¿Ha oído hablar de autenticación de dos factores? También conocido como 2FA o verificación en 2 pasos, es una tecnología que ha existido desde hace bastante tiempo.
patentado en 1984, 2FA proporciona la identificación de usuarios en base a la combinación de dos componentes diferentes. Durante los últimos años, 2FA ha sido considerada como una forma segura de identificación de usuario. Sin embargo, Recientes investigaciones sobre sólo puede probar esto equivocada creencia.
Los diversos tipos de ingeniería social pueden engañar fácilmente al usuario para confirmar sus códigos de autenticación. Como se puede hacer esto? De acuerdo con Nasir Memon, profesor de Ciencias de la Computación de la Facultad de Ingeniería Tandon, el hueco simplemente tendría que pedir al usuario el código de verificación oficial.
¿Cómo? Mediante el envío de un segundo, mensaje de texto o correo electrónico falsificado pidiendo al usuario que transmita la original. Profe. Memon ha visto que esto suceda varias veces. Este tipo de 2FA se utiliza sobre todo a través de Internet para verificar la identidad de un usuario que ha perdido su contraseña. Tales códigos son generalmente incorporados en un hipervínculo de correo electrónico.
Para probar que es realmente poco fiable 2FA, Profe. Memon junto con sus colegas Hossein Siadati y Toan Nguyen, publicado un documento sobre la base de sus experimentos que ilustra los problemas relacionados con el 2FA. Pues resulta que, 2FA es sobre todo un problema en las comunicaciones SMS.
¿Qué es la autenticación de 2 factores basados en SMS?
la verificación basada en SMS es un subconjunto de autenticación de dos factores (2FA) mecanismos que se utiliza una contraseña de una sola vez como un segundo factor para la autenticación. la verificación basada en SMS no es capaz de proporcionar seguridad contra un ataque de suplantación de identidad. El argumento es que en un ataque de phishing éxito, el atacante atraer a una víctima que introduzca la contraseña de una sola vez, así. Este ataque se despliega por los atacantes en la naturaleza.
Historias relacionadas: Cima 5 Los ataques cibernéticos Iniciado por spear phishing
El experimento
Para probar su punto, los investigadores reunieron a un grupo de 20 los usuarios de teléfonos móviles sólo para descubrir que un cuarto remitiría al instante la verificación de correo electrónico cuando se le solicite.
Lo que el investigador no es imitar un VCFA (Ataque del código de verificación de reenvío) ataque, un término que se hacen a mano para la ocasión de la cibernética Crooks atraer a los usuarios en los esquemas de ingeniería social que implican 2FA.
Así, esto es lo que sucedió durante la VCFA en el 20 los usuarios móviles:
[…] imitamos un ataque VCFA usando mensajes similares a Google mensajes de código de verificación. Compramos dos números de teléfono de 10 dígitos U.S.A., uno para imitar el papel de un proveedor de servicios (e.g., Google en nuestro experimento) y el otro para imitar la función del atacante (e.g., enviar el mensaje de phishing a los sujetos). El código de área de los números de teléfono fuera de Mountain View, California (código de área de la sede de Google) para hacer que el primer mensaje aparecerá más legítimo y el segundo más engañoso. Se seleccionaron al azar 20 temas de la lista de contactos de los experimentadores. Los sujetos incluidos 10 machos y 10 las hembras, la mayoría de entre 25-35. 70% de los sujetos eran estudiantes. [...] Hemos enviado dos mensajes a cada tema desde dos números diferentes. [...] 5 de 20 los sujetos remitidos los códigos de verificación. Esto se traduce en 25% el éxito del ataque VCFA.
Cuando los ataques VCFA están sucediendo en un ecosistema de correo electrónico, es más fácil para el usuario para determinar si un mensaje es verdadero o falso. Sin embargo, en SMS, es mucho más difícil decir la diferencia. En otras palabras, SMS no es como un mensaje de correo electrónico en el que el usuario puede tener una buena mirada en la dirección del remitente y asegúrese de que es real.
Echar un vistazo a la totalidad investigación.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: