FBI advarer om at samfunnsteknisk teknikk kan hjelpe omgå multifaktor-autentisering

For en stund siden snakket vi om hvor nyttige tofaktorautentiseringssystemer og multifaktorautentiseringssystemer kan være, og hvordan de kan hjelpe brukere med å beskytte kontoene sine mot hackere. Med tiden beviste spesialister innen cybersikkerhet imidlertid at intet system er uovervinnelig, og at alle sikkerhetstiltak kan omgås hvis angripere har midler, midler og besluttsomhet for å gjøre det. Det siste beviset på det ble presentert i FBI kunngjøringen . Den diskuterer FBIs observerte angrep på systemer med flere faktorautentiseringer og advarer om ikke å være avhengige av ekstra sikkerhetslag for blindt. Betyr dette at bruk av Multi-Factor-godkjenning eller konfigurering av sterke passord er bortkastet din tid? Du kan finne svarene på disse spørsmålene videre i dette blogginnlegget. I resten av denne artikkelen snakker vi også om hvordan hackere omgår Multi-Factor-godkjenning og hvor ofte slike angrep skjer.

Hvordan kan hackere omgå Multi-Factor Autentisering?

I følge FBI-advarselen omgår hackere Multi-Factor Authentication ved hjelp av vanlige sosialtekniske teknikker og tekniske angrep. Kunngjøringen spesifikt advart om SIM swapping, svakheter av nettsteder som håndterer Multi-faktor autentisering, og hacking verktøy, for eksempel Muraen og NecroBrowser.

Bytt av SIM, som også er kjent som en port-out-svindel, er et angrep der svindlere målretter seg mot en sårbarhet i et bekreftelsessystem som krever en sikkerhetskode, som burde mottas via en mobiltelefon. For å utføre et slikt angrep, må nettkriminelle ha et telefonnummer til et målrettet offer til en enhet som tilhører dem. De fleste telefonselskaper tilbyr slike tjenester til brukere som mister SIM-kortene sine og vil beholde sine gamle telefonnummer. For å kunne utføre SIM-bytteangrep, må hackere lære nok informasjon om et målrettet offer, slik at de kan etterligne ham og overbevise telefonleverandøren hans om å overføre det nødvendige telefonnummeret til et nytt SIM-kort. Husk at i tilfelle cyberkriminelle lykkes, bør brukerens originale SIM-kort blokkeres. Hvis du noen gang legger merke til at SIM-kortet ikke lenger fungerer, bør du kontakte telefonselskapet så raskt som mulig og sjekke om noen kan ha byttet SIM-kortet ulovlig.

Deretter har vi hackingverktøy kalt Muraen og NecroBrowser . De ble introdusert på Hack-in-the-Box- konferansen som fant sted i Amsterdam, juni 2019. Verktøyene ble laget for automatiserte phishing-angrep som kunne omgå to-faktor-autentisering. I løpet av dem lager de nevnte verktøyene en kopi av et nettsted der den målrettede kontoen kan nås. Forskjellen mellom tradisjonelle phishing-nettsteder og falske nettsteder opprettet ved hjelp av Muraen og NecroBrowser-verktøy er at de senere kan be om bekreftelseskoder fra originale nettsteder. Dermed vil en bruker som prøver å logge inn via det falske nettstedet, motta en bekreftelseskode fra det legitime nettstedet. Når en slik kode er lagt inn, kan hackere ikke bare bruke den til å logge seg på den målrettede kontoen, men også skaffe øktkaker eller sesjonstokener som de kan bruke til fremtidige pålogginger.

Hvor ofte omgår hackere multifaktorautentisering?

Hvis du følger med på nettets sikkerhetsnyheter, har du kanskje lagt merke til at forskere rapporterer om nye angrep på systemer med flere faktorautentiseringer fra tid til annen. Du har kanskje også lest at det ikke er statistisk informasjon om slike angrep da de sjelden skjer. Det er et par grunner til det. For det første, til tross for anbefalinger fra cybersecurity-eksperter om å bruke multifaktorautentisering, er det fortsatt mange brukere som ikke gidder å aktivere det. Betydning at nettkriminelle ikke trenger å angripe kontoer som er beskyttet med slike sikkerhetstiltak da det er mange mindre beskyttede mål. For det andre er det ikke like enkelt å hacking til en konto med Multi-Factor Authentication som å hacking av en konto som bare er beskyttet med et passord. Slike angrep krever mer tid, penger og mer avanserte hackingverktøy. Med andre ord, mens du angriper et selskaps konto som er sterkt beskyttet kan være mer givende, synes mange hackere det er lettere og mer lønnsomt å bytte svakere mål.

Er det fortsatt lurt å bruke flerfaktorautentisering?

Kort sagt, svaret er absolutt ja. Selv om multifaktorautentisering kanskje ikke klarer å beskytte kontoer noen ganger, er det fremdeles ditt beste skudd å beskytte deg selv på nettet. Som nevnt tidligere skjer slike angrep sjelden da mange nettkriminelle velger mer tilgjengelige mål. Hvis flere brukere begynner å bruke flerfaktorautentisering, kan naturlig nok hackere ikke ha noe annet valg enn å angripe kontoer som er beskyttet med det i fremtiden. Foreløpig kan de ekstra sikkerhetslagene med flerfaktorautentisering imidlertid beskytte mot tradisjonelle phishing-angrep og andre angrep som ble designet for bare passordbeskyttede kontoer.

Bruker du et sterkt passord hvis du aktiverer multifaktorautentisering?

Til slutt kan du lure på om det er noe poeng i å bruke et sterkt passord hvis du aktiverer flerfaktorautentisering. Igjen vil svaret være ja. Når det gjelder å beskytte personlig informasjon, bankkontoen din eller annet følsomt som hackere kan finne på kontoene dine, bør du dra nytte av alle sikkerhetstiltak du kan bruke. Dessuten er det fremdeles nettsteder, plattformer og applikasjoner som ikke gir multifaktorautentisering. I slike tilfeller kan sikkerheten til kontoene dine avhenge av passordet du konfigurerte.

Uten tvil er den enkleste måten å lage sterke passord og sikre at du aldri glemmer dem, å ansette en passordbehandler. For å forsikre deg om at innloggingsinformasjonen din er beskyttet, anbefaler vi at du bruker en dedikert passordbehandling og ikke integrerte funksjoner som følger med nettlesere. Hvis du vil ha et verktøy som kan sikre sikkerhet og gi mange nyttige funksjoner gratis, foreslår vi at du prøver Cyclonis Password Manager . Den fungerer på alle større operativsystemer. Den kan også generere sterke passordkoder og huske dem for deg, samt logge deg på kontoene dine automatisk. For å lære om alle funksjonene den kan tilby, bør du fortsette å lese her .

Alt i alt, selv om flerfaktorautentisering kan omgås, ser det fremdeles ut til å være den beste måten å beskytte ens kontoer. Selvfølgelig er det mange alternativer for multifaktorautentisering, og noen er tryggere enn andre. Så hvis du er i stand til å velge, bør du undersøke alle tilgjengelige alternativer og velge det som anses for å være den sterkeste. I stedet for blindt, avhengig av ekstra sikkerhetslag, bør du aldri miste vakten og se opp for nettfiskingsnettsteder, samt sikre at hackere ikke lett kunne bytte SIM-kortet ditt. I tillegg gjør det aldri vondt å holde seg oppdatert på nettets sikkerhetsnyheter og lære å unngå å bli et offer for de siste svindelene.

Innen Foley
December 9, 2019
News
Norsk
December 9, 2019
News

Populære innlegg

Microsoft advarer statsstøttede trusselaktører bruker AI i angrep

4 days siden

Trojan Al11 Malware Deteksjon

11 months siden

Pinaview er en Adware-app med alle funksjoner

10 months siden

Popup-vinduer "Din iCloud blir hacket" og "Din iPhone har...

7 months siden

Hva er Lucky Ransomware?

7 months siden

«American Express – Oppdater kontoinformasjonen din»...

6 months siden
Norsk
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.