Microsoft призывает пользователей отказаться от многофакторной аутентификации по телефону

Фото: Pixabay

Предупреждение исходит от  Алекса Вайнерта, директора по безопасности идентификационной информации Microsoft. В течение прошлого года Вайнерт выступал от имени Microsoft, призывая пользователей использовать и активировать MFA для своих онлайн-аккаунтов.

Ссылаясь на внутреннюю статистику Microsoft, Вайнерт сообщил в прошлогоднем блоге, что пользователи, включившие многофакторную аутентификацию (MFA), в конечном итоге  заблокировали около 99,9% автоматических атак  на свои учётные записи Microsoft.

Но в последующем сообщении в блоге Вайнерт говорит, что если пользователям приходится выбирать между несколькими решениями MFA, им следует держаться подальше от MFA на основе телефона.

Руководитель Microsoft приводит несколько известных проблем безопасности не с MFA, а с состоянием телефонных сетей сегодня.

Вайнерт говорит, что как SMS, так и голосовые вызовы передаются в открытом виде и могут быть легко перехвачены определёнными злоумышленниками с использованием таких методов и инструментов, как  программно-определяемые радиостанции ,  ячейки FEMTO или  службы перехвата SS7 .

Одноразовые коды на основе SMS также можно фишить с помощью открытых и доступных фишинговых инструментов, таких как  Modlishka , CredSniper или Evilginx.

Кроме того, сотрудники телефонной сети могут быть обмануты в переносе телефонных номеров на SIM-карту злоумышленника - в атаках, известных как  подмена SIM-карт, - что позволяет злоумышленникам получать одноразовые коды MFA от имени своих жертв.

Как сообщал Startpack, ранее Play Store назвали главным разносчиком вирусов для смартфонов.