Nors 2FA ir MFA gerokai sustiprina paskyrų saugumą, dalis jų metodų (ypač SMS kodai ar „push“ pranešimai) yra pažeidžiami sukčiavimo atakų.
Dviejų veiksnių autentifikavimas (2FA) ir daugiafaktorinis autentifikavimas (MFA) sustiprina paskyrų saugumą, tačiau kibernetiniai nusikaltėliai randa būdų apeiti ir šias priemones. Vienas dažniausių metodų – vadinamieji „adversary-in-the-middle“ (AitM) išpuoliai, kai sukčiai pasinaudoja silpnesniais autentifikavimo būdais.
Kas yra 2FA ir MFA?
- 2FA – tai dviejų veiksnių autentifikavimas, kai prisijungimui reikia, pavyzdžiui, slaptažodžio ir SMS kodo. Abu veiksniai gali būti tos pačios kategorijos (pvz., ką žinai: slaptažodis ir PIN).
- MFA – daugiafaktorinis autentifikavimas. Čia būtina naudoti bent du nepriklausomus veiksnius: ką žinai (slaptažodis), ką turi (fizinė saugos raktinė ar autentifikavimo kodas), arba kas esi (biometrija, pvz., piršto atspaudas). MFA paprastai saugesnis, bet jei visi veiksniai laikomi tame pačiame įrenginyje, rizika išauga.
Atkreipkite dėmesį, kad nors 2FA ir MFA dažnai vartojami kaip sinonimai, jie nebūtinai yra tas pats. 2FA naudoja du veiksnius vartotojo prisijungimui patvirtinti, pvz., slaptažodį ir saugos klausimą arba SMS kodą. Naudojant 2FA, abu veiksniai gali būti tai, ką vartotojas žino, pvz., slaptažodį ir PIN kodą.
MFA reikalauja bent dviejų veiksnių, ir jie turi būti nepriklausomi: žinojimo veiksnio, pvz., slaptažodžio, ir biometrinio ID arba saugaus autentifikavimo priemonės, pvz., saugos rakto ar vienkartinio slaptažodžio, derinys. Įprastai kuo daugiau autentifikavimo veiksnių reikia, tuo didesnis paskyros saugumas. Tačiau jei visus veiksnius galima rasti tame pačiame įrenginyje, saugumui kyla pavojus, jei tas įrenginys nulaužiamas, pametamas ar pavagiamas.
Kaip įvyksta ataka?
Sukčiai siunčia pranešimą, kad jūsų paskyra (pvz., „Google“) yra nulaužta. Jums pateikiama nuoroda, kuri atrodo tikra, bet veda į sukčiavimo (phishing) puslapį. Ten įvedus slaptažodį ir autentifikavimo kodą ar patvirtinus „push“ pranešimą, duomenys perduodami tikram „Google“ serveriui, bet kartu nukeliauja ir įsilaužėliams. Taip jie gauna prieigą prie paskyros.
Ši schema dar labiau išpopuliarėjo dėl internete platinamų „phishing-as-a-service“ rinkinių.
Kaip atpažinti kenkėjiškus 2FA pranešimus
Vienas būdų, kaip įsilaužėliai apeina 2FA, yra vadinamasis „bombardavimas užklausomis“ – nuolatiniai autentifikavimo užklausų pranešimai. Jūs galite sulaukti dešimčių ar net šimtų „push“ pranešimų į telefoną per trumpą laiką, dažnai vėlai naktį, kai esate mažiau budrūs. Sukčiai tikisi, kad galiausiai, iš susierzinimo, patvirtinsite bent vieną iš jų. Nedarykite to.
Jei gaunate 2FA pranešimą tuo metu, kai patys nesate bandę prisijungti prie savo paskyros, tai yra aiškus įspėjamasis ženklas. Kitas ženklas – prisijungimo bandymas iš nepažįstamo įrenginio ar vietovės, pavyzdžiui, „Google“ pranešimas apie „Windows“ kompiuterį, nors naudojate „Mac“, arba bandymas prisijungti iš visiškai kitos šalies.
Atkreipkite dėmesį į sukčiavimo požymius – pavyzdžiui, neįprastus ar imituojančius simbolius interneto adresuose bei prastą gramatiką ar rašybą.
Taip pat būkite atsargūs, jei pranešimuose ar iššokančiuose languose prašoma leidimų, nesusijusių su naudojama programa ar paslauga, pvz., prieigos prie visų jūsų kontaktų.
Sukčiai gali bandyti susisiekti su jumis telefonu, SMS ar el. paštu ir paprašyti jūsų 2FA SMS kodų. Telefonų numerius ar el. pašto adresus labai lengva suklastoti, todėl nepasikliaukite „Caller ID“ ar siuntėjo informacija, net jei ji atrodo tikra. Įmonės niekada neprašo slaptažodžių ar autentifikavimo kodų telefonu ar nepageidaujamais pranešimais, todėl tokius skambučius ar žinutes ignoruokite.
Jei gaunate įtartinus 2FA prašymus per „push“ pranešimus, SMS ar kitais būdais – ignoruokite juos ir pakeiskite susijusios paskyros slaptažodį, prisijungdami tiesiai prie oficialios svetainės ar programėlės, o ne per gautą pranešimą (nes tai gali būti „phishing“ svetainė).
Kaip sustiprinti MFA saugumą?
- Venkite SMS kodų ar paprastų „push“ pranešimų.
- Rinkitės WebAuthn pagrįstą autentifikavimą: biometrinius duomenis ar „passkeys“, saugomus įrenginio aparatinėje įrangoje, arba fizinius saugos raktus, pvz., „YubiKey“. Tokie metodai susieti su tikruoju URL ir konkrečiu įrenginiu, todėl juos praktiškai neįmanoma apeiti.
- Atsargiai vertinkite įtartinus pranešimus: nepasiduokite skubos jausmui, nespauskite nežinomų siuntėjų nuorodų, tikrinkite jų patikimumą.
