Millioner stoler fortsatt på multifaktorautentisering (MFA) med tekstmeldinger eller autentiseringsapper. Men disse forsvarsmekanismene er ikke lenger nok. MFA-fisking øker raskt, og viser hvordan angripere enkelt kan omgå svake sikkerhetslag.
Det som en gang føltes trygt, er nå et av de svakeste leddene i online beskyttelse.
Hvordan MFA ble et mål
Først oppfordret sikkerhetseksperter brukere til å ta i bruk SMS-basert MFA.
Senere advarte de: ikke bruk SMS – bruk autentiseringsapper i stedet.
Det virket som fremgang.
Autentiseringsapper unngår avlytting av meldinger, i motsetning til SMS.
Men de har fortsatt svakheter.
Fiskesett kan nå fange sanntidskoder fra autentiseringsapper.
Tidsbaserte koder kan fiskes, videresendes eller stjeles hvis enheten er kompromittert.
Det virkelige problemet?
Systemet vet ikke om forespørselen er legitim – eller fra en falsk side.
Og angriperne vet det.
Virkelige brudd beviser risikoen
Nylige brudd viser hvor enkelt MFA kan omgås.
Ofrene inkluderte Aflac, Erie Insurance og Philadelphia Insurance Companies.
Angriperne brukte enkle triks:
- Phishing-eposter.
- Falske nettsider.
- Sosial manipulering.
Ofrene skrev inn brukernavn, passord og godkjente den falske forespørselen i autentiseringsappen.
Slik fikk angriperne full tilgang.
MFA-fiskingsangrepet bryter ikke systemet – det lurer brukeren.
Autentiseringsappen kan ikke verifisere hvor forespørselen kommer fra.
De skjulte farene ved SMS MFA-fisking
SMS-basert MFA er enda verre.
Tekstmeldinger kan fanges opp, omdirigeres eller leses av tredjeparter.
Mange teknologigiganter, inkludert Amazon og Google, bruker fortsatt tredjeparts SMS-leverandører.
Noen av disse selskapene er knyttet til overvåkingsoperasjoner og sikkerhetsbrudd.
Selv USAs Cybersecurity and Infrastructure Security Agency (CISA) har advart:
“Bruk ikke SMS som en andre faktor.”
Er passkeys løsningen?
Passkeys er et steg fremover.
De binder på en kryptografisk måte påloggingsinformasjon til nettsteder, og reduserer menneskelige feil.
Men de er ikke idiotsikre.
Passkeys lagres ofte i skylagring, som kan bli kapret.
En kompromittert telefon eller konto gir angripere tilgang til lagrede passkeys.
Skadelig programvare eller tvang kan fortsatt føre til godkjenninger.
Så selv om passkeys forbedrer sikkerheten, er de ikke immune mot MFA-fisking.
Den virkelige løsningen: Maskinvarebasert biometrisk MFA
Det er på tide å gå forbi koder, skyer og sikkerhet avhengig av brukeren.
Møt Token Ring og Token BioStick — maskinvarebaserte biometriske autentikatorer.
Disse enhetene eliminerer svakhetene i tradisjonell MFA.
De krever:
- Fysisk tilstedeværelse.
- Fingeravtrykksverifisering.
- Kryptografisk validering av domenet.
- Ingen kodeinntasting.
- Ingen skylagring.
Selv om noen stjeler enheten, er den ubrukelig uten riktig fingeravtrykk.
Falske nettsider vil ikke utløse autentisering.
Fjernangrep mislykkes automatisk.
Hvorfor maskinvare-MFA fungerer mot fisking
Maskinvare-MFA kan ikke fiskes i sanntid.
Det finnes ingen engangskoder å stjele.
Påloggingsprosessen sjekker domenet kryptografisk.
Ingen match? Ingen tilgang.
Selv skadelig programvare på enheten kan ikke tvinge frem autentisering.
Det kryptografiske håndtrykket sikrer at alt stemmer.
Dette fjerner tillit fra ligningen – og erstatter det med verifiserbar sikkerhet.
Konklusjon
MFA-fiskingsangrep er kommet for å bli.
Hver dag angriper aktører brukere med falske sider og sosial manipulering.
SMS er foreldet.
Autentiseringsapper har svakheter.
Passkeys hjelper, men har risiko.
Kun dedikert maskinvare-MFA med biometrisk sikkerhet gir ekte beskyttelse mot fisking.
Token Ring og Token BioStick setter den nye gullstandarden.
Angripere kommer etter din MFA.
Spørsmålet er ikke om — men når.
Oppgrader sikkerheten din nå — før du blir neste overskrift.
0 svar til “MFA-fiskingsangrep: Hvorfor du ikke lenger kan stole på autentiseringskodene dine”