Avete sentito parlare di autenticazione a due fattori? Conosciuto anche come 2FA o la verifica 2-step, si tratta di una tecnologia che è stato intorno per un bel po 'di tempo.
brevettata nel 1984, 2FA fornisce identificazione degli utenti basato sulla combinazione di due componenti differenti. Negli ultimi anni, 2FA è stata considerata come un modo sicuro di identificazione degli utenti. Tuttavia, recenti i ricercatori possono solo dimostrare questo torto convinzione.
I vari tipi di ingegneria sociale possono facilmente ingannare l'utente a confermare i loro codici di autenticazione. Come potrebbe questo essere fatto? Secondo Nasir Memon, Professor Computer Science presso Tandon Facoltà di Ingegneria, il truffatore sarebbe semplicemente bisogno di chiedere all'utente il codice di verifica ufficiale.
Come? Inviando una seconda, messaggio di testo o e-mail falsificati che chiede all'utente di inoltrare l'originale. Prof. Memon ha visto accadere più volte. Questo tipo di 2FA è usato soprattutto su Internet per verificare l'identità di un utente che ha perso la propria password. Tali codici sono di solito incorporati in un collegamento ipertestuale e-mail.
Per dimostrare che 2FA in realtà è inaffidabile, Prof. Memon insieme ai suoi colleghi Hossein Siadati e Toan Nguyen, ha pubblicato un documento in base ai loro esperimenti che illustra i problemi 2FA correlati. Come risulta, 2FA è principalmente un problema di comunicazione via SMS.
Che cosa è basato su SMS di autenticazione a 2 fattori?
verifica SMS-based è un sottoinsieme di autenticazione a due fattori (2FA) meccanismi in cui una one-time password viene utilizzato come secondo fattore per l'autenticazione. la verifica SMS-based non è in grado di garantire la sicurezza contro un attacco di phishing. L'argomento è che in un attacco di phishing successo, l'attaccante attirare una vittima di inserire la password one-time come pure. Questo attacco è distribuito da aggressori in natura.
ARTICOLI cORRELATI: Superiore 5 Attacchi informatici Iniziato da Spear Phishing
L'esperimento
Per dimostrare il loro punto, I ricercatori hanno raccolto un gruppo di 20 utenti di telefonia mobile solo per scoprire che un quarto trasmetterà immediatamente l'e-mail di verifica quando richiesto.
Quello che il ricercatore ha IS imitare un VCFA (Verifica codice di attacco Forwarding) attacco, un termine che essi realizzati per l'occasione di cyber truffatori attirare gli utenti in schemi di social engineering che coinvolgono 2FA.
Così, ecco cosa è successo durante la VCFA sulla 20 gli utenti mobili:
[…] imitavamo un attacco VCFA utilizzando messaggi simili ai messaggi di codice di verifica di Google. Abbiamo comprato due numeri di telefono U.S.A 10 cifre, una per imitare il ruolo di un fornitore di servizi (es, Google nel nostro esperimento) e l'altro per imitare il ruolo dell'attaccante (es, l'invio del messaggio di phishing ai soggetti). Il codice di zona per i numeri di telefono erano Mountain View, CA (codice di zona per la sede di Google) per fare il primo messaggio apparire più legittimo e il secondo più ingannevole. Abbiamo scelto in modo casuale 20 soggetti dalla lista dei contatti degli sperimentatori. I soggetti inclusi 10 maschi e 10 femmine, principalmente età compresa tra 25-35. 70% dei soggetti erano studenti. [...] Abbiamo inviato due messaggi per ciascun soggetto da due numeri diversi. [...] 5 su 20 soggetti inoltrati i codici di verifica. Questo si traduce per 25% successo per l'attacco VCFA.
Quando gli attacchi VCFA stanno accadendo in un ecosistema e-mail, è più facile per l'utente per determinare se un messaggio è vero o falso. Tuttavia, in SMS, è molto difficile capire la differenza. In altre parole, SMS non è come un messaggio di posta elettronica in cui l'utente può avere una buona occhiata a l'indirizzo del mittente e assicurarsi che sia vero.
Date un'occhiata a tutto ricerca.