Avez-vous entendu parler de l'authentification à deux facteurs? Aussi appelé 2FA ou de vérification 2-étape, il est une technologie qui a été autour depuis un certain temps.
breveté en 1984, 2FA permet l'identification des utilisateurs en fonction de la combinaison de deux composants différents. Au cours des dernières années, 2FA a été considéré comme un moyen sécurisé d'identification de l'utilisateur. Cependant, les chercheurs récents peuvent simplement prouver mal de croyance.
Les différents types d'ingénierie sociale peuvent facilement tromper l'utilisateur en confirmant leur code d'authentification. Comment cela pourrait-il être fait? Selon Nasir Memon, Computer Science professeur à Tandon School of Engineering, l'escroc aurait simplement besoin de demander à l'utilisateur le code de vérification officiel.
Comment? En envoyant une seconde, message texte falsifié ou envoyez un courriel demandant à l'utilisateur de transmettre l'original. Prof. Memon a vu cela se produire à plusieurs reprises. Ce type de 2FA est principalement utilisé sur Internet pour vérifier l'identité d'un utilisateur qui a perdu son mot de passe. Ces codes sont généralement intégrés dans un lien hypertexte email.
Pour prouver que 2FA est en réalité peu fiable, Prof. Memon avec ses collègues Hossein Siadati et Toan Nguyen, publié un document basé sur leurs expériences qui illustre les problèmes liés 2FA-. Comme il s'avère, 2FA est surtout un problème dans les communications SMS.
Qu'est-ce que 2 facteurs d'authentification par SMS?
vérification par SMS est un sous-ensemble d'authentification à deux facteurs (2FA) mécanismes où un mot de passe unique est utilisé comme un deuxième facteur d'authentification. la vérification par SMS ne peut pas assurer la sécurité contre une attaque de phishing. L'argument est que, dans une attaque phishing réussie, l'attaquant attirera une victime d'entrer le mot de passe unique et. Cette attaque est déployée par des attaquants dans la nature.
Histoires connexes: Haut 5 Les attaques de Cyber Démarré par Spear Phishing
L'expérience
Pour prouver leur point, les chercheurs ont réuni un groupe de 20 les utilisateurs de téléphones mobiles pour découvrir qu'un quart serait instantanément envoyer l'e-mail de vérification lorsque vous êtes invité.
Ce que le chercheur a fait est un AFVC imiter (Code de vérification Renvoi d'attaque) attaque, un terme qui ils ont élaboré à l'occasion de cyber escrocs utilisateurs dans les systèmes leurre d'ingénierie sociale impliquant 2FA.
Si, voici ce qui est arrivé au cours de la AFVC sur la 20 les utilisateurs mobiles:
[…] nous imitions une attaque AFVC en utilisant des messages similaires aux messages de code de vérification Google. Nous avons acheté deux 10 chiffres des numéros de téléphone E.U.A., un pour imiter le rôle d'un fournisseur de services (par exemple, Google dans notre expérience) et l'autre pour imiter le rôle de l'attaquant (par exemple, l'envoi d'un message de phishing à des sujets). Le code régional pour les numéros de téléphone étaient Mountain View, Californie (indicatif régional pour le siège social de Google) de faire le premier message apparaît plus légitime et le second plus trompeur. Nous avons choisi au hasard 20 sujets de la liste des contacts des expérimentateurs. Les sujets inclus 10 les hommes et 10 femelles, la plupart âgés entre 25-35. 70% des sujets étaient des étudiants. [...] Nous avons envoyé deux messages à chaque sujet de deux numéros différents. [...] 5 de 20 sujets transmis les codes de vérification. Cela se traduit à 25% succès pour l'attaque AFVC.
Lorsque les attaques AFVC se produisent dans un écosystème e-mail, il est plus facile pour l'utilisateur de déterminer si un message est vrai ou faux. Cependant, en SMS, il est beaucoup plus difficile de faire la différence. En d'autres termes, SMS est pas comme un message électronique dans lequel l'utilisateur peut avoir un bon aperçu à l'adresse de l'expéditeur et assurez-vous qu'il est réel.
Jetez un oeil à l'ensemble recherche.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: