Det är nu välkänt att användarnamn och lösenord inte räcker för att säkert få tillgång till onlinetjänster. En nyligen genomförd studie visade att mer än 80 % av alla hackingrelaterade intrång inträffar på grund av komprometterade och svaga referenser, med tre miljarder användarnamn/lösenordskombinationer stulna bara under 2016.

Som sådan har implementeringen av tvåfaktorsautentisering (2FA) blivit en nödvändighet. Generellt sett syftar 2FA till att ge ett extra lager av säkerhet till det relativt sårbara användarnamn/lösenordssystemet.

Det fungerar också. Siffror tyder på att användare som aktiverade 2FA slutade med att blockera cirka 99,9 % av de automatiska attackerna.

Men som med alla bra cybersäkerhetslösningar kan angripare snabbt komma på sätt att kringgå den. De kan kringgå 2FA genom engångskoder som skickas som ett SMS till en användares smartphone.

Ändå använder många viktiga onlinetjänster i Australien fortfarande SMS-baserade engångskoder, inklusive myGov och de fyra stora bankerna:ANZ, Commonwealth Bank, NAB och Westpac.

Så vad är problemet med SMS?

Stora leverantörer som Microsoft har uppmanat användare att överge 2FA-lösningar som utnyttjar SMS och röstsamtal. Detta beror på att SMS är känt för att ha ökänt dålig säkerhet, vilket gör det öppet för en mängd olika attacker.

SIM-byte har till exempel visat sig vara ett sätt att kringgå 2FA. SIM-byte innebär att en angripare övertygar offrets mobiltjänstleverantör att de själva är offret och sedan begär att offrets telefonnummer byts ut till en enhet som de själva väljer.

SMS-baserade engångskoder har också visat sig äventyras genom lättillgängliga verktyg som Modlishka genom att utnyttja en teknik som kallas omvänd proxy. Detta underlättar kommunikationen mellan offret och en tjänst som imiteras.

Så i fallet med Modlishka kommer den att avlyssna kommunikation mellan en äkta tjänst och ett offer och kommer att spåra och registrera offrens interaktioner med tjänsten, inklusive eventuella inloggningsuppgifter de kan använda).

Utöver dessa befintliga sårbarheter har vårt team hittat ytterligare sårbarheter i SMS-baserad 2FA. En speciell attack utnyttjar en funktion som tillhandahålls i Google Play Butik för att automatiskt installera appar från webben till din Android-enhet.

Om en angripare har tillgång till dina referenser och lyckas logga in på ditt Google Play-konto på en bärbar dator (även om du får en uppmaning), kan de sedan installera vilken app som helst automatiskt på din smartphone.

Attacken mot Android

Våra experiment avslöjade att en illvillig aktör kan fjärråtkomst till en användares SMS-baserade 2FA med liten ansträngning, genom att använda en populär app (namn och typ undanhålls av säkerhetsskäl) utformad för att synkronisera användarnas aviseringar på olika enheter.

Specifikt kan angripare utnyttja en komprometterad e-post/lösenordskombination kopplad till ett Google-konto (som anvä[email protected]) för att på ett smutsigt sätt installera en lättillgänglig meddelandespeglingsapp på ett offers smartphone via Google Play.

Detta är ett realistiskt scenario eftersom det är vanligt att användare använder samma referenser för en mängd olika tjänster. Att använda en lösenordshanterare är ett effektivt sätt att göra din första autentiseringsrad – ditt användarnamn/lösenordsinloggning – säkrare.

När appen är installerad kan angriparen tillämpa enkla sociala ingenjörstekniker för att övertyga användaren att aktivera de behörigheter som krävs för att appen ska fungera korrekt.

Till exempel kan de låtsas att de ringer från en legitim tjänsteleverantör för att övertala användaren att aktivera behörigheterna. Efter detta kan de ta emot all kommunikation som skickas till offrets telefon, inklusive engångskoder som används för 2FA.

Även om flera villkor måste uppfyllas för att ovannämnda attack ska fungera, visar den fortfarande den ömtåliga naturen hos SMS-baserade 2FA-metoder.

Ännu viktigare är att den här attacken inte behöver avancerad teknisk kapacitet. Det kräver helt enkelt insikt i hur dessa specifika appar fungerar och hur man intelligent använder dem (tillsammans med social ingenjörskonst) för att rikta in sig på ett offer.

Hotet är ännu mer verkligt när angriparen är en betrodd individ (t.ex. en familjemedlem) med tillgång till offrets smartphone.

Vad är alternativet?

För att förbli skyddad online bör du kontrollera om din första försvarslinje är säker. Kontrollera först ditt lösenord för att se om det är komprometterat. Det finns ett antal säkerhetsprogram som låter dig göra detta. Och se till att du använder ett välarbetat lösenord.

Vi rekommenderar också att du begränsar användningen av SMS som en 2FA-metod om du kan. Du kan istället använda appbaserade engångskoder, till exempel via Google Authenticator. I det här fallet genereras koden i Google Authenticator-appen på din enhet istället för att skickas till dig.

Men detta tillvägagångssätt kan även äventyras av hackare som använder någon sofistikerad skadlig programvara. Ett bättre alternativ skulle vara att använda dedikerade hårdvaruenheter som YubiKey.

Dessa är små USB-enheter (eller närfältskommunikation aktiverade) som ger ett strömlinjeformat sätt att aktivera 2FA över olika tjänster.

Sådana fysiska enheter måste anslutas till eller föras i närheten av en inloggningsenhet som en del av 2FA, vilket minskar riskerna med synliga engångskoder, som koder som skickas via SMS.

Det måste betonas att ett underliggande villkor för alla 2FA-alternativ är att användaren själv måste ha en viss nivå av aktivt deltagande och ansvar.

Samtidigt måste ytterligare arbete utföras av tjänsteleverantörer, utvecklare och forskare för att utveckla mer tillgängliga och säkra autentiseringsmetoder.

I huvudsak måste dessa metoder gå längre än 2FA och mot en multi-faktor autentiseringsmiljö, där flera metoder för autentisering distribueras samtidigt och kombineras efter behov.