غارت حساب های بانکی در آلمان به خاطر ضعف در احراز هویت دو مرحله ای با پیامک

اگرچه احراز هویت دو مرحله ای یکی از ابزارهای مهم در حفاظت از حساب های کاربری آنلاین به شمار می رود، اما این روش هم بدون نقص نیست. یک حلقه ضعیف در این زنجیره می تواند به مهاجمین اجازه ورود به سیستم و دسترسی به اطلاعات شخصی حساس را بدهد.

در سال 2014 نقطه ضعفی در پروتکل «سیستم سیگنال دهی 7» یا SS7 مشاهده شد، روشی که اکثر شرکت های مخابراتی موبایل و ثابت از آن برای برقراری ارتباط استفاده می کنند. این ضعف باعث شد مؤسسه ملی استاندارد و تکنولوژی (NIST) آمریکا در راهنمای امنیتی اخیرش اعلام کند که به زودی، پیام های SMS به عنوان روش مورد استفاده در احراز هویت دو مرحله ای پذیرفته نخواهند شد.

حال شاهد نخستین نمونه واقعی از ضعف امنیتی SMS در جهان هستیم که نشان می دهد با روش ایمنی برای تبادل اطلاعات روبرو نیستیم؛ اپراتور مخابراتی O2-Telefonica در آلمان اعلام کرد حساب بانکی برخی از مشترکینش مورد حمله مهاجمین ناشناس قرار گرفته است.

در این حمله، ابتدا روش متداول فیشینگ برای به دست آوردن نام کاربری، رمز عبور، شماره تلفن و اطلاعات حساب بانکی قربانی استفاده شده و سپس با بهره گیری از یک شرکت مخابراتی جعلی، پیام مخصوص شناسایی به جای موبایل کاربر به تلفن همراه فرد مهاجم ارسال گشته.

تجهیزات سوء استفاده از SMS قیمتی در حدود 1000 دلار دارند

شاید تصور کنید این روش بسیار دشوار است، اما منابع خبری می گویند به راحتی می توان شبکه مخابراتی جعلی تشکیل داد یا دسترسی موقت به یکی از آنها را خریداری کرد. بنابراین با بهره گیری از ضعف مکانیسم SS7 می توان مسیر پیام های SMS را تغییر داده و آنها را به سوی گیرنده دیگری هدایت کرد. مهاجمین فوق با استفاده از این روش توانستند به حساب های بانکی دست یافته و مبالغی زیادی را از آن برداشت کنند، یعنی سرقت از بانک بدون بلند شدن از پشت کامپیوتر.

گفتنیست با اینکه می بینیم استفاده از SMS برای احراز هویت دو مرحله ای با نقص اساسی روبروست، اما باز هم به مراتب بهتر از ترکیب نام کاربری و رمز عبور است. بنابراین فعلاً در استفاده از آن تردید نکنید تا زمانی که جایگزین بهتری برایش پیدا شود.

مطالب مرتبط

چرا حملات باج افزاری همچنان قربانی می‌گیرند؟

باج افزارها بیش از سه دهه است که مورد استفاده قرار می‌گیرند و برخی محققان از آنها به عنوان بزرگترین کابوس امنیت آنلاین یاد می‌کنند. با این وجود هنوز هم شرکت‌های بزرگ و کوچک توسط حملات باج افزاری غافلگیر شده و در یک دو راهی سخت قرار می‌گیرند: چشم پوشی از فایل‌های رمزگذاری شده یا... ادامه مطلب

گارمین در پی حمله سایبری میلیون‌ها دلار به هکرها باج داده است

گارمین اوایل مرداد ماه حمله باج افزاری گسترده‌ای را تجربه کرد که بسیاری از سرویس‌های این شرکت را از کار انداخت. حال گزارشی منتشر شده که نشان می‌دهد این شرکت چند میلیون دلار به هکرها باج داده تا سرویس‌هایش به سرعت به حالت عادی بازگردند.خبرگزاری Sky News در گزارش جدیدی مدعی شده که گارمین با... ادامه مطلب

مغز متفکر هک توییتر قبلا به جرم سرقت صدها هزار دلار بیت‌کوین دستگیر شده بود

«گراهام ایوان کلارک»، هکر ۱۷ ساله‌ای که گفته می‌شود «مغز متفکر» هک گسترده توییتر بوده، سال گذشته میلادی به جرم سرقت بیت کوین به ارزش صدها هزار دلار دستگیر شده بوده است.بر اساس گزارش مفصلی که در نیویورک تایمز منتشر شده، هکرها سال ۲۰۱۹ گوشی «گرگ بنت» (Greg Bennet) سرمایه گذار حوزه فناوری ساکن شهر... ادامه مطلب

هکرهای Maze ده‌ها گیگابایت داده محرمانه شرکت‌های ال‌جی و زیراکس را منتشر کردند

هکرهای Maze ده‌ها گیگابایت اطلاعات محرمانه شرکت‌های ال جی و زیراکس را پس از ناکام ماندن عملیات اخاذی منتشر کردند.هکرها ادعا می‌کنند ۵۰.۲ گیگابایت داده محرمانه شرکت ال جی و ۲۵.۸ گیگابایت از داده‌های شرکت زیراکس (تولیدکننده پرینتر) را سرقت کرده‌اند.هکرهای Maze معمولاً پس از نفوذ به شبکه شرکت‌ها، اطلاعات حساس آن را سرقت و... ادامه مطلب

یکی از عاملان توزیع باج‌افزار مخرب GandCrab در بلاروس دستگیر شد

وزارت امور داخلی بلاروس با انتشار بیانیه‌ای مطبوعاتی از دستگیری مردی ۳۱ ساله به اتهام توزیع باج افزار GandCrab خبر داد. این فرد که نامش فاش نشده در شهر کوچکی به نام «گومل» در جنوب بلاروس دستگیر شده است.مقامات بلاروس می‌گویند این فرد که سابقه کیفری ندارد با ثبت نام در فروم هک قصد مشارکت... ادامه مطلب

هکرهای توییتر چطور به دام پلیس فدرال آمریکا افتادند؟

در روز ۱۵ جولای امسال بود که یکی از کاربران دیسکورد با لقب Kirk، پیشنهادی وسوسه‌برانگیز مطرح کرد: «من در توییتر کار می‌کنم. من می‌توانم [هر اکانتی با] هر نامی را به دست بگیرم. اگر در حال انجام کاری هستی به من خبر بده». این نقطه سرآغاز چیزی بود که تنها چند ساعت بعد بزرگ‌ترین... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟