Сегодня многие организации переходят на многофакторную аутентификацию (MFA) для защиты своих компьютерных систем, сетей и приложений. Это важный шаг в обеспечении безопасности, однако, не все формы MFA соответствуют новым стандартам кибербезопасности и лучшим отраслевым практикам.
Большинство популярных методов MFA, таких как одноразовые коды и push-уведомления, имеют уязвимости, которые могут быть использованы злоумышленниками с помощью фишинга и социальной инженерии.
Проблемы с MFA по телефону
На сегодняшний день наиболее распространенные формы MFA включают одноразовые коды, отправляемые по электронной почте или SMS, и push-уведомления. Эти методы требуют от пользователей наличия надежного устройства, обычно смартфона, для получения кода или уведомления.
Несмотря на дополнительный уровень защиты, который они предоставляют, эти методы подвержены атакам. Киберпреступники все чаще используют фишинг, социальную инженерию и перехват данных для обхода этих форм MFA.
Уязвимости push-уведомлений
Push-уведомления требуют от пользователя нажать "Принять" на своем смартфоне. Хотя это удобно, push-уведомления уязвимы для атак, таких как социальная инженерия и push-бомбардировки. Во время push-атаки пользователю отправляются многочисленные уведомления, пока он не примет одно из них, случайно или в отчаянии.
Мошенники могут обманом заставить пользователей принять push-уведомление, притворяясь сотрудниками ИТ-отдела или других доверенных органов.
Проблемы с одноразовыми кодами
Одноразовые коды также имеют свои недостатки. Они могут быть неудобны для пользователей, что приводит к неудачным попыткам входа и потере времени. Злоумышленники могут обманом заставить пользователей раскрыть свои коды или ввести их на фальшивом сайте с помощью фишинговых атак.
Коды, отправляемые по SMS, уязвимы для атак, таких как замена SIM-карты, когда злоумышленники обманом заставляют операторов сотовой связи передавать номер телефона цели на свою SIM-карту.
Именно поэтому обучение пользователей кибербезопасности является ключевым шагом в повышении защиты ваших систем. Наша миссия — вооружить вас знаниями и инструментами для противостояния киберугрозам и социальной инженерии.
