Polityka i prawo
FBI ostrzega: Hakerzy omijają uwierzytelnianie wielopoziomowe
FBI wydało ostrzeżenie w sprawie cyberataków, których celem są głównie podmioty korporacyjne. Jak informuje serwis ZDNet, hakerzy omijają uwierzytelnianie wielopoziomowe wykorzystując technikę SIM swapping.
Technika ta polega na przejęciu kontroli nad numerem telefonu ofiary przy użyciu wcześniej wyłudzonych przez hakerów informacji. Pozwala to na podszycie się pod konkretną osobę i np. wykonanie w jej imieniu przelewu bankowego na rachunek cyberprzestępców.
FBI ostrzegło również przed podatnościami bezpieczeństwa w stronach internetowych, które obsługują usługi cyfrowe wykorzystujące uwierzytelnianie wieloskładnikowe, a także przed użyciem specjalnych narzędzi do automatyzacji ataków phishingowych znanych jako Muraena i NecroBrowser.
Jednocześnie amerykańskie służby podkreśliły, że stosowanie uwierzytelniania wieloskładnikowego wciąż znacząco podnosi bezpieczeństwo usług cyfrowych, zarówno użytkowników indywidualnych, jak i podmiotów korporacyjnych i instytucjonalnych. Celem ostrzeżenia wydanego przez FBI według ZDNetu jest zwrócenie uwagi na to, że cyberprzestępcy obecnie dysponują możliwościami obchodzenia tego typu zabezpieczeń.
Serwis zauważa, że ataki hakerskie na usługi zabezpieczane wieloskładnikowo są obecnie rzadkością. Niewiele jest narzędzi zdolnych do obchodzenia wielopoziomowego uwierzytelniania, hakerzy nie mogą również korzystać obecnie z automatyzacji tego rodzaju działań na dużą skalę.
Firma Microsoft ocenia, że ataki tego rodzaju są na tyle rzadkie, że nie ma statystyk ilustrujących ich częstotliwość. Według koncernu z Redmond, uwierzytelnianie wieloskładnikowe pozwala obecnie na blokowanie 99,9 proc. wszystkich prób wtargnięć na konta w usługach cyfrowych.
ZDNet przypomina, że podobnego zdania jest firma Google, która w maju poinformowała, iż grupa użytkowników, która zdecydowała się dodać dodatkową metodę zabezpieczeń w postaci numeru telefonu do swojego konta znacznie zwiększyła bezpieczeństwo wykorzystywanych usług. Według Google'a dodanie numeru telefonu do konta może blokować nawet 100 proc. zautomatyzowanych prób ataku przez boty, 99 proc. wszystkich ataków phishingowych, a także 66 proc. ataków ukierunkowanych na konkretny cel.