Системы двухфакторной аутентификации не так надежны, как кажутся. Злоумышленнику на самом деле не нужен ваш токен физической аутентификации, если он может обмануть вашу телефонную компанию или саму безопасную службу, чтобы впустить их.
Дополнительная аутентификация всегда полезна. Хотя ничто не обеспечивает такой идеальной безопасности, какой мы все хотим, использование двухфакторной аутентификации создает больше препятствий для злоумышленников, которым нужны ваши данные.
Ваша телефонная компания является слабой ссылкой
Системы двухэтапной аутентификации на многих веб-сайтах работают, отправляя сообщение на ваш телефон с помощью SMS, когда кто-то пытается войти в систему. Даже если вы используете специальное приложение на своем телефоне для генерации кодов, есть большая вероятность, что выбранный вами сервис предлагает позвольте людям войти в систему, отправив код SMS на ваш телефон. Или служба может позволить вам удалить защиту двухфакторной аутентификации из вашей учетной записи после подтверждения того, что у вас есть доступ к номеру телефона, который вы настроили в качестве номера для восстановления.
Все это звучит хорошо. У вас есть мобильный телефон, и у него есть номер телефона. В нем есть физическая SIM-карта, которая связывает его с этим номером телефона у вашего оператора сотовой связи. Все это кажется очень физическим. Но, к сожалению, ваш номер телефона не так безопасен, как вы думаете.
Если вам когда-нибудь понадобилось перенести существующий номер телефона на новую SIM-карту после потери телефона или просто получения нового, вы будете знать, что часто можете сделать это полностью по телефону – или, возможно, даже онлайн. Все, что нужно сделать злоумышленнику, это позвонить в отдел обслуживания клиентов вашей сотовой компании и притвориться вами. Они должны будут знать, какой у вас номер телефона, и знать некоторые личные данные о вас. Это такие подробности, например, номер кредитной карты, последние четыре цифры SSN и другие, которые регулярно просачиваются в большие базы данных и используются для кражи личных данных. Злоумышленник может попытаться переместить ваш номер телефона на свой телефон.
Есть еще более простые способы. Или, например, они могут настроить переадресацию вызовов на стороне телефонной компании, чтобы входящие голосовые вызовы переадресовывались на их телефон и не доходили до вашего.
Черт, злоумышленнику может не понадобиться доступ к вашему полному номеру телефона. Они могут получить доступ к вашей голосовой почте, попытаться войти на веб-сайты в 3 часа ночи, а затем получить коды подтверждения из вашего голосового почтового ящика. Насколько безопасна система голосовой почты вашей телефонной компании? Насколько безопасен ваш PIN-код для голосовой почты – вы даже его установили? Не у всех есть! И, если у вас есть, сколько усилий потребуется злоумышленнику для восстановления PIN-кода вашей голосовой почты, позвонив в телефонную компанию?
С вашим номером телефона все кончено
Ваш номер телефона становится слабым звеном, позволяя злоумышленнику удалить двухэтапное подтверждение из вашей учетной записи – или получить двухэтапные коды подтверждения – с помощью SMS или голосовых вызовов. К тому времени, когда вы понимаете, что что-то не так, они могут получить доступ к этим учетным записям.
Это проблема практически для каждого сервиса. Онлайн-сервисы не хотят, чтобы люди теряли доступ к своим учетным записям, поэтому они обычно позволяют обойти и удалить эту двухфакторную аутентификацию с вашим номером телефона. Это помогает, если вам пришлось перенастроить свой телефон или получить новый, и вы потеряли свои коды двухфакторной аутентификации – но у вас все еще есть свой номер телефона.
Теоретически здесь должно быть много защиты. В действительности вы имеете дело со специалистами по обслуживанию клиентов у поставщиков услуг сотовой связи. Эти системы часто устанавливаются для повышения эффективности, и сотрудник службы поддержки клиентов может упускать из виду некоторые меры предосторожности, с которыми сталкивается клиент, который кажется раздраженным, нетерпеливым и обладает, как представляется, достаточной информацией. Ваша телефонная компания и ее отдел обслуживания клиентов являются слабым звеном в вашей безопасности.
Защитить свой номер телефона сложно. Реально, сотовые компании должны предоставить больше мер безопасности, чтобы сделать это менее рискованным. В действительности вы, вероятно, хотите сделать что-то самостоятельно, вместо того, чтобы ждать, пока крупные корпорации исправят свои процедуры обслуживания клиентов. Некоторые сервисы могут позволить вам отключить восстановление или сброс по телефонным номерам и обильно предупредить об этом – но, если это критически важная система, вы можете выбрать более безопасные процедуры сброса, такие как коды сброса, которые вы можете заблокировать в банковском хранилище в случае, если они тебе когда-нибудь нужны.
Другие процедуры сброса
Это касается не только вашего номера телефона. Многие службы позволяют вам удалить эту двухфакторную аутентификацию другими способами, если вы заявляете, что потеряли код и вам необходимо войти в систему. Если вы знаете достаточно личных данных об учетной записи, вы можете войти в нее.
Попробуйте сами – перейдите на службу, которую вы обеспечили с помощью двухфакторной аутентификации, и представьте, что вы потеряли код.Посмотрите, что требуется, чтобы войти. Возможно, вам придется предоставить личные данные или ответить на небезопасные «вопросы безопасности» в худшем случае. Это зависит от того, как настроен сервис. Вы можете сбросить его, отправив ссылку на другую учетную запись электронной почты, и в этом случае эта учетная запись электронной почты может стать слабой ссылкой. В идеальной ситуации вам может просто понадобиться доступ к номеру телефона или коду восстановления – и, как мы видели, часть номера телефона является слабым звеном.
Вот еще что страшно: речь идет не только об обходе двухэтапной проверки. Злоумышленник может использовать похожие приемы, чтобы полностью обойти ваш пароль. Это может работать, потому что онлайн-сервисы хотят, чтобы люди могли восстановить доступ к своим учетным записям, даже если они потеряли свои пароли.
Например, взгляните на систему восстановления аккаунта Google. Это последний вариант восстановления вашей учетной записи. Если вы утверждаете, что не знаете каких-либо паролей, вас в конечном итоге попросят предоставить информацию о вашей учетной записи, например, когда вы ее создали и кому вы часто пишете по электронной почте. Злоумышленник, который знает о вас достаточно, теоретически может использовать такие процедуры сброса пароля, чтобы получить доступ к вашим учетным записям.
Мы никогда не слышали о злоупотреблении процессом восстановления аккаунта Google, но Google – не единственная компания с такими инструментами. Они не могут быть полностью надежными, особенно если злоумышленник знает о вас достаточно.
Вне зависимости от проблем, учетная запись с двухэтапной настройкой всегда будет более безопасной, чем та же учетная запись без двухэтапной проверки. Но двухфакторная аутентификация не является серебряной пулей, как мы видели в атаках, которые используют самое большое слабое звено: вашу телефонную компанию.
