当今世界,个人和大公司面临着各种数据安全漏洞,这些漏洞可能造成严重经济损失--而其中一些漏洞来自于表面上安全的程序。最近,美国电话电报公司(AT&T)因其客户之一、加密货币投资者迈克尔-特平(Michael Terpin)被盗走共计2400万美元而被起诉,再次为我们敲响了警钟。攻击者远没有进行高度复杂的攻击来穿过加密货币平台或电信公司的防火墙和安全屏障,而是使用了一个极其简单的攻击方法:受害者的电话号码。
SIM卡是容易收到攻击的弱点Terpin的诉讼基于美国电话电报公司对他所遭受的双重攻击的责任:第一次攻击使用了SIM卡遗失换号手段,使攻击者能够进入他的手机,从而进入他所有的在线服务应用。在这种情况下,SIM卡在双因素认证(2FA)过程中至关重要。理论上,不可能同时有两张相同号码的SIM卡;因此,使用电话号码认证在线账户是一个明显安全的过程:账户所有者通常通过短信收到令牌,即网站将在线账户的访问代码,直接发送到他们的手机上。
然而,有些时候,SIM卡可能不在主人的控制之下,要么是卡丢失了,要么是被禁用了。这时,数据可以被转移到属于黑客的设备上,而黑客已经套用了真正的SIM卡主人的身份,无论是有意还是无意。根据诉讼,在第一次SIM卡更换攻击后,AT&T的一名员工与攻击者分享了特平手机上收到的一个令牌,以重新激活SIM卡。
第二次攻击就是这样发生的:攻击者在控制了SIM卡,并因此控制了Terpin所有使用手机短信验证(2FA/OTP)的在线账户后,能够进入加密货币平台,并以这种方式提取他的钱。Terpin认为,供应商有失职之处,一方面是员工与黑客沆瀣一气,另一方面是没有迅速取消他的数据和SIM卡之间的连接,以抢在攻击者之前。
无论如何,他不是这种攻击的第一个受害者,因为2FA是大公司在线服务中最常用的程序之一。出于这个原因,许多专家对通过手机进行2FA/OTP的安全性表示怀疑。同样的故事也在中国每天发生。
这种情况下,用户完全掌握了他的手机(手机并没有丢失,或者很快冻结),也使用了电信运营商的安全措施。如果将手机2FA或短信认证作为唯一的控制措施,即使对大公司来说也是特别危险的。特别是如果员工使用企业手机,使他们能够接触到公司的敏感信息。正如我们在以前的一篇博文中提到的,董事是公司移动安全的最大风险,此外,如果是一家大公司,由攻击引起的损失可能高达数百万。.
短信认证的安全替代方案短信认证解决方案比根本没有认证好。然而,对于希望保证其数据和用户安全的企业来说,还有更好的选择。
FIDO2是一个简化和保障用户认证的标准。它使用公钥加密技术来防止网络钓鱼攻击,是目前唯一防网络钓鱼的因素。另外,它被万维网联盟宣布为2019年无密码登录的新网络标准。
正在使用的FIDO2的例子包括设备上的认证器,如Windows 10的Windows Hello、MacBook的TouchID和Android的指纹,以及设备外的认证器,如Yubikey和Feitian BioPass。这些功能不仅提高了安全性,而且还改善了用户的登录体验。例如,与回答安全问题相比,无密码认证是一种更快、更容易获得账户和服务的方式。
移动认证器应用移动认证器应用程序--如Okta Verify和Google Authenticator--的操作与短信认证类似(请不要使用微信双因子认证)。当用户使用他们的用户名和密码登录一个网站或应用程序时,会发生两种情况之一:认证器应用程序将生成一个OTP,可以输入有关服务,或者它将发送一个推送通知,要求你批准或拒绝登录请求。
与短信相比,这些工具更安全,因为它们不依赖蜂窝电话服务。此外,这些应用程序生成的代码在几分钟内就会失效,消除了我们上面概述的几种风险。
,
