Key Takeaways
- Peretas dapat mencuri kode otentikasi multi-faktor (MFA) berbasis telepon, kata para ahli.
- Perusahaan telepon telah ditipu untuk mentransfer nomor telepon untuk memungkinkan penjahat mendapatkan kodenya.
- Cara sederhana dan murah untuk meningkatkan keamanan adalah dengan menggunakan aplikasi autentikator di ponsel Anda.
Agar tetap aman dari peretas, hentikan penggunaan kode otentikasi multi-faktor (MFA) berbasis telepon yang dikirim melalui SMS dan panggilan suara, tulis pakar keamanan terkemuka dalam analisis baru.
Kode telepon rentan terhadap intersepsi oleh peretas, Alex Weinert, direktur keamanan identitas di Microsoft, menulis dalam posting blog baru-baru ini. Kode berbasis teks lebih baik daripada tidak sama sekali, kata pengamat. Tetapi pengguna harus mengganti otentikasi berbasis telepon dengan aplikasi dan kunci keamanan.
"Mekanisme ini didasarkan pada jaringan telepon umum (PSTN), dan saya yakin ini adalah metode MFA yang paling tidak aman yang tersedia saat ini," tulisnya.
"Kesenjangan itu hanya akan melebar karena adopsi MFA meningkatkan minat penyerang untuk melanggar metode ini dan autentikator yang dibuat khusus memperluas keuntungan keamanan dan kegunaan mereka. Rencanakan perpindahan Anda ke autentikasi kuat tanpa kata sandi sekarang-aplikasi autentikator menyediakan segera dan opsi yang berkembang."
MFA adalah metode keamanan di mana pengguna komputer diberikan akses ke situs web atau aplikasi hanya setelah berhasil menyajikan dua atau lebih bukti ke mekanisme otentikasi. Kode-kode ini sering dikirim melalui telepon.
Hacker Berpura-pura Menjadi Anda
Ada cara bagi peretas untuk mendapatkan akses ke kode telepon, menurut pengamat. Dalam beberapa kasus, perusahaan telepon telah ditipu untuk mentransfer nomor telepon untuk memungkinkan peretas mendapatkan kodenya.
"Telepon sangat tidak aman sehingga pengguna akan sering mendapatkan panggilan penipuan yang diarahkan ke mereka dari negara-negara dunia ketiga sambil menunjukkan nomor telepon regional Amerika," Matthew Rogers, CISO dari penyedia cloud Syntax, mengatakan dalam sebuah wawancara email. "Telepon juga rentan terhadap serangan pertukaran SIM, yang dapat dengan mudah melewati MFA melalui pesan teks."
Baru-baru ini, pembawa acara radio populer BBC Jeremy Vine menjadi korban serangan yang menyebabkan akun WhatsApp-nya ditembus.
"Serangan yang berhasil menipu Vine dimulai dengan penerimaan pesan SMS yang tampaknya tidak diminta yang berisi kode otentikasi dua faktor ke akun mereka," Ray Walsh, pakar privasi data di situs tinjauan privasi ProPrivacy, mengatakan dalam wawancara email.
"Setelah itu, korban menerima pesan langsung dari kontak yang mengaku telah mengirimi mereka kode secara tidak sengaja. Akhirnya, korban diminta untuk meneruskan kode tersebut kepada peretas, yang memberi mereka akses instan ke akun korban."
Perangkat lunak juga bisa menjadi masalah. "Karena kerentanan perangkat, MFA berpotensi disadap oleh aplikasi yang bocor atau perangkat yang disusupi yang tidak diketahui pengguna," George Freeman, konsultan solusi di grup pemerintah LexisNexis Risk Solutions, mengatakan dalam sebuah wawancara email.
Jangan Menyerahkan Ponsel Anda
Namun, MFA berbasis teks lebih baik daripada tidak sama sekali, kata para ahli. "MFA adalah salah satu alat paling kuat yang dimiliki pengguna untuk melindungi akun mereka," kata Mark Nunnikhoven, wakil presiden penelitian cloud di perusahaan keamanan siber Trend Micro, dalam sebuah wawancara email.
"Ini harus diaktifkan bila memungkinkan. Jika Anda memiliki pilihan, gunakan aplikasi otentikasi pada ponsel cerdas Anda-tetapi pada akhirnya, pastikan bahwa MFA diaktifkan dalam bentuk apa pun."
Cara sederhana dan berbiaya rendah untuk meningkatkan keamanan adalah dengan menggunakan aplikasi autentikator di ponsel Anda, kata Peter Robert, salah satu pendiri dan CEO perusahaan IT Expert Computer Solutions, dalam sebuah wawancara email.
“Jika Anda memiliki anggaran dan menganggap keamanan penting, saya akan mendorong Anda untuk mengevaluasi kunci MFA berbasis perangkat keras, " tambahnya. "Untuk bisnis dan individu yang peduli dengan keamanan, saya juga akan merekomendasikan web gelap layanan pemantauan untuk memberi tahu Anda jika informasi pribadi tentang Anda tersedia dan dijual di web gelap."
Untuk pendekatan gaya Mission Impossible lainnya, FIDO2 standar baru dengan Webauthn menggunakan otentikasi biometrik, kata Freeman. "Pengguna terhubung ke situs keuangan, memasukkan nama pengguna, situs web menghubungi perangkat seluler pengguna, aplikasi aman di ponsel kemudian meminta pengguna untuk ID wajah atau sidik jari [mereka]. Ketika berhasil, itu kemudian mengotentikasi sesi web,” katanya.
Dengan begitu banyak kemungkinan ancaman, mungkin sudah saatnya untuk mulai mencari cara yang lebih aman untuk masuk ke situs web yang menyimpan informasi pribadi. Peretas mungkin mengintai di web hanya menunggu untuk mencegat kata sandi Anda.