כיצד האקרים עוקפים שיטות אימות דו-שלבי חלשות — וכיצד להישאר בטוחים

אימות דו-שלבי הוא אחת הדרכים הטובות ביותר לאבטח את חשבונותיכם המקוונים, אך לא כל שיטות האימות הדו-שלבי מציעות את אותה רמת הגנה. תוקפים פיתחו טכניקות חדשות לעקוף צורות חלשות יותר של אימות דו-שלבי, במיוחד קודי SMS ואימות מבוסס דוא"ל.

הבנת הסיכונים הללו עוזרת לכם לבחור כלים חזקים ובטוחים יותר. אפליקציית אימות אמינה מבוססת TOTP כגון Authenticator by Vidus6 היא אחת ההגנות היעילות ביותר.

מדוע אימות דו-שלבי חלש עדיין פגיע

אנשים רבים מניחים שכל צורה של אימות דו-שלבי הופכת אותם אוטומטית לבטוחים. עם זאת, שיטות אימות דו-שלבי מסוימות מסתמכות על מערכות שניתן ליירט, להפנות מחדש או לתמרן.

להלן הדרכים הנפוצות ביותר שבהן תוקפים עוקפים אימות דו-שלבי חלש.

1. התקפות החלפת SIM

בהחלפת SIM, האקר משכנע את ספק הסלולר שלכם להעביר את מספר הטלפון שלכם לכרטיס ה-SIM שלהם. ברגע שהם שולטים במספר שלכם, הם מקבלים:

• קודי האימות הדו-שלבי שלכם ב-SMS
• קישורים לאיפוס סיסמה
• הודעות שחזור חשבון

זוהי אחת ההתקפות הנפוצות ביותר נגד משתמשי קריפטו, משפיענים ויעדים בעלי ערך גבוה.

מדוע זה עובד: אימות דו-שלבי ב-SMS מסתמך על מספר הטלפון שלכם, לא על המכשיר שלכם.

כיצד להישאר בטוחים: השתמשו בקודים מבוססי TOTP מאפליקציית אימות במקום בקודים מבוססי טלפון.

2. פישינג שמלכד קודים בזמן אמת

דפי פישינג מתוחכמים כעת מבקשים מהמשתמשים להזין את פרטי הכניסה שלהם וגם את קוד האימות הדו-שלבי שלהם. מכיוון שקודי SMS ודוא"ל נשארים תקפים לפרק זמן קצר, תוקפים יכולים להשתמש בהם באופן מיידי.

מדוע זה עובד: הקורבן מאמין שהוא נמצא בדף כניסה אמיתי.

כיצד להישאר בטוחים:

• בדקו שוב כתובות URL
• השתמשו במילוי אוטומטי של הדפדפן (אתרים אמיתיים תואמים דומיינים שמורים)
• העדיפו אפליקציות אימות מכיוון שפישינג מבוסס קוד TOTP קשה יותר לאוטומציה

3. השתלטות על חשבון דוא"ל

אם תוקף משיג גישה לדוא"ל שלכם, הוא יכול ליירט:

• קודי אימות דו-שלבי מבוססי דוא"ל
• קודי גיבוי
• קישורים לאיפוס סיסמה

חשבון הדוא"ל שלכם הופך לנקודת כשל יחידה עבור כל חשבונותיכם המקוונים.

כיצד להישאר בטוחים:

• אבטחו את הדוא"ל שלכם באמצעות סיסמה חזקה ואימות דו-שלבי מבוסס TOTP
• הימנעו משימוש בקודי דוא"ל כאשר הדבר אפשרי

4. תוכנות זדוניות שקוראות התראות

כמה זני תוכנות זדוניות סורקים את המכשיר שלכם עבור קודי SMS נכנסים או אישורי דחיפה.

מדוע זה עובד: התוכנה הזדונית מתקשרת עם המכשיר שלכם, לא עם הספק שלכם.

כיצד להישאר בטוחים:

• שמרו על המכשיר שלכם מעודכן
• אל תתקינו אפליקציות לא מהימנות מצדדים שלישיים
• השתמשו באפליקציית אימות, מכיוון שקודי TOTP לעולם אינם מועברים או מוצגים כהתראות

5. עייפות מהתראות דחיפה (הפצצת MFA)

ניתן לנצל לרעה אימות דו-שלבי מבוסס דחיפה (כמו חלונות קופצים של "אשר כניסה"). תוקפים שולחים בקשות כניסה שוב ושוב עד שהקורבן לוחץ על "אשר" מתוך בלבול או תסכול.

מדוע זה עובד: אנשים מוצפים או מוסחים.

כיצד להישאר בטוחים:

• השביתו אימות דו-שלבי מבוסס דחיפה היכן שניתן
• השתמשו באימות דו-שלבי מבוסס TOTP היכן שאתם מזינים את הקוד באופן ידני
• לעולם אל תאשרו בקשות כניסה שלא יזמתם

6. פרצות בשחזור חשבון

אפילו עם הפעלת אימות דו-שלבי, שיטות שחזור חלשות עלולות לחשוף את חשבונכם. שירותים מסוימים עדיין מאפשרים שחזור באמצעות:

• מספרי טלפון ישנים
• מידע אישי בסיסי
• אימות דוא"ל חלש

תוקפים מכוונים לעיתים קרובות למערכת השחזור במקום לזרימת הכניסה.

כיצד להישאר בטוחים:

• עדכנו את אפשרויות השחזור שלכם באופן קבוע
• הסירו מספרי טלפון מיושנים
• אחסנו קודי שחזור באופן מאובטח במצב לא מקוון

מדוע TOTP נותר האפשרות החזקה ביותר לשימוש יומיומי

סיסמאות חד-פעמיות מבוססות זמן (TOTP):

• נוצרות במצב לא מקוון
• לעולם אינן עוברות דרך רשת
• לא ניתן ליירט אותן באמצעות החלפות SIM
• מתרעננות כל 30 שניות
• דורשות גישה פיזית למכשיר שלכם

שילוב זה של פשטות ועוצמה קריפטוגרפית הופך אפליקציות אימות לאחת השיטות המאובטחות והמעשיות ביותר הזמינות כיום.

אפשרות מודרנית ומאובטחת כמו Authenticator by Vidus6 מספקת הגנה במצב לא מקוון, הצפנה חזקה, נעילת ביומטריה ותמיכה חלקה במספר מכשירים.

מחשבות אחרונות

שיטות אימות דו-שלבי חלשות יוצרות תחושת ביטחון כוזבת. האקרים מכוונים יותר ויותר ל:

• SMS
• קודי דוא"ל
• אישורי דחיפה
• מערכות שחזור לקויות

בחירת שיטת האימות הדו-שלבי הנכונה חשובה לא פחות מהפעלת אימות דו-שלבי עצמו.

אם אתם רוצים דרך בטוחה ואמינה יותר להגן על חשבונותיכם, שקלו לעבור ל-Authenticator by Vidus6 וחזקו את ההגנות שלכם באמצעות הגנת TOTP אמינה במצב לא מקוון.