Үндсэн санаанууд
- Хакерууд утсан дээр суурилсан олон хүчин зүйлт баталгаажуулалтын (MFA) кодыг хулгайлж чадна гэж шинжээчид үзэж байна.
- Гэмт хэрэгтнүүдэд код авах боломж олгохын тулд утасны дугаараа шилжүүлдэг гэж утасны компаниуд хууртагдсан.
- Аюулгүй байдлыг нэмэгдүүлэх энгийн, хямд арга бол утсан дээрээ баталгаажуулагч програмыг ашиглах явдал юм.
Хакеруудаас аюулгүй байхын тулд SMS болон дуут дуудлагаар илгээсэн утсанд суурилсан олон хүчин зүйлийн баталгаажуулалтын (MFA) кодыг ашиглахаа боль гэж аюулгүй байдлын шилдэг мэргэжилтэн шинэ шинжилгээнд бичжээ.
Утасны кодууд хакеруудын хөндлөнгийн оролцоонд өртөмтгий гэж Майкрософт компанийн таниулах хамгаалалтын захирал Алекс Вайнерт саяхан блогтоо бичсэн байна. Текстэд суурилсан код нь юу ч биш байснаас дээр гэж ажиглагчид хэлж байна. Гэхдээ хэрэглэгчид утсанд суурилсан баталгаажуулалтыг апп болон аюулгүй байдлын түлхүүрээр солих ёстой.
"Эдгээр механизмууд нь олон нийтэд нээлттэй утасны сүлжээ (PSTN) дээр суурилдаг бөгөөд өнөөдөр ГХЯ-ны аргуудаас хамгийн найдвартай нь гэж би бодож байна" гэж тэр бичжээ.
"ГХЯ-ны хэрэглээ нь халдагчдын эдгээр аргуудыг зөрчих сонирхлыг нэмэгдүүлж, зориулалтын баталгаажуулагч нь тэдний аюулгүй байдал, ашиглалтын давуу талуудыг нэмэгдүүлснээр энэ ялгаа улам л нэмэгдэх болно. Нууц үггүй, хүчирхэг баталгаажуулалт руу шилжихээ одоо төлөвлөөрэй. Гэрчлэгч апп нь нэн даруй болон хөгжиж буй сонголт."
MFA нь хоёр буюу түүнээс дээш тооны нотлох баримтыг баталгаажуулах механизмд амжилттай танилцуулсны дараа л компьютер хэрэглэгч вэбсайт эсвэл програм руу нэвтрэх эрхийг олгодог аюулгүй байдлын арга юм. Эдгээр кодыг ихэвчлэн утсаар илгээдэг.
Хакерууд чамайг дүр эсгэж байна
Хакерууд утасны код руу нэвтрэх арга зам байдаг ч ажиглагчид хэлж байна. Зарим тохиолдолд утасны компаниуд хакеруудад код авах боломж олгохын тулд утасны дугаараа шилжүүлдэг гэж хууртагдсан байдаг.
"Утаснууд нь маш аюулгүй тул хэрэглэгчид Америкийн бүс нутгийн утасны дугаарыг харуулахын зэрэгцээ гуравдагч ертөнцөөс өөрт нь залилангийн дуудлага ирдэг" гэж үүлэн үйлчилгээ үзүүлэгч Syntax-ийн CISO-ийн ажилтан Мэттью Рожерс цахим шуудангаар ярилцлага өгөхдөө хэлэв. "Утаснууд ч гэсэн SIM солих халдлагад өртөж байгаа бөгөөд энэ нь ГХЯ-г мессежээр амархан тойрч гарах боломжтой."
Саяхан BBC радиогийн алдартай хөтлөгч Жереми Вайн халдлагад өртөж, түүний WhatsApp хаяг руу нэвтэрсэн байна.
"Vine-г амжилттай хуурсан халдлага нь тэдний бүртгэлд хоёр хүчин зүйлийн баталгаажуулалтын код агуулсан, хүсээгүй мэт SMS мессеж хүлээн авснаас эхэлдэг" гэж ProPrivacy нууцлалын хяналтын сайтын мэдээллийн нууцлалын шинжээч Рэй Уолш хэлэв. имэйл ярилцлага.
"Үүний дараа хохирогч өөрт нь санамсаргүй байдлаар код илгээсэн гэсэн шууд мессеж хүлээн авдаг. Эцэст нь хохирогчоос хакер руу кодыг дамжуулахыг хүсэх бөгөөд энэ нь хохирогчийн бүртгэл рүү шууд нэвтрэх боломжийг олгодог.."
Програм хангамж бас асуудал байж болно. "Төхөөрөмжийн эмзэг байдлын улмаас ГХЯ-г хэрэглэгчийн мэдэлгүй нууцлагдмал програм эсвэл нууцлагдсан төхөөрөмж чагнаж болзошгүй" гэж LexisNexis Risk Solutions компанийн засгийн газрын бүлгийн шийдлийн зөвлөх Жорж Фриман цахим шуудангаар ярилцлага өгөхдөө хэлэв.
Утсаа одоохондоо бүү өг
Гэсэн хэдий ч бичвэрт суурилсан ГХЯ юу ч биш байснаас дээр гэж мэргэжилтнүүд хэлж байна. Кибер аюулгүй байдлын Trend Micro компанийн үүлэн судалгааны дэд ерөнхийлөгч Марк Нунниховен цахим шуудангаар ярилцлага өгөхдөө "ГХЯ нь хэрэглэгчдэд өөрийн бүртгэлээ хамгаалах хамгийн хүчирхэг хэрэгсэл юм" гэж хэлэв.
"Үүнийг аль болох идэвхжүүлэх хэрэгтэй. Хэрэв танд сонголт байгаа бол ухаалаг утсандаа нэвтрэлт таних аппликейшн ашиглана уу. Гэхдээ эцэст нь Гадаад харилцааны яам ямар ч хэлбэрээр идэвхжсэн эсэхийг шалгаарай."
Аюулгүй байдлыг нэмэгдүүлэх энгийн, хямд арга бол гар утсан дээрээ баталгаажуулагч програмыг ашиглах явдал юм гэж IT компанийн Expert Computer Solutions-ийн үүсгэн байгуулагч, гүйцэтгэх захирал Питер Роберт цахим шуудангаар өгсөн ярилцлагадаа хэлэв.
“Хэрэв танд төсөв байгаа бөгөөд аюулгүй байдалд чухал гэж үзэж байгаа бол техник хангамжид суурилсан Гадаад харилцааны яамны түлхүүрүүдийг үнэлэхийг танд зөвлөж байна” гэж тэр нэмж хэлэв. “Аюулгүй байдлын талаар санаа зовж буй бизнес эрхлэгчид болон хувь хүмүүст би харанхуй вэбийг санал болгож байна. Хяналтын үйлчилгээ нь таны тухай хувийн мэдээлэл байгаа эсэх, харанхуй вэб дээр зарагдаж байгаа эсэхийг танд мэдэгдэх болно."
Илүү даалгавар боломжгүй маягийн арга барилын хувьд Webauthn-тай шинэ стандарт FIDO2 нь биометрийн баталгаажуулалтыг ашигладаг гэж Фриман хэлэв. "Хэрэглэгч санхүүгийн сайтад холбогдож, хэрэглэгчийн нэрээ оруулан, вэб сайт нь хэрэглэгчийн гар утасны төхөөрөмж, [утасны] аюулгүй программтай холбогдож, дараа нь хэрэглэгчээс нүүрний ID эсвэл хурууны хээг асууна. Амжилттай болвол баталгаажуулна. вэб сесс "гэж тэр хэлэв.
Маш олон аюул заналхийлж байгаа тул хувийн мэдээллийг хадгалдаг вэб сайт руу нэвтрэх илүү найдвартай арга замыг хайж эхлэх цаг болсон байж магадгүй. Хакерууд вэб дээр нууц үгээ таслахыг хүлээж байж магадгүй.
