Belangrijkste afhaalrestaurants
- Hackers kunnen op telefoons gebaseerde multi-factor authenticatie (MFA) codes stelen, zeggen experts.
- Telefoonbedrijven zijn misleid om telefoonnummers over te dragen zodat criminelen de codes kunnen krijgen.
- Een eenvoudige, goedkope manier om de beveiliging te vergroten, is door de authenticator-app op je telefoon te gebruiken.
Om je te beschermen tegen hackers, stop met het gebruik van op de telefoon gebaseerde multi-factor authenticatie (MFA) codes die worden verzonden via sms en spraakoproepen, schrijft een topbeveiligingsexpert in een nieuwe analyse.
Telefooncodes zijn kwetsbaar voor onderschepping door hackers, schreef Alex Weinert, directeur identiteitsbeveiliging bij Microsoft, in een recente blogpost. Op tekst gebaseerde codes zijn beter dan niets, zeggen waarnemers. Maar gebruikers moeten telefonische authenticatie vervangen door apps en beveiligingssleutels.
"Deze mechanismen zijn gebaseerd op openbaar geschakelde telefoonnetwerken (PSTN), en ik geloof dat ze de minst veilige zijn van de MFA-methoden die tegenwoordig beschikbaar zijn", schreef hij.
"Die kloof zal alleen maar groter worden naarmate MFA-adoptie de interesse van aanvallers om deze methoden te doorbreken vergroot en speciaal gebouwde authenticators hun beveiligings- en bruikbaarheidsvoordelen uitbreiden. Plan nu uw overstap naar wachtwoordloze sterke auth-de authenticator-app biedt een onmiddellijke en evoluerende optie."
MFA is een beveiligingsmethode waarbij een computergebruiker pas toegang krijgt tot een website of applicatie nadat hij met succes twee of meer bewijsstukken heeft voorgelegd aan een authenticatiemechanisme. Deze codes worden vaak telefonisch verzonden.
Hackers doen alsof ze jou zijn
Er zijn echter manieren waarop hackers toegang kunnen krijgen tot telefooncodes, zeggen waarnemers. In sommige gevallen zijn telefoonbedrijven misleid om telefoonnummers over te dragen zodat hackers de codes kunnen krijgen.
"Telefoons zijn zo onveilig dat gebruikers vaak zwendeloproepen krijgen vanuit derdewereldlanden terwijl ze Amerikaanse regionale telefoonnummers tonen", zei Matthew Rogers, CISO van cloudprovider Syntax, in een e-mailinterview. "Telefoons zijn ook onderhevig aan sim-swapping-aanvallen, die MFA gemakkelijk kunnen omzeilen via sms."
Onlangs werd de populaire BBC-radiopresentator Jeremy Vine het slachtoffer van een aanval waardoor zijn WhatsApp-account werd binnengedrongen.
"De aanval die Vine met succes heeft misleid, begint met de ontvangst van een schijnbaar ongevraagd sms-bericht dat de tweefactorauthenticatiecode voor hun account bevat", zei Ray Walsh, dataprivacy-expert bij de privacybeoordelingssite ProPrivacy, in een e-mailgesprek.
"Daarna ontvangt het slachtoffer een direct bericht van een contactpersoon die beweert hen per ongeluk een code te hebben gestuurd. Ten slotte wordt het slachtoffer gevraagd om de hacker de code door te sturen, waardoor hij direct toegang heeft tot het account van het slachtoffer."
Software kan ook een probleem zijn. "Vanwege de kwetsbaarheden van het apparaat kan de MFA mogelijk worden afgeluisterd door een lekkende app of een gecompromitteerd apparaat waarvan de gebruiker zich niet bewust is", zei George Freeman, oplossingenadviseur bij de overheidsgroep van LexisNexis Risk Solutions, in een e-mailinterview.
Geef je telefoon nog niet op
Op tekst gebaseerde MFA is echter beter dan niets, zeggen experts. "MFA is een van de krachtigste tools die een gebruiker heeft om zijn accounts te beschermen", zegt Mark Nunnikhoven, vice-president cloudonderzoek bij cyberbeveiligingsbedrijf Trend Micro, in een e-mailinterview.
"Het moet waar mogelijk worden ingeschakeld. Als je de keuze hebt, gebruik dan een authenticatie-app op je smartphone, maar zorg er uiteindelijk voor dat MFA in welke vorm dan ook is ingeschakeld."
Een eenvoudige, goedkope manier om de beveiliging te vergroten, is door de authenticator-app op je telefoon te gebruiken, zei Peter Robert, mede-oprichter en CEO van IT-bedrijf Expert Computer Solutions, in een e-mailinterview.
"Als je het budget hebt en beveiliging van cruciaal belang vindt, zou ik je willen aanmoedigen om op hardware gebaseerde MFA-sleutels te evalueren", voegde hij eraan toe. "Voor bedrijven en individuen die zich zorgen maken over beveiliging, zou ik ook een dark web aanbevelen monitoringservice om u te laten weten of persoonlijke informatie over u beschikbaar is en te koop is op het dark web."
Voor een meer Mission Impossible-achtige benadering maakt de nieuwe standaard FIDO2 met Webauthn gebruik van biometrische authenticatie, zegt Freeman. "De gebruiker maakt verbinding met een financiële site, voert een gebruikersnaam in, de website neemt contact op met het mobiele apparaat van [de] gebruiker, een beveiligde app op [de] telefoon vraagt de gebruiker vervolgens om [hun] gezichts-ID of vingerafdruk. Als dit lukt, wordt vervolgens geverifieerd de websessie', zei hij.
Met zoveel mogelijke bedreigingen, is het misschien tijd om op zoek te gaan naar veiligere manieren om in te loggen op websites die persoonlijke informatie opslaan. Hackers kunnen op het web op de loer liggen en wachten om uw wachtwoord te onderscheppen.
