Millioner stoler stadig på multifaktorautentificering (MFA) via sms eller autentificeringsapps. Men disse forsvar er ikke længere nok. MFA-fiskingsangreb stiger hurtigt og viser, hvordan angribere nemt kan omgå svage sikkerhedslag. Det, der engang føltes sikkert, er nu et af de svageste led i onlinebeskyttelsen.
Hvordan MFA blev et mål
Først opfordrede sikkerhedseksperter brugere til at bruge sms-baseret MFA.
Senere advarede de: brug ikke sms – brug autentificeringsapps i stedet.
Det virkede som fremskridt.
Autentificeringsapps undgår aflytning af beskeder, i modsætning til sms.
Men de er stadig utilstrækkelige.
Fiskerkits opsnapper nu realtidskoder fra autentificeringsapps.
Tidsbaserede koder kan fiskes, videresendes eller stjæles, hvis enheden er kompromitteret.
Det egentlige problem?
Systemet ved ikke, om anmodningen er legitim – eller fra et falsk site.
Og det ved angriberne også.
Virkelige brud beviser risikoen
Nylige brud viser, hvor let MFA kan omgås.
Ofrene inkluderede Aflac, Erie Insurance og Philadelphia Insurance Companies.
Angriberne brugte simple tricks:
- Fiskemails.
- Falske hjemmesider.
- Social engineering.
Ofrene indtastede brugernavne, adgangskoder og godkendte falske anmodninger i deres autentificeringsapp.
Så let fik angriberne fuld adgang.
MFA-fiskingsangrebet bryder ikke systemet – det narre brugeren.
Autentificeringsappen kan ikke verificere, hvor anmodningen kommer fra.
De skjulte farer ved sms MFA-fisking
Sms-baseret MFA er endnu værre.
Beskeder kan opsnappes, omdirigeres eller ses af tredjeparter.
Mange tech-giganter, herunder Amazon og Google, bruger stadig tredjeparts sms-leverandører.
Nogle af disse firmaer er forbundet med overvågningsaktiviteter og sikkerhedsbrud.
Selv USAs Cybersecurity and Infrastructure Security Agency (CISA) har advaret:
“Brug ikke sms som anden faktor.”
Er adgangsnøgler løsningen?
Adgangsnøgler er et skridt fremad.
De binder loginoplysninger kryptografisk til hjemmesider og reducerer menneskelige fejl.
Men de er ikke idiotsikre.
Adgangsnøgler gemmes ofte i cloud-konti, som kan blive overtaget.
En kompromitteret telefon eller konto giver angribere adgang til gemte nøgler.
Skadelig software eller tvang kan stadig føre til godkendelser.
Så selvom adgangsnøgler forbedrer sikkerheden, er de ikke immune over for MFA-fiskingsangreb.
Den ægte løsning: Hardwarebaseret biometrisk MFA
Det er tid til at gå videre end koder, cloud og brugerdrevet sikkerhed.
Mød Token Ring og Token BioStick – hardwarebaserede biometriske autentificeringsenheder.
Disse enheder eliminerer de svage punkter i traditionel MFA.
De kræver:
- Fysisk tilstedeværelse.
- Fingeraftryksverifikation.
- Kryptografisk validering af domæne.
- Ingen kodeindtastning.
- Ingen cloud-lagring.
Selv hvis enheden bliver stjålet, er den ubrugelig uden det rigtige fingeraftryk.
Falske hjemmesider kan ikke aktivere autentificering.
Fjernangreb fejler automatisk.
Hvorfor hardware MFA virker mod fisking
Hardware MFA kan ikke fiskes i realtid.
Der er ingen engangskoder at stjæle.
Loginprocessen tjekker domænet kryptografisk.
Ingen match? Ingen adgang.
Selv malware på enheden kan ikke tvinge autentificering.
Den kryptografiske håndtryk sikrer, at alt stemmer.
Dette fjerner tillid som en faktor og erstatter den med verificerbar sikkerhed.
Konklusion
MFA-fiskingsangreb er kommet for at blive.
Hver dag angriber de brugere med falske sider og social engineering.
Sms er forældet.
Autentificeringsapps har svagheder.
Adgangsnøgler hjælper, men har risici.
Kun dedikeret hardware MFA med biometrisk sikring giver ægte modstand mod fisking.
Token Ring og Token BioStick sætter den nye gulstandard.
Angriberne vil komme efter din MFA.
Spørgsmålet er ikke om – men hvornår.
Opgrader din sikkerhed nu – før du bliver næste overskrift.
0 svar til “MFA-fiskingsangreb: Derfor kan du ikke længere stole på dine autentificeringskoder”