Har du hørt om to-faktor-autentificering? Også kendt som 2FA eller 2 totrinsbekræftelse, det er en teknologi, der har eksisteret i temmelig lang tid.
Patenteret i 1984, 2FA giver identifikation af brugere baseret på kombinationen af to forskellige komponenter. I løbet af de sidste par år, 2FA har været betragtet som en sikker måde at brugeridentifikation. Men, seneste forskere kan bare bevise denne tro forkert.
De forskellige typer af social engineering kan nemt narre brugeren til at bekræfte deres authentication-koder. Hvordan kunne det ske? Ifølge Nasir Memon, Datalogi professor ved Tandon School of Engineering, skurk ville simpelthen nødt til at bede brugeren om den officielle kontrolkode.
Hvordan? Ved at sende en anden, forfalskede SMS eller e-mail beder brugeren om at fremsende den originale. Prof. Memon har set det ske flere gange. Denne type af 2FA bruges oftest på tværs af internettet til at kontrollere identiteten af en bruger, der har mistet deres password. Sådanne koder er normalt indlejret i en e-mail hyperlink.
For at bevise, at 2FA er faktisk upålidelig, Prof. Memon sammen med sine kolleger Hossein Siadati og Toan Nguyen, offentliggjort et dokument baseret på deres eksperimenter, der illustrerer 2FA-relaterede problemer. Da det viser sig,, 2FA er for det meste et problem i sms-kommunikation.
Hvad er SMS-baserede 2-faktor-godkendelse?
SMS-baseret kontrol er en delmængde af to-faktor-autentificering (2FA) mekanismer, hvor en engangs-adgangskode anvendes som en anden faktor til autentifikation. SMS-baserede kontrol er ikke i stand til at yde sikkerhed mod et phishing angreb. Argumentet er, at i en vellykket phishing-angreb, angriberen vil lokke et offer til at indtaste engangs-adgangskode samt. Dette angreb er indsat af angribere i naturen.
Relaterede historier: Top 5 Cyber angreb Startet af Spear phishing
eksperimentet
For at bevise deres punkt, forskerne indsamlet en gruppe af 20 mobiltelefonbrugere kun for at opdage, at en fjerdedel straks ville fremsende kontrollen e-mail, når du bliver bedt om.
Hvad forskeren gjorde, er efterligne en VCFA (Bekræftelseskode Forwarding Attack) angreb, et begreb, de udformet til lejligheden af cyber skurke lokke brugere i de sociale, som involverer 2FA.
Så, her er hvad der skete under VCFA på 20 mobile brugere:
[…] vi efterlignede en VCFA angreb ved hjælp beskeder ligner Google verifikation kode meddelelser. Vi købte to 10-cifrede U.S.A. telefonnumre, en til at efterligne rollen som en tjenesteudbyder (f.eks, Google i vores eksperiment) og den anden til at efterligne rolle angriberen (f.eks, sende phishing-meddelelse til emner). Området kode for telefonnumrene var Mountain View, CA (områdenummer for Googles hovedkvarter) at gøre den første besked fremstår mere legitimt og den anden mere vildledende. Vi valgte tilfældigt 20 fag fra listen over eksperimentatorer kontakt. Emnerne omfattede 10 hanner og 10 hunner, hovedsagelig alderen 25-35. 70% af de emner var studerende. [...] Vi sendte to meddelelser til hvert emne fra to forskellige numre. [...] 5 ud af 20 fag fremsendt verifikationskoder. Dette er oversat til 25% succes for VCFA angreb.
Når VCFA angreb sker i en e-økosystem, det er lettere for brugeren at bestemme, om en meddelelse er sand eller falsk. Men, i sms, det er meget svært at se forskel. Med andre ord, SMS er ikke som en email, hvor brugeren kan få et godt kig på afsenderens adresse og sørg for at det er ægte.
Tag et kig på hele forskning.