นี่คือวิธีที่ผู้โจมตีสามารถข้ามการตรวจสอบสิทธิ์แบบสองปัจจัยของคุณได้

เนื้อหาที่ไม่ถูกแคช

ระบบตรวจสอบสิทธิ์แบบสองปัจจัยไม่สามารถป้องกันความผิดพลาดได้อย่างที่เห็น ผู้โจมตีไม่จำเป็นต้องใช้โทเค็นการตรวจสอบสิทธิ์ทางกายภาพของคุณหากพวกเขาสามารถหลอกล่อ บริษัท โทรศัพท์ของคุณหรือบริการที่ปลอดภัยให้ปล่อยพวกเขาเข้าไปได้

การรับรองความถูกต้องเพิ่มเติมมีประโยชน์เสมอ แม้ว่าจะไม่มีสิ่งใดให้ความปลอดภัยที่สมบูรณ์แบบที่เราทุกคนต้องการ แต่การใช้การตรวจสอบสิทธิ์แบบสองปัจจัยก็ทำให้เกิดอุปสรรคต่อผู้โจมตีที่ต้องการสิ่งของของคุณ

บริษัท โทรศัพท์ของคุณเป็นลิงค์ที่อ่อนแอ

ที่เกี่ยวข้อง: รักษาความปลอดภัยของตัวเองด้วยการใช้การยืนยันแบบสองขั้นตอนในบริการเว็บ 16 รายการนี้

ระบบตรวจสอบสิทธิ์สองขั้นตอนบนเว็บไซต์จำนวนมาก ทำงานโดยส่งข้อความไปยังโทรศัพท์ของคุณทาง SMS เมื่อมีคนพยายามเข้าสู่ระบบแม้ว่าคุณจะใช้แอปเฉพาะในโทรศัพท์เพื่อสร้างรหัส แต่ก็มีโอกาสดีที่บริการที่คุณเลือกจะเสนอให้ผู้อื่นเข้าสู่ระบบโดยการส่งรหัส SMS ไปยังโทรศัพท์ของคุณ หรือบริการอาจอนุญาตให้คุณลบการป้องกันการรับรองความถูกต้องด้วยสองปัจจัยออกจากบัญชีของคุณหลังจากยืนยันว่าคุณสามารถเข้าถึงหมายเลขโทรศัพท์ที่คุณกำหนดค่าเป็นหมายเลขโทรศัพท์สำหรับการกู้คืนได้

ทั้งหมดนี้ฟังดูดี คุณมีโทรศัพท์มือถือและมีหมายเลขโทรศัพท์ มีซิมการ์ดที่จับต้องได้อยู่ภายในซึ่งเชื่อมโยงกับหมายเลขโทรศัพท์นั้นกับผู้ให้บริการโทรศัพท์มือถือของคุณ ทุกอย่างดูเหมือนเป็นเรื่องทางกายภาพ แต่น่าเศร้าที่หมายเลขโทรศัพท์ของคุณไม่ปลอดภัยอย่างที่คิด

หากคุณเคยจำเป็นต้องย้ายหมายเลขโทรศัพท์ที่มีอยู่ไปยังซิมการ์ดใหม่หลังจากทำโทรศัพท์หายหรือเพิ่งได้รับโทรศัพท์ใหม่คุณจะรู้ว่าคุณสามารถทำอะไรได้บ้างทางโทรศัพท์หรืออาจจะออนไลน์ก็ได้ ผู้โจมตีทั้งหมดต้องทำคือโทรหาฝ่ายบริการลูกค้าของ บริษัท โทรศัพท์มือถือของคุณและแสร้งทำเป็นว่าคุณเป็นคุณ พวกเขาจะต้องรู้ว่าหมายเลขโทรศัพท์ของคุณคืออะไรและทราบรายละเอียดส่วนบุคคลเกี่ยวกับคุณ รายละเอียดเหล่านี้คือประเภทของรายละเอียดตัวอย่างเช่นหมายเลขบัตรเครดิตตัวเลขสี่หลักสุดท้ายของ SSN และอื่น ๆ ซึ่งมักรั่วไหลในฐานข้อมูลขนาดใหญ่และถูกใช้เพื่อโจรกรรม ผู้โจมตีสามารถพยายามย้ายหมายเลขโทรศัพท์ของคุณไปยังโทรศัพท์ของตน

มีวิธีที่ง่ายกว่านั้น หรือตัวอย่างเช่นพวกเขาสามารถตั้งค่าการโอนสายจาก บริษัท โทรศัพท์เพื่อให้สายเรียกเข้าถูกโอนไปยังโทรศัพท์ของพวกเขาและไม่สามารถติดต่อคุณได้

Heck ผู้โจมตีอาจไม่จำเป็นต้องเข้าถึงหมายเลขโทรศัพท์เต็มของคุณ พวกเขาสามารถเข้าถึงวอยซ์เมลของคุณได้พยายามล็อกอินเข้าสู่เว็บไซต์เวลา 03.00 น. จากนั้นรับรหัสยืนยันจากกล่องข้อความเสียงของคุณ ระบบวอยซ์เมลของ บริษัท โทรศัพท์ของคุณปลอดภัยแค่ไหนกันแน่? PIN ของวอยซ์เมลของคุณปลอดภัยแค่ไหน - คุณได้ตั้งค่าแล้วหรือยัง ไม่ใช่ทุกคนที่มี! และถ้าคุณมีผู้โจมตีจะต้องใช้ความพยายามมากเพียงใดในการรีเซ็ต PIN ของวอยซ์เมลโดยโทรไปที่ บริษัท โทรศัพท์ของคุณ

ด้วยหมายเลขโทรศัพท์ของคุณทุกอย่าง

ที่เกี่ยวข้อง: วิธีหลีกเลี่ยงการถูกล็อกเมื่อใช้การรับรองความถูกต้องด้วยสองปัจจัย

หมายเลขโทรศัพท์ของคุณกลายเป็นลิงค์ที่อ่อนแอซึ่งทำให้ผู้โจมตีสามารถ ลบการยืนยันสองขั้นตอนออกจากบัญชีของคุณ - หรือรับรหัสยืนยันสองขั้นตอน - ทาง SMS หรือการโทร เมื่อคุณรู้ว่ามีบางอย่างผิดปกติพวกเขาสามารถเข้าถึงบัญชีเหล่านั้นได้

นี่เป็นปัญหาสำหรับทุกบริการ บริการออนไลน์ไม่ต้องการให้ผู้ใช้สูญเสียการเข้าถึงบัญชีของตนดังนั้นโดยทั่วไปแล้วพวกเขาจะอนุญาตให้คุณข้ามและลบการตรวจสอบสิทธิ์สองปัจจัยนั้นด้วยหมายเลขโทรศัพท์ของคุณ วิธีนี้จะช่วยได้ในกรณีที่คุณต้องรีเซ็ตโทรศัพท์หรือซื้อเครื่องใหม่และคุณทำรหัสยืนยันตัวตนแบบสองปัจจัยหายไป แต่คุณยังมีหมายเลขโทรศัพท์อยู่

ในทางทฤษฎีควรมีการป้องกันมากมายที่นี่ ในความเป็นจริงคุณกำลังติดต่อกับเจ้าหน้าที่บริการลูกค้าที่ผู้ให้บริการโทรศัพท์เคลื่อนที่ ระบบเหล่านี้มักได้รับการจัดตั้งขึ้นเพื่อประสิทธิภาพและพนักงานบริการลูกค้าอาจมองข้ามการป้องกันบางอย่างที่ต้องเผชิญกับลูกค้าที่ดูเหมือนโกรธเกรี้ยวไม่อดทนและมีข้อมูลที่ดูเหมือนว่าเพียงพอ บริษัท โทรศัพท์ของคุณและฝ่ายบริการลูกค้าเป็นจุดอ่อนในการรักษาความปลอดภัยของคุณ

การปกป้องหมายเลขโทรศัพท์ของคุณเป็นเรื่องยาก ตามความเป็นจริง บริษัท โทรศัพท์เคลื่อนที่ควรมีการป้องกันเพิ่มเติมเพื่อให้มีความเสี่ยงน้อยลง ในความเป็นจริงคุณอาจต้องการทำอะไรด้วยตัวเองแทนที่จะรอให้ บริษัท ใหญ่ ๆ แก้ไขขั้นตอนการบริการลูกค้าของตน บริการบางอย่างอาจอนุญาตให้คุณปิดใช้งานการกู้คืนหรือรีเซ็ตผ่านหมายเลขโทรศัพท์และเตือนไม่ให้ใช้งานได้อย่างล้นเหลือ - แต่หากเป็นระบบที่มีความสำคัญต่อภารกิจคุณอาจต้องการเลือกขั้นตอนการรีเซ็ตที่ปลอดภัยยิ่งขึ้นเช่นรหัสรีเซ็ตที่คุณสามารถล็อกในห้องนิรภัยของธนาคารได้ในกรณี คุณต้องการพวกเขา

ขั้นตอนการรีเซ็ตอื่น ๆ

ที่เกี่ยวข้อง: คำถามเพื่อความปลอดภัยไม่ปลอดภัย: วิธีปกป้องบัญชีของคุณ

ไม่ใช่แค่หมายเลขโทรศัพท์ของคุณเท่านั้น บริการจำนวนมากช่วยให้คุณสามารถลบการตรวจสอบสิทธิ์แบบสองปัจจัยด้วยวิธีอื่น ๆ ได้หากคุณอ้างว่าคุณทำรหัสหายและจำเป็นต้องเข้าสู่ระบบตราบใดที่คุณทราบรายละเอียดส่วนบุคคลเกี่ยวกับบัญชีเพียงพอคุณก็สามารถเข้าไปได้

ลองด้วยตัวเอง - ไปที่บริการที่คุณได้รับการรักษาความปลอดภัยด้วยการตรวจสอบสิทธิ์แบบสองปัจจัยและแกล้งทำเป็นว่าคุณทำรหัสหาย ดูสิ่งที่จะได้รับคุณอาจต้องให้รายละเอียดส่วนตัวหรือคำตอบ “ คำถามเพื่อความปลอดภัย” ที่ไม่ปลอดภัย ในสถานการณ์ที่เลวร้ายที่สุด ขึ้นอยู่กับวิธีกำหนดค่าบริการ คุณสามารถรีเซ็ตได้โดยส่งลิงก์ไปยังบัญชีอีเมลอื่นทางอีเมลซึ่งในกรณีนี้บัญชีอีเมลนั้นอาจกลายเป็นลิงก์ที่ไม่ปลอดภัย ในสถานการณ์ที่ดีคุณอาจต้องเข้าถึงหมายเลขโทรศัพท์หรือรหัสกู้คืนและอย่างที่เราเห็นส่วนของหมายเลขโทรศัพท์เป็นลิงก์ที่ไม่ปลอดภัย

สิ่งที่น่ากลัวอีกอย่างคือไม่ใช่แค่การข้ามการยืนยันสองขั้นตอนเท่านั้น ผู้โจมตีสามารถลองใช้กลอุบายที่คล้ายกันเพื่อเลี่ยงรหัสผ่านของคุณทั้งหมด วิธีนี้สามารถทำงานได้เนื่องจากบริการออนไลน์ต้องการให้แน่ใจว่าผู้คนสามารถเข้าถึงบัญชีของตนได้อีกครั้งแม้ว่าจะทำรหัสผ่านหาย

ตัวอย่างเช่นดูที่ไฟล์ การกู้คืนบัญชี Google ระบบ. นี่เป็นตัวเลือกสุดท้ายสำหรับการกู้คืนบัญชีของคุณ หากคุณอ้างว่าไม่รู้รหัสผ่านใด ๆ ในที่สุดคุณจะถูกขอข้อมูลเกี่ยวกับบัญชีของคุณเช่นเมื่อคุณสร้างบัญชีและใครที่คุณส่งอีเมลบ่อยๆ ผู้โจมตีที่รู้เรื่องคุณมากพอในทางทฤษฎีสามารถใช้ขั้นตอนการรีเซ็ตรหัสผ่านเช่นนี้เพื่อเข้าถึงบัญชีของคุณ

เราไม่เคยได้ยินมาก่อนว่ากระบวนการกู้คืนบัญชีของ Google ถูกละเมิด แต่ Google ไม่ใช่ บริษัท เดียวที่มีเครื่องมือเช่นนี้ ทุกคนไม่สามารถเข้าใจผิดได้ทั้งหมดโดยเฉพาะอย่างยิ่งหากผู้โจมตีรู้จักคุณมากพอ

---

ไม่ว่าจะเกิดปัญหาอะไรก็ตามบัญชีที่มีการตั้งค่าการยืนยันสองขั้นตอนจะปลอดภัยกว่าบัญชีเดิมที่ไม่มีการยืนยันสองขั้นตอนเสมอ แต่การรับรองความถูกต้องด้วยสองปัจจัยไม่ใช่สัญลักษณ์แสดงหัวข้อย่อยเงินอย่างที่เราเห็นในไฟล์ ติดตามการละเมิดลิงก์ที่ไม่เหมาะสมที่ใหญ่ที่สุด : บริษัท โทรศัพท์ของคุณ