Key Takeaways
- Hacker können telefonbasierte Multi-Faktor-Authentifizierungscodes (MFA) stehlen, sagen Experten.
- Telefongesellschaften wurden dazu verleitet, Telefonnummern zu übertragen, damit Kriminelle an die Codes gelangen.
- Eine einfache und kostengünstige Möglichkeit, die Sicherheit zu erhöhen, ist die Verwendung der Authentifizierungs-App auf Ihrem Telefon.
Um vor Hackern sicher zu sein, verwenden Sie keine telefonbasierten Multi-Faktor-Authentifizierungscodes (MFA), die per SMS und Sprachanrufen gesendet werden, schreibt ein führender Sicherheitsexperte in einer neuen Analyse.
Telefoncodes können von Hackern abgefangen werden, schrieb Alex Weinert, Director of Identity Security bei Microsoft, in einem kürzlich erschienenen Blogbeitrag. Textbasierte Codes sind besser als nichts, sagen Beobachter. Aber Benutzer sollten die telefonbasierte Authentifizierung durch Apps und Sicherheitsschlüssel ersetzen.
"Diese Mechanismen basieren auf öffentlich gesch alteten Telefonnetzen (PSTN), und ich glaube, dass sie die am wenigsten sicheren der heute verfügbaren MFA-Methoden sind", schrieb er.
"Diese Kluft wird sich nur vergrößern, wenn die MFA-Einführung das Interesse der Angreifer am Brechen dieser Methoden erhöht und speziell entwickelte Authentifikatoren ihre Sicherheits- und Benutzerfreundlichkeitsvorteile erweitern. Planen Sie jetzt Ihren Wechsel zu passwortloser starker Authentifizierung - die Authentifikator-App bietet eine sofortige und sich entwickelnde Option."
MFA ist eine Sicherheitsmethode, bei der einem Computerbenutzer nur dann Zugriff auf eine Website oder Anwendung gewährt wird, nachdem er einem Authentifizierungsmechanismus erfolgreich zwei oder mehr Nachweise vorgelegt hat. Diese Codes werden oft per Telefon gesendet.
Hacker geben vor, Sie zu sein
Es gibt jedoch Möglichkeiten, wie Hacker an Telefoncodes gelangen können, sagen Beobachter. In einigen Fällen wurden Telefongesellschaften dazu verleitet, Telefonnummern zu übertragen, damit Hacker an die Codes gelangen konnten.
"Telefone sind so unsicher, dass Benutzer oft betrügerische Anrufe aus Ländern der Dritten Welt erh alten, während amerikanische regionale Telefonnummern angezeigt werden", sagte Matthew Rogers, CISO des Cloud-Anbieters Syntax, in einem E-Mail-Interview. "Telefone sind auch Gegenstand von SIM-Swapping-Angriffen, die MFA einfach per SMS umgehen können."
Kürzlich wurde der beliebte BBC-Radiomoderator Jeremy Vine Opfer eines Angriffs, der dazu führte, dass sein WhatsApp-Konto eingedrungen wurde.
"Der Angriff, der Vine erfolgreich ausgetrickst hat, beginnt mit dem Erh alt einer scheinbar unerwünschten SMS-Nachricht, die den Zwei-Faktor-Authentifizierungscode für ihr Konto enthält", sagte Ray Walsh, Datenschutzexperte bei der Datenschutzprüfseite ProPrivacy ein E-Mail-Interview.
"Danach erhält das Opfer eine Direktnachricht von einem Kontakt, der behauptet, ihm versehentlich einen Code geschickt zu haben. Schließlich wird das Opfer gebeten, dem Hacker den Code weiterzuleiten, der ihm sofortigen Zugriff auf das Konto des Opfers ermöglicht."
Software kann auch ein Problem sein. „Aufgrund von Geräteschwachstellen könnte die MFA möglicherweise von einer undichten App oder einem kompromittierten Gerät abgehört werden, dessen sich der Benutzer nicht bewusst ist“, sagte George Freeman, Lösungsberater bei der Regierungsgruppe von LexisNexis Risk Solutions, in einem E-Mail-Interview.
Gib dein Handy noch nicht her
Textbasierte MFA ist jedoch besser als nichts, sagen Experten. „MFA ist eines der leistungsstärksten Tools, die Benutzer zum Schutz ihrer Konten haben“, sagte Mark Nunnikhoven, Vizepräsident für Cloud-Forschung beim Cybersicherheitsunternehmen Trend Micro, in einem E-Mail-Interview.
"Es sollte wann immer möglich aktiviert werden. Wenn Sie die Wahl haben, verwenden Sie eine Authentifizierungs-App auf Ihrem Smartphone - aber stellen Sie am Ende einfach sicher, dass MFA in irgendeiner Form aktiviert ist."
Eine einfache, kostengünstige Möglichkeit, die Sicherheit zu erhöhen, ist die Verwendung der Authentifizierungs-App auf Ihrem Telefon, sagte Peter Robert, Mitbegründer und CEO des IT-Unternehmens Expert Computer Solutions, in einem E-Mail-Interview.
“Wenn Sie das Budget haben und die Sicherheit für kritisch h alten, würde ich Sie ermutigen, hardwarebasierte MFA-Schlüssel zu evaluieren“, fügte er hinzu Überwachungsdienst, um Sie darüber zu informieren, ob persönliche Informationen über Sie im Dark Web verfügbar sind und zum Verkauf angeboten werden."
Für einen Ansatz im Stil von Mission Impossible verwendet der neue Standard FIDO2 mit Webauthn biometrische Authentifizierung, sagt Freeman. „Der Benutzer stellt eine Verbindung zu einer Finanzseite her, gibt einen Benutzernamen ein, die Website kontaktiert das mobile Gerät [des] Benutzers, eine sichere App auf [dem] Telefon fordert den Benutzer dann auf, [ihre] Gesichts-ID oder seinen Fingerabdruck einzugeben. Wenn dies erfolgreich ist, wird es dann authentifiziert die Websitzung", sagte er.
Bei so vielen möglichen Bedrohungen ist es möglicherweise an der Zeit, nach sichereren Wegen zu suchen, um sich bei Websites anzumelden, auf denen persönliche Informationen gespeichert sind. Hacker könnten im Internet lauern und nur darauf warten, Ihr Passwort abzufangen.
