Heb je gehoord van twee-factor authenticatie? Ook bekend als 2FA of 2 stappen, Het is een technologie die al geruime tijd is geweest.
gepatenteerd in 1984, 2FA geeft identificatie van gebruikers op basis van de combinatie van twee verschillende componenten. Gedurende de laatste paar jaar, 2FA is beschouwd als een veilige manier van identificatie gebruiker. Echter, recente onderzoekers kan gewoon bewijzen dat dit geloof verkeerd.
De verschillende vormen van social engineering kan gemakkelijk misleiden de gebruiker in de bevestiging van hun authenticatie codes. Hoe kon dit gebeuren? Volgens Nasir Memon, Computer Science professor aan Tandon School of Engineering, de boef zou gewoon nodig om de gebruiker te vragen voor de officiële verificatiecode.
Hoe? Door het versturen van een tweede, vervalst SMS-bericht of e-mail waarin de gebruiker de oorspronkelijke doorsturen. prof. Memon heeft dit zien gebeuren meerdere keren. Dit type 2FA wordt meestal gebruikt op internet om de identiteit van een gebruiker die zijn wachtwoord verloren verifiëren. Dergelijke codes zijn meestal ingebed in een e-mail hyperlink.
Om te bewijzen dat 2FA is eigenlijk onbetrouwbaar, prof. Memon samen met zijn collega's Hossein Siadati en Toan Nguyen, publiceerde een papieren op hun experimenten die 2FA-gerelateerde problemen illustreert. Zoals het blijkt, 2FA is vooral een probleem in SMS communicatie.
Wat is een SMS-gebaseerde 2-factor authenticatie?
verificatie-SMS gebaseerde is een subset van twee-factor authenticatie (2FA) mechanismen waarbij een eenmalig wachtwoord wordt gebruikt als een tweede factor authenticatie. verificatie-SMS gebaseerde is niet in staat om de veiligheid te bieden tegen een phishing-aanval. Het argument is dat in een succesvolle phishing-aanval, de aanvaller zal een slachtoffer te lokken naar het eenmalige wachtwoord ook invoeren. Deze aanval is ingezet door aanvallers in het wild.
Verwante Verhalen: Top 5 Cyberaanvallen Gestart door Spear phishing
Het experiment
Om hun punt te bewijzen, de onderzoekers verzamelde een groep van 20 gebruikers van mobiele telefoons om te ontdekken dat een kwart direct zou toekomen de verificatie e-mail wanneer u wordt gevraagd.
Wat de onderzoeker niet wil imiteren een VCFA (Verificatie Code Forwarding Attack) aanval, een term die ze gemaakt ter gelegenheid van cyber boeven lokken gebruikers in social engineering regelingen waarbij 2FA.
Dus, hier is wat er is gebeurd tijdens de VCFA op de 20 mobiele gebruikers:
[…] we geïmiteerd een VCFA aanslag met berichten vergelijkbaar met Google verificatiecode berichten. We kochten twee 10-cijferige U.S.A. telefoonnummers, een voor het nabootsen van de rol van een dienstverlener (bijv., Google in ons experiment) en de andere voor het nabootsen van de rol van de aanvaller (bijv., het verzenden van phishing-bericht naar onderwerpen). Het gebied code voor de telefoonnummers waren Mountain View, CA (netnummer voor Google's hoofdkantoor) om het eerste bericht te maken lijken meer legitiem en het tweede nog een misleidende. We willekeurig gekozen 20 onderwerpen uit de lijst met contacten van de onderzoekers. De onderwerpen opgenomen 10 mannetjes en 10 vrouwtjes, meestal de leeftijd tussen 25-35. 70% van de proefpersonen waren studenten. [...] We stuurde twee berichten naar elk onderwerp uit twee verschillende nummers. [...] 5 uit 20 onderwerpen de verificatie codes doorgestuurd. Dit vertaalt naar 25% succes voor de VCFA aanval.
Wanneer VCFA aanvallen gebeuren in een e-ecosysteem, Het is gemakkelijker voor de gebruiker om te bepalen of een bericht waar of vals. Echter, in SMS, het is veel moeilijker om het verschil te vertellen. Met andere woorden, SMS is niet hetzelfde als een e-mailbericht waarin de gebruiker een goede blik op het adres van de afzender kan hebben en zorg ervoor dat het echt.
Neem een kijkje op de hele onderzoek.