Microsoft закликала користувачів відмовитися від рішень багатофакторної автентифікації (MFA) на основі телефону, таких як одноразові коди, що відправляються за допомогою SMS-повідомлень і голосових викликів. Замість цього компанія рекомендує замінити їх більш сучасними технологіями, такими як автентифікатор на основі додатків і ключів безпеки.
Попередження виходить від Alex Weinert, директора з безпеки ідентифікаційної інформації в Microsoft. Посилаючись на внутрішню статистику Microsoft, в минулому році Вайнерт сказав в своєму блозі, що користувачі, котрі включили багатофакторну автентифікацію (MFA), в кінцевому підсумку заблокували близько 99,9% автоматичних атак на свої облікові записи Microsoft.
Але недавньому повідомленні Вайнерт закликав користувачів відмовитися від MFA на основі телефону. Проблеми безпеки пов’язані не стільки з самою технологією, скільки зі станом телефонних мереж. За словами експерта, SMS і голосові виклики передаються у відкритому вигляді і можуть бути легко перехоплені зловмисниками.
Одноразові коди на основі SMS-повідомлень також можуть бути використані в рамках фішингу за допомогою таких доступних інструментів, як Modlishka, CredSniper або Evilginx.
Крім того, співробітники телефонної мережі можуть бути обмануті в ході атак, відомих як “підміна SIM-карти” (SIM-swappping), що дозволяють зловмисникам отримувати одноразові коди MFA від імені своїх жертв.
За словами Вайнерта, MFA на основі SMS та дзвінків є в цей час найменш безпечним з доступних методів захисту.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Також мешканця міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців
До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.
Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.
Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.