivi prosljeđuju na svoj telefon i ne dođu do vašeg.

Pakao, napadač možda neće trebati pristup vašem punom broju telefona. Mogli bi pristupiti vašoj govornoj pošti, pokušajte se prijaviti na web stranice u 3:00, a zatim iskoristite kontrolne kodove iz svog spremnika glasovnih poruka. Koliko je točno točno vaša telefonska govornica tvrtke telefona? Koliko je vaš PIN glasovne pošte siguran - jeste li ga i postavili? Nije svatko! I ako imate, koliko bi truda trebalo da se napadač dobije poništavanje PIN-a glasovne pošte pozivajući vašu telefonsku tvrtku?

s vašim telefonskim brojem sve je u pozadini

Vaš telefonski broj postaje slaba veza, omogućujući vašem napadaču uklanjanje potvrde u dva koraka s vašeg računa - ili primanje kodova za potvrdu u dva koraka - SMS-om ili glasovnim pozivima. Do trenutka kada shvatite da nešto nije u redu, oni mogu imati pristup tim računima.

Ovo je problem za gotovo svaku uslugu. Online usluge ne žele da korisnici izgube pristup svojim računima, tako da obično omogućuju zaobići i ukloniti tu autentikaciju s dva faktora svojim telefonskim brojem. To vam pomaže ako ste morali resetirati telefon ili dobiti novu, a izgubili ste kodove za autentifikaciju s dva faktora - ali i dalje imate svoj telefonski broj.

Teoretski, tu bi trebalo biti puno zaštite. U stvarnosti, imate posla s korisnicima usluga korisnicima mobilnih usluga. Ti su sustavi često postavljeni za učinkovitost, a zaposlenik službe za korisnike može previdjeti neke od zaštitnih mjera koje su suočene s kupcem koji se čini ljut, nestrpljiv i ima ono što čini dovoljno informacija. Vaša telefonska tvrtka i njegov odjel službe za korisnike slaba su veza u vašoj sigurnosti.

Zaštita telefonskog broja teško je. Realno, mobilne telefonske tvrtke trebale bi osigurati više zaštitnih mjera kako bi to manje riskirale. U stvarnosti, vjerojatno želite nešto učiniti samostalno umjesto da čekate velike korporacije da poprave svoje postupke korisničke službe. Neke usluge mogu vam omogućiti da onemogućite oporavak ili ponovno postavite telefonskim brojevima i opsežno ih upozoravate - no ako je to kritičan sustav, preporučujemo da odaberete sigurnije postupke resetiranja poput kodova za poništavanje kod kojih možete zaključati u trezoru za slučajikada im trebaš.

Ostali postupci poništavanja

I ne samo o vašem telefonskom broju. Mnoge usluge omogućuju uklanjanje te autentičnosti s dva faktora na druge načine, ako tvrdiš da ste izgubili kôd i trebate se prijaviti. Sve dok znate dovoljno osobnih podataka o računu, možda ćete se moći prijaviti.

Pokušajte sami - idite na uslugu koju ste osigurali autentifikacijom s dva faktora i pretvarajte se da ste izgubili kôd. Pogledajte što je potrebno za ulazak. Možda ćete morati pružiti osobne podatke ili odgovoriti na nesigurna "sigurnosna pitanja" u najgorem slučaju. Ovisi o tome kako je usluga konfigurirana. Možda ćete je moći vratiti tako što ćete poslati vezu na drugi račun e-pošte, u kojem slučaju taj račun e-pošte može postati slaba veza. U idealnoj situaciji, možda ćete jednostavno trebati pristup telefonskom broju ili kodovima za oporavak - i kao što smo vidjeli, dio telefonskog broja slaba je veza.

Ovdje je nešto drugo zastrašujuće: ne radi se samo o zaobilaznom potvrđivanju u dva koraka. Napadač bi mogao isprobati slične trikove kako bi potpuno zaobišao vašu zaporku. To može raditi jer mrežne usluge žele osigurati da korisnici mogu ponovno pristupiti svojim računima, čak i ako izgube svoje lozinke.

Na primjer, pogledajte Sustav za oporavak Google računa. Ovo je opcija posljednjeg uklanjanja vašeg računa. Ako tvrde da ne znate nikakve zaporke, na kraju ćete se tražiti informacije o svom računu kao kada ste ga izradili i koje često šaljete e-poštom. Napadač koji zna dovoljno o tebi može teoretski koristiti postupke resetiranja zaporke kao što je ovaj da biste dobili pristup računima.

Nikad nismo čuli da je Googleov proces oporavka računa zloupotrijebljen, ali Google nije jedina tvrtka koja ima ovakve alate. Ne mogu svi biti potpuno sigurni, pogotovo ako napadač zna dovoljno o vama.

Bez obzira na probleme, račun s potvrdom u dva koraka uvijek će biti sigurniji od istog računa bez potvrde u dva koraka. No autentifikacija s dva faktora nije srebrni metak, kao što smo vidjeli s napadima koji zloupotrebu najveće slabe veze: vaša telefonska tvrtka.