bencede
New member
Siber güvenlik derneği Kaos Bilgisayar Kulübü (CCC), SMS yoluyla iki faktörlü kimlik doğrulamanın (2FA) kullanılmasına karşı uyarıda bulunuyor. Tek kullanımlık parolalarla mesajları ele geçirmeye yönelik iyi bilinen saldırılara ek olarak, artık başka bir saldırı senaryosu da gösteriliyor.
Duyuru
Çevrimiçi hesapları etkili bir şekilde korumak için mümkün olduğunda 2FA'yı etkinleştirmelisiniz. Bu ek koruma düzeyi nedeniyle, oturum açmak için şifreye ek olarak bir kod da gereklidir ve bu kod, hesap sahibine SMS veya kimlik doğrulama uygulaması aracılığıyla gönderilir. Sonuç olarak, sızdırılan bir şifre, saldırganların çevrimiçi bir hesabı ele geçirmesi için yeterli değildir.
Ancak SIM değiştirme veya SS7 telekomünikasyon standardına saldırı yoluyla saldırganlar SMS mesajlarını ele geçirebilir ve kodlarını görebilir. Saldırganlar, SIM'leri değiştirerek SIM'i ve dolayısıyla kurbanın telefon numarasını ve kimliğini ele geçirmeye çalışır. Şimdi bir raporda CCC, 2FA tek kullanımlık şifreler için SMS'in neden güvenli olmayan bir yöntem olduğunun başka bir nedenini gösteriyor.
2FA kodları çevrimiçi olarak mevcuttur
Müşterilerine 2FA sunan birçok şirket, SMS göndermek için bir servis sağlayıcıya güveniyor. Kendi bilgilerine göre güvenlik araştırmacıları şu anda SMS servis sağlayıcısı farkındaMobile'dan 200 milyona yakın 2FA kodunu görüntülemeyi başardılar. Kendi ifadelerine göre “doğru zamanda doğru yerdeydiler”.
SMS'i gönderen kişi, İnternet üzerinden gerçek zamanlı olarak 2FA kodlarını paylaştığından, bir alt alan adını (“idmdatastore”) tahmin ederek tek kullanımlık şifreleri ve hatta gönderenlerin telefon numaralarını ve adlarını bile görebiliyordu. Bu durumda hizmet sağlayıcı açıkça ağır ihmal içinde hareket etmiş ve hassas müşteri verilerini yeterince korumamıştır.
CCC, Amazon, DHL ve Facebook gibi 200'den fazla şirketin IdentityMobile ile çalıştığını söylüyor. Şu anda suçluların verileri görüntüleyip görüntüleyemeyeceği belli değil.
Çözüm
2FA inkar edilemez şekilde daha fazla güvenlik sunuyor, ancak hesap sahipleri SMS yoluyla 2FA kodları göndermeyi kapatmalı ve bunun yerine kodları bir cihazda yerel olarak üreten Google Authenticator gibi bir uygulama kullanmalıdır. Alternatif olarak, daha fazla hesap güvenliği için bir geçiş anahtarı da kullanabilirsiniz.
(İtibaren)
Duyuru
Çevrimiçi hesapları etkili bir şekilde korumak için mümkün olduğunda 2FA'yı etkinleştirmelisiniz. Bu ek koruma düzeyi nedeniyle, oturum açmak için şifreye ek olarak bir kod da gereklidir ve bu kod, hesap sahibine SMS veya kimlik doğrulama uygulaması aracılığıyla gönderilir. Sonuç olarak, sızdırılan bir şifre, saldırganların çevrimiçi bir hesabı ele geçirmesi için yeterli değildir.
Ancak SIM değiştirme veya SS7 telekomünikasyon standardına saldırı yoluyla saldırganlar SMS mesajlarını ele geçirebilir ve kodlarını görebilir. Saldırganlar, SIM'leri değiştirerek SIM'i ve dolayısıyla kurbanın telefon numarasını ve kimliğini ele geçirmeye çalışır. Şimdi bir raporda CCC, 2FA tek kullanımlık şifreler için SMS'in neden güvenli olmayan bir yöntem olduğunun başka bir nedenini gösteriyor.
2FA kodları çevrimiçi olarak mevcuttur
Müşterilerine 2FA sunan birçok şirket, SMS göndermek için bir servis sağlayıcıya güveniyor. Kendi bilgilerine göre güvenlik araştırmacıları şu anda SMS servis sağlayıcısı farkındaMobile'dan 200 milyona yakın 2FA kodunu görüntülemeyi başardılar. Kendi ifadelerine göre “doğru zamanda doğru yerdeydiler”.
SMS'i gönderen kişi, İnternet üzerinden gerçek zamanlı olarak 2FA kodlarını paylaştığından, bir alt alan adını (“idmdatastore”) tahmin ederek tek kullanımlık şifreleri ve hatta gönderenlerin telefon numaralarını ve adlarını bile görebiliyordu. Bu durumda hizmet sağlayıcı açıkça ağır ihmal içinde hareket etmiş ve hassas müşteri verilerini yeterince korumamıştır.
CCC, Amazon, DHL ve Facebook gibi 200'den fazla şirketin IdentityMobile ile çalıştığını söylüyor. Şu anda suçluların verileri görüntüleyip görüntüleyemeyeceği belli değil.
Çözüm
2FA inkar edilemez şekilde daha fazla güvenlik sunuyor, ancak hesap sahipleri SMS yoluyla 2FA kodları göndermeyi kapatmalı ve bunun yerine kodları bir cihazda yerel olarak üreten Google Authenticator gibi bir uygulama kullanmalıdır. Alternatif olarak, daha fazla hesap güvenliği için bir geçiş anahtarı da kullanabilirsiniz.
(İtibaren)