Σύμφωνα με έναν εμπειρογνώμονα ασφαλείας, ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι ένας καλός τρόπος για την προστασία των ηλεκτρονικών λογαριασμών, χωρίς αυτό να σημαίνει ότι οι χρήστες δεν πρέπει να λαμβάνουν τα απαραίτητα μέτρα προστασίας. Το MFA είναι γενικά ισχυρότερο από την απλή προστασία που περιλαμβάνει μόνο έναν κωδικό πρόσβασης, δεδομένου ότι οι χρήστες πρέπει να θέσουν δύο ή περισσότερα διαφορετικά στοιχεία για να αποδείξουν την ταυτότητά τους. Ο Roger Grimes που ασχολείται με την προστασία και την ασφάλεια δεδομένων στην KnowBe4 δήλωσε σε πρόσφατο webinar της ITWC ότι οι χρήστες δεν πρέπει να βασίζονται σε κάποιον που ισχυρίζεται ότι δεν μπορεί να πέσει θύμα hacking επίθεσης, καθώς οι περισσότεροι άνθρωποι φοβούνται όταν βλέπουν πόσο εύκολο είναι να συμβεί αυτό. Ο Grimes επεσήμανε επίσης ότι οι επιχειρήσεις πρέπει να εκπαιδεύουν τους εργαζομένους τους ώστε να έχουν τη δυνατότητα να διακρίνουν πιθανές απάτες από χάκερς, ακόμα και αν χρησιμοποιούν MFA.
Πώς “περνούν” οι χάκερς από το MFA;
Το social engineering ευθύνεται για το 70 – 90% των παραβιάσεων δεδομένων, γεγονός που δεν αλλάζει με το MFA, δήλωσε ο Grimes. Μία από τις πιο συχνές επιθέσεις ονομάζεται “hijacking δικτύου”. Σε αυτή την περίπτωση, οι χάκερς χρησιμοποιούν phishing emails για να εξαπατήσουν τους χρήστες, παρακινώντας τους να συνδεθούν σε ένα ψεύτικο site, στη συνέχεια να κλέψουν τα credentials τους και το session για να αποκτήσουν πρόσβαση στους λογαριασμούς τους. Μία ακόμη δημοφιλής hacking επίθεση είναι να χρησιμοποιούν οι χάκερς phishing emails για να αποκτήσουν πρόσβαση και να εγχύσουν έναν ιό στα συστήματα των χρηστών. “Εάν ο υπολογιστής έχει “χακαριστεί”, έχει τελειώσει το παιχνίδι, αφού οι χάκερς θα μπορούν να κάνουν ό,τι ακριβώς κάνουν και οι χρήστες”, δήλωσε ο Grimes. Ενδεικτικά, πέρυσι, μια ομάδα χάκερς έκλεψε 100 εκατομμύρια δολάρια με αυτόν τον τρόπο.
Οι μέθοδοι MFA που αποστέλλουν κωδικούς επαλήθευσης στα κινητά τηλέφωνα μέσω SMS είναι επίσης ευάλωτες. Για παράδειγμα, στην απάτη “SIM swap”, οι χάκερς αποκτούν τις πληροφορίες σύνδεσης μέσω phishing email ή καλούν και στη συνέχεια κλέβουν τις πληροφορίες της κάρτας SIM. Αυτό τους επιτρέπει να λάβουν τους κωδικούς επαλήθευσης με SMS που έχουν θέσει οι χρήστες και να επαναφέρουν τον κωδικό πρόσβασης του λογαριασμού τους. Ο Grimes προειδοποίησε πως αυτό γίνεται χιλιάδες φορές μέσα σε μία μέρα. Ακολούθως, τόνισε πως οι ερωτήσεις ανάκτησης λογαριασμού (π.χ. όνομα πατρός – μητρός) είναι μία από τις χειρότερες μορφές επαλήθευσης ταυτότητας και θα πρέπει να καταργηθούν καθώς οι απαντήσεις τους είναι συνήθως αναμενόμενες ή μπορούν να βρεθούν σε ένα ποσοστό 20% στις προσωπικές πληροφορίες που αναφέρουν οι χρήστες στα social media
Πώς μπορείτε να προστατευτείτε από MFA επιθέσεις;
Αρχικά, οι επιχειρήσεις θα πρέπει να συμπεριλάβουν στην εκπαίδευση των εργαζομένων πάνω σε θέματα ασφαλείας το ζήτημα που αφορά MFA επιθέσεις. Οι εργαζόμενοι θα πρέπει να μάθουν πώς να εντοπίζουν ύποπτα links και να ελέγχουν εάν μια διεύθυνση URL είναι νόμιμη. Αν και μπορεί να είναι δύσκολο, οι χρήστες θα πρέπει να προσπαθήσουν να αποφύγουν τις εφαρμογές που βασίζονται σε SMS. Αν τις χρησιμοποιούν, θα πρέπει να ελαχιστοποιούν τις δημόσιες θέσεις του αριθμού τηλεφώνου που χρησιμοποιούν για την ανάκτηση λογαριασμού. Οι χρήστες δεν πρέπει ποτέ να εμπιστεύονται κάποιον που καλεί απροσδόκητα ή στέλνει επαλήθευση μέσω SMS. Θα πρέπει επίσης να είναι υποψιασμένοι σε περίπτωση που τους ζητηθεί να στείλουν SMS με έναν κωδικό PIN ως απάντηση σε ένα συγκεκριμένο SMS. Συνήθως, ο κωδικός εισάγεται σε ένα site. Ακόμη, σε ερωτήσεις που αφορούν ευαίσθητες και εμπιστευτικές πληροφορίες οι χρήστες δεν πρέπει να λένε την αλήθεια σε οποιονδήποτε. Αντιθέτως, θα πρέπει να θέτουν σκόπιμα λάθος απαντήσεις και να τις καταγράφουν ή να τις αποθηκεύουν στους διαχειριστές κωδικών πρόσβασης. Τέλος, ο Grimes προειδοποιεί ότι οι άνθρωποι πρέπει να καταλάβουν ότι τα πάντα μπορούν να “χακαριστούν” και ότι πρέπει να βασίζονται περισσότερο στη λογική και όχι στον έλεγχο ταυτότητας πολλαπλών παραγόντων.