Da asporto chiave
- Gli hacker possono rubare codici di autenticazione a più fattori (MFA) basati sul telefono, affermano gli esperti.
- Le compagnie telefoniche sono state indotte con l'inganno a trasferire numeri di telefono per consentire ai criminali di ottenere i codici.
- Un modo semplice ed economico per aumentare la sicurezza consiste nell'utilizzare l'app di autenticazione sul telefono.
Per rimanere al sicuro dagli hacker, smetti di usare i codici di autenticazione a più fattori (MFA) basati sul telefono inviati tramite SMS e chiamate vocali, scrive un grande esperto di sicurezza in una nuova analisi.
I codici telefonici sono vulnerabili all'intercettazione da parte di hacker, ha scritto Alex Weinert, direttore della sicurezza dell'identità presso Microsoft, in un recente post sul blog. I codici basati su testo sono meglio di niente, dicono gli osservatori. Ma gli utenti dovrebbero sostituire l'autenticazione basata sul telefono con app e chiavi di sicurezza.
"Questi meccanismi sono basati su reti telefoniche pubbliche (PSTN) e credo che siano i metodi MFA meno sicuri oggi disponibili", ha scritto.
"Quel divario aumenterà solo man mano che l'adozione della MFA aumenterà l'interesse degli aggressori a violare questi metodi e gli autenticatori appositamente progettati estendono i loro vantaggi in termini di sicurezza e usabilità. Pianifica subito il tuo passaggio all'autenticazione avanzata senza password: l'app di autenticazione fornisce un'applicazione immediata e opzione in evoluzione."
MFA è un metodo di sicurezza in cui a un utente di computer viene concesso l'accesso a un sito Web o a un'applicazione solo dopo aver presentato con successo due o più prove a un meccanismo di autenticazione. Questi codici vengono spesso inviati per telefono.
Gli hacker fingono di essere te
Ci sono modi in cui gli hacker possono accedere ai codici telefonici, tuttavia, affermano gli osservatori. In alcuni casi, le compagnie telefoniche sono state indotte a trasferire i numeri di telefono per consentire agli hacker di ottenere i codici.
"I telefoni sono così insicuri che gli utenti riceveranno spesso chiamate fraudolente da paesi del terzo mondo mentre mostrano i numeri di telefono regionali americani", ha affermato Matthew Rogers, CISO del provider di servizi cloud Syntax, in un'intervista via e-mail. "I telefoni sono anche soggetti ad attacchi di scambio di SIM, che possono facilmente aggirare l'AMF tramite SMS."
Di recente, il popolare conduttore radiofonico della BBC Jeremy Vine è stato vittima di un attacco che ha portato alla penetrazione del suo account WhatsApp.
"L'attacco che ha ingannato con successo Vine inizia con la ricezione di un messaggio SMS apparentemente non richiesto che contiene il codice di autenticazione a due fattori per il loro account", ha affermato Ray Walsh, esperto di privacy dei dati presso il sito di revisione della privacy ProPrivacy, in un colloquio via e-mail.
"In seguito, la vittima riceve un messaggio diretto da un contatto che afferma di averle inviato un codice per sbaglio. Infine, alla vittima viene chiesto di inoltrare il codice all'hacker, che le dà accesso istantaneo all'account della vittima."
Anche il software può essere un problema. "A causa delle vulnerabilità del dispositivo, l'AMF potrebbe essere intercettato da un'app che perde o da un dispositivo compromesso di cui l'utente non è a conoscenza", ha affermato in un'intervista via e-mail George Freeman, consulente per le soluzioni presso il gruppo governativo di LexisNexis Risk Solutions.
Non mollare ancora il tuo telefono
Tuttavia, l'AMF testuale è meglio di niente, dicono gli esperti. "L'AMF è uno degli strumenti più potenti che un utente ha a disposizione per proteggere i propri account", ha affermato Mark Nunnikhoven, vicepresidente della ricerca sul cloud presso la società di sicurezza informatica Trend Micro, in un'intervista via e-mail.
"Dovrebbe essere abilitato quando possibile. Se hai la possibilità, usa un'app di autenticazione sul tuo smartphone, ma alla fine assicurati che l'AMF sia abilitato in qualsiasi forma."
Un modo semplice ed economico per aumentare la sicurezza è utilizzare l'app di autenticazione sul telefono, ha affermato Peter Robert, co-fondatore e CEO della società IT Expert Computer Solutions, in un'intervista via e-mail.
"Se hai il budget e consideri la sicurezza fondamentale, ti incoraggio a valutare le chiavi MFA basate su hardware", ha aggiunto. "Per le aziende e gli individui che sono preoccupati per la sicurezza, consiglierei anche un dark web servizio di monitoraggio per farti sapere se le tue informazioni personali sono disponibili e in vendita sul dark web."
Per un approccio più in stile Mission Impossible, il nuovo standard FIDO2 con Webauthn utilizza l'autenticazione biometrica, afferma Freeman. "L'utente si connette a un sito finanziario, inserisce un nome utente, il sito Web contatta il dispositivo mobile [dell']utente, un'app protetta sul telefono richiede all'utente il [loro] ID facciale o l'impronta digitale. In caso di successo, si autentica la sessione web", ha detto.
Con così tante possibili minacce, potrebbe essere il momento di iniziare a cercare modi più sicuri per accedere a siti Web che memorizzano informazioni personali. Gli hacker potrebbero essere in agguato sul web in attesa di intercettare la tua password.
