Τρίτη, 26 Μαΐου, 03:20
Αρχική security Προσοχή: Ακόμη και το MFA μπορεί να "χακαριστεί" !

Προσοχή: Ακόμη και το MFA μπορεί να “χακαριστεί” !

Σύμφωνα με έναν εμπειρογνώμονα ασφαλείας, ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι ένας καλός τρόπος για την προστασία των ηλεκτρονικών λογαριασμών, χωρίς αυτό να σημαίνει ότι οι χρήστες δεν πρέπει να λαμβάνουν τα απαραίτητα μέτρα προστασίας. Το MFA είναι γενικά ισχυρότερο από την απλή προστασία που περιλαμβάνει μόνο έναν κωδικό πρόσβασης, δεδομένου ότι οι χρήστες πρέπει να θέσουν δύο ή περισσότερα διαφορετικά στοιχεία για να αποδείξουν την ταυτότητά τους. Ο Roger Grimes που ασχολείται με την προστασία και την ασφάλεια δεδομένων στην KnowBe4 δήλωσε σε πρόσφατο webinar της ITWC ότι οι χρήστες δεν πρέπει να βασίζονται σε κάποιον που ισχυρίζεται ότι δεν μπορεί να πέσει θύμα hacking επίθεσης, καθώς οι περισσότεροι άνθρωποι φοβούνται όταν βλέπουν πόσο εύκολο είναι να συμβεί αυτό. Ο Grimes επεσήμανε επίσης ότι οι επιχειρήσεις πρέπει να εκπαιδεύουν τους εργαζομένους τους ώστε να έχουν τη δυνατότητα να διακρίνουν πιθανές απάτες από χάκερς, ακόμα και αν χρησιμοποιούν MFA.

Πώς “περνούν” οι χάκερς από το MFA;

Το social engineering ευθύνεται για το 70 – 90% των παραβιάσεων δεδομένων, γεγονός που δεν αλλάζει με το MFA, δήλωσε ο Grimes. Μία από τις πιο συχνές επιθέσεις ονομάζεται “hijacking δικτύου”. Σε αυτή την περίπτωση, οι χάκερς χρησιμοποιούν phishing emails για να εξαπατήσουν τους χρήστες, παρακινώντας τους να συνδεθούν σε ένα ψεύτικο site, στη συνέχεια να κλέψουν τα credentials τους και το session για να αποκτήσουν πρόσβαση στους λογαριασμούς τους. Μία ακόμη δημοφιλής hacking επίθεση είναι να χρησιμοποιούν οι χάκερς phishing emails για να αποκτήσουν πρόσβαση και να εγχύσουν έναν ιό στα συστήματα των χρηστών. “Εάν ο υπολογιστής έχει “χακαριστεί”, έχει τελειώσει το παιχνίδι, αφού οι χάκερς θα μπορούν να κάνουν ό,τι ακριβώς κάνουν και οι χρήστες”, δήλωσε ο Grimes. Ενδεικτικά, πέρυσι, μια ομάδα χάκερς έκλεψε 100 εκατομμύρια δολάρια με αυτόν τον τρόπο.


Οι μέθοδοι MFA που αποστέλλουν κωδικούς επαλήθευσης στα κινητά τηλέφωνα μέσω SMS είναι επίσης ευάλωτες. Για παράδειγμα, στην απάτη “SIM swap”, οι χάκερς αποκτούν τις πληροφορίες σύνδεσης μέσω phishing email ή καλούν και στη συνέχεια κλέβουν τις πληροφορίες της κάρτας SIM. Αυτό τους επιτρέπει να λάβουν τους κωδικούς επαλήθευσης με SMS που έχουν θέσει οι χρήστες και να επαναφέρουν τον κωδικό πρόσβασης του λογαριασμού τους. Ο Grimes προειδοποίησε πως αυτό γίνεται χιλιάδες φορές μέσα σε μία μέρα. Ακολούθως, τόνισε πως οι ερωτήσεις ανάκτησης λογαριασμού (π.χ. όνομα πατρός – μητρός) είναι μία από τις χειρότερες μορφές επαλήθευσης ταυτότητας και θα πρέπει να καταργηθούν καθώς οι απαντήσεις τους είναι συνήθως αναμενόμενες ή μπορούν να βρεθούν σε ένα ποσοστό 20% στις προσωπικές πληροφορίες που αναφέρουν οι χρήστες στα social media. Τα βιομετρικά στοιχεία που χρησιμοποιούνται για τον έλεγχο ταυτότητας είναι επίσης ένας κοινός στόχος για τους χάκερς, λαμβάνοντας υπόψη ότι τα δακτυλικά αποτυπώματα των χρηστών υπάρχουν παντού, και αν κλαπούν, τότε οι χρήστες θα φοβούνται μία ζωή μήπως πέσουν θύματα επιθέσεων.

Πώς μπορείτε να προστατευτείτε από MFA επιθέσεις;

Αρχικά, οι επιχειρήσεις θα πρέπει να συμπεριλάβουν στην εκπαίδευση των εργαζομένων πάνω σε θέματα ασφαλείας το ζήτημα που αφορά MFA επιθέσεις. Οι εργαζόμενοι θα πρέπει να μάθουν πώς να εντοπίζουν ύποπτα links και να ελέγχουν εάν μια διεύθυνση URL είναι νόμιμη. Αν και μπορεί να είναι δύσκολο, οι χρήστες θα πρέπει να προσπαθήσουν να αποφύγουν τις εφαρμογές που βασίζονται σε SMS. Αν τις χρησιμοποιούν, θα πρέπει να ελαχιστοποιούν τις δημόσιες θέσεις του αριθμού τηλεφώνου που χρησιμοποιούν για την ανάκτηση λογαριασμού. Οι χρήστες δεν πρέπει ποτέ να εμπιστεύονται κάποιον που καλεί απροσδόκητα ή στέλνει επαλήθευση μέσω SMS. Θα πρέπει επίσης να είναι υποψιασμένοι σε περίπτωση που τους ζητηθεί να στείλουν SMS με έναν κωδικό PIN ως απάντηση σε ένα συγκεκριμένο SMS. Συνήθως, ο κωδικός εισάγεται σε ένα site. Ακόμη, σε ερωτήσεις που αφορούν ευαίσθητες και εμπιστευτικές πληροφορίες οι χρήστες δεν πρέπει να λένε την αλήθεια σε οποιονδήποτε. Αντιθέτως, θα πρέπει να θέτουν σκόπιμα λάθος απαντήσεις και να τις καταγράφουν ή να τις αποθηκεύουν στους διαχειριστές κωδικών πρόσβασης. Τέλος, ο Grimes προειδοποιεί ότι οι άνθρωποι πρέπει να καταλάβουν ότι τα πάντα μπορούν να “χακαριστούν” και ότι πρέπει να βασίζονται περισσότερο στη λογική και όχι στον έλεγχο ταυτότητας πολλαπλών παραγόντων.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...

Power Glove: Μετατράπηκε σε χειριστήριο modular synth!

Power Glove: μετατράπηκε σε χειριστήριο modular synth: O Sam Battle, βρήκε τον τρόπο να μετατρέψει το γάντι της Nintendo, σε «τηλεχειριστήριο» μουσικής,...

PowerToys: Κυκλοφόρησε η έκδοση 0.18 με δύο νέα εργαλεία

Στο συνέδριο Microsoft Build 2020, η Microsoft ανακοίνωσε τα PowerToys 0.18, τα οποία περιέχουν δύο νέα εργαλεία,...

Mozilla, Twitter και Reddit: Απαραίτητη η προστασία του ιστορικού αναζήτησης και περιήγησης των χρηστών

Μια ομάδα επτά εταιρειών Internet δεσμεύεται να υπερασπιστεί το απόρρητο των χρηστών της αυτή την εβδομάδα, όταν η Βουλή των Αντιπροσώπων των...

Το eBay port σαρώνει τα PC για προγράμματα remote access

Όταν επισκέπτεστε τον ιστότοπο eBay.com, θα τρέχει ένα script που εκτελεί σάρωση τοπικής θύρας του υπολογιστή σας για να εντοπίσει εφαρμογές απομακρυσμένης...

Παραβίαση σε τράπεζα οδήγησε σε διαρροή στοιχείων καρτών πελατών

Οι hackers πίσω από το Maze ransomware δημοσίευσαν δεδομένα καρτών πληρωμής που έκλεψαν από την Τράπεζα της...

Κυκλοφόρησε νέο Unc0ver jailbreak: Επηρεάζει την έκδοση iOS 13.5!

Μια ομάδα από hackers, ερευνητές ασφαλείας και μηχανικούς, η Unc0ver, κυκλοφόρησε ένα νέο jailbreak package για iOS...

Hacker πουλά τις βάσεις δεδομένων των Ledger, Trezor και KeepKey

Ο hacker που παραβίασε το φόρουμ Ethereum.org φέρεται να πουλά τις βάσεις δεδομένων για τα τρία πιο δημοφιλή hard wallets κρυπτογράφησης -...

Πλατφόρμα εκπαίδευσης EduCBA: Επαναφέραμε τα password σας

Ο διαδικτυακός ιστότοπος εκπαίδευσης EduCBA άρχισε να ενημερώνει τους πελάτες ότι επανέφεραν τους κωδικούς πρόσβασης μετά από παραβίαση δεδομένων.

Επιχειρήσεις: “Work From Home” ή “Work From Anywhere”;

Στην εποχή μας, στα περισσότερα επαγγέλματα οι εργαζόμενοι περνούν το μεγαλύτερο μέρος του χρόνου τους σε ένα γραφείο, μπροστά από έναν υπολογιστή....