FBIはソーシャルエンジニアリング技術が多要素認証のバイパスに役立つ可能性があると警告
少し前に、 2要素認証および多要素認証システムがどれほど役立つか、そしてユーザーがハッカーからアカウントを保護するのにどのように役立つかについて話しました。ただし、時間が経つにつれて、サイバーセキュリティの専門家は、無敵のシステムはなく、攻撃者がそのための手段、資金、および決意を持っている場合、すべてのセキュリティ対策をバイパスできることを証明しました。それの最新の証拠はFBI発表で提示されました。多要素認証システムに対するFBIの観測された攻撃について説明し、余分なセキュリティレイヤーに盲目的に依存しないよう警告します。これは、多要素認証を使用したり、強力なパスワードを設定したりするのは時間の無駄だということですか?これらの質問に対する回答は、このブログ投稿でさらに見つけることができます。また、この記事の残りの部分では、ハッカーが多要素認証をバイパスする方法と、そのような攻撃が発生する頻度について説明します。
Table of Contents
ハッカーは多要素認証をどのようにバイパスできますか?
FBIの警告によると、ハッカーは一般的なソーシャルエンジニアリング技術と技術的な攻撃の助けを借りて、多要素認証をバイパスします。この発表は、 SIMスワッピング 、 多要素認証を処理するWebサイトの弱点 、およびMuraenやNecroBrowserなどのハッキングツールについて特に警告しました 。
ポートアウト詐欺とも呼ばれるSIMスワッピングは、詐欺師がセキュリティコードを必要とする検証システムの脆弱性を標的とする攻撃であり、セキュリティコードは携帯電話で受信する必要があります。このような攻撃を実行するために、サイバー犯罪者は標的となる被害者の電話番号を自分の所有するデバイスに移植する必要があります。ほとんどの電話会社は、SIMカードを紛失し、古い電話番号を保持したいユーザーにこのようなサービスを提供しています。したがって、ハッカーはSIMスワッピング攻撃を成功させるために、標的となる被害者に関する十分な情報を習得しなければなりません。サイバー犯罪者が成功した場合、ユーザーの元のSIMカードをブロックする必要があることに注意してください。したがって、SIMカードが機能しなくなったことに気付いた場合は、できるだけ早く電話会社に連絡し、誰かがSIMカードを違法に交換したかどうかを確認してください。
次に、 MuraenおよびNecroBrowserと呼ばれるハッキングツールがあります 。これらは、2019年6月にアムステルダムで開催されたHack-in-the-Box会議で導入されました。ツールは、Two-Factor Authenticationをバイパスできる自動フィッシング攻撃用に作成されました。それらの間に、前述のツールは、対象のアカウントにアクセスできるWebサイトのコピーを作成します。従来のフィッシングWebサイトと、MuraenおよびNecroBrowserツールの助けを借りて作成された偽サイトの違いは、後のサイトが元のサイトから確認コードを要求できることです。したがって、偽のWebサイトからログインしようとするユーザーは、正当なサイトから検証コードを受け取ります。このようなコードが入力されると、ハッカーはそれを使用して対象のアカウントにログインできるだけでなく、将来のログインに使用できるセッションCookieまたはセッショントークンを取得することもできます。
ハッカーはどのくらいの頻度で多要素認証をバイパスしますか?
サイバーセキュリティのニュースをフォローしている場合、研究者が多要素認証システムに対する新しい攻撃を随時報告していることに気づいたかもしれません。また、このような攻撃はめったに発生しないため、統計情報がないこともお読みになっているかもしれません。それにはいくつかの理由があります。第一に、多要素認証を使用するというサイバーセキュリティの専門家の推奨にもかかわらず、それを有効にすることを気にしない多くのユーザーがまだいます。つまり、保護されていないターゲットがたくさんあるため、サイバー犯罪者はセキュリティ対策で保護されているアカウントを攻撃する必要はありません。第二に、多要素認証を使用したアカウントへのハッキングは、パスワードのみで保護されたアカウントのハッキングほど簡単ではありません。このような攻撃には、より多くの時間、お金、およびより高度なハッキングツールが必要です。言い換えれば、厳重に保護された企業のアカウントを攻撃する方がより有益である一方で、多くのハッカーはより弱いターゲットを狙う方が簡単で利益があると感じています。
多要素認証を使用することをお勧めしますか?
要するに、答えは絶対にイエスです。多要素認証ではアカウントを保護できない場合がありますが、それでもオンラインで自分を保護するための最善策です。前述のように、多くのサイバー犯罪者がよりアクセスしやすいターゲットを選択するため、このような攻撃はめったに起こりません。当然、より多くのユーザーが多要素認証の使用を開始した場合、ハッカーは将来保護されるアカウントを攻撃する以外に選択肢がない可能性があります。ただし、現時点では、多要素認証の追加のセキュリティレイヤーは、パスワードで保護されたアカウントのみを対象に設計された従来のフィッシング攻撃やその他の攻撃から保護できます。
多要素認証を有効にする場合、強力なパスワードを使用する必要がありますか?
最後に、多要素認証を有効にした場合、強力なパスワードを使用することに意味があるのではないかと思うかもしれません。繰り返しますが、答えはイエスです。個人情報、銀行口座、またはハッカーがアカウント上で見つけることができる機密情報の保護に関しては、使用できるすべてのセキュリティ対策を活用する必要があります。さらに、多要素認証を提供しないWebサイト、プラットフォーム、およびアプリケーションがまだあります。このような場合、アカウントのセキュリティは設定したパスワードに依存する場合があります。
強力なパスワードを作成し、忘れないようにする最も簡単な方法は、パスワードマネージャーを使用することです。ログイン資格情報も確実に保護するために、ブラウザに組み込まれている機能ではなく、専用のパスワードマネージャを使用することをお勧めします。セキュリティを確保し、多くの便利な機能を無料で提供できるツールが必要な場合は、 Cyclonis Password Managerをお試しください 。すべての主要なオペレーティングシステムで動作します。また、強力なパスコードを生成して自動的に記憶し、アカウントに自動的にログインできます。提供できるすべての機能について学ぶには、 こちらを読み続けてください 。
全体として、多要素認証をバイパスできる場合でも、アカウントを保護する最良の方法であるように見えます。もちろん、多要素認証オプションはたくさんありますが、いくつかは他のものより安全です。したがって、選択できる場合は、使用可能なすべてのオプションを調査し、最も強力と思われるオプションを選択する必要があります。また、余分なセキュリティレイヤーに盲目的に依存する代わりに、ガードを失い、フィッシングWebサイトに注意する必要はなく、ハッカーがSIMカードを簡単に交換できないようにする必要があります。さらに、サイバーセキュリティのニュースを常に把握し、最新の詐欺の被害者にならないようにする方法を学ぶのに支障はありません。
