ログイン コードを受信するためにテキスト メッセージを使用するのはやめてください


今週は、こんな驚くべきお話が攻撃者がテキスト メッセージを吸い上げるのがいかに簡単かを明らかにしました。彼らはあなたの電話にアクセスする必要はありません。 SIM カードも必要ありません。彼らは、わずかな金額を支払い、VoIP 卸売業者に自分たちが再販業者であることを納得させ (これも些細な問題です)、あなたの番号宛てのメッセージを別の電話番号にルーティングすることを許可することを誓約するフォームに署名するだけです。

著者 Lucky225 が書いているように中くらい:

「2021 年 3 月 11 日木曜日のある時点まで、NetNumber はあらゆる無線電話番号に対して、承認や検証を行わずに NNID を再割り当てまたはハイジャックすることを許可していました。おそらく、この著者と他のジャーナリストがコメントを求めている間に、概念実証が実証された後、無線番号のハイジャックを一時的に許可しないことで、これがもはや問題ではないように装う計画を考案したようです。」

[...]

さらに、人々はさまざまなサービスに実際の無線番号の代わりに VoIP 番号を使用しており、そのような人々は依然としてこの攻撃に対して脆弱なままですが、プライバシーを気にせず実際の携帯電話番号を使用している人だけが保護されています。」

テキストメッセージを携帯電話から遠ざけるために使用できる方法の核心部分には立ち入りませんが、それが非常に簡単であった(そして実際に?)という事実は、そして承認の問い合わせや承認の通知すら受け取らないのは不快です。

これらのビジネスクラスのテキスト メッセージング サービスの多くはセキュリティを強化していると思いますが、必要なのは、この種の変更を番号の実際の所有者に確認していないサービスを攻撃者が見つけ出すだけで済みます。 、受信テキストメッセージ。これには、本人であることを確認するために使用する認証コードも含まれます。あなた不明なデバイスでアカウントにログインするとき。

私たちはこれまでにも言いましたし、すべてのサイトやサービスが最終的に耳を傾けるまで言い続けます。不正なアクセスからアカウントを保護するために、単にテキスト メッセージや 2 段階認証を使用するだけでは十分に安全ではありません。可能な限り、専用の 2 要素認証アプリを使用する必要があります。必要ハードウェア (通常は電話) に物理的にアクセスして、アカウントのログイン プロセスを完了します。テキストメッセージはあなたが思っているほど安全ではありません。あなた自身がテキストハイジャックの被害者になることは決してないかもしれませんが、今週のニュースは、それが決して不可能ではないことを示しています。

誰かがあなたの実際のスマートフォンを手に入れ、ロックを解除するために導入されているセキュリティメカニズム (タッチまたは顔認識) をバイパスする方法を見つけ、特定の 2FA に設定されている二次セキュリティを通過する可能性ははるかに低くなります。アプリ (PIN など)、およびそれからそれを使ってアカウントに侵入します。それまでに、彼らはおそらく諦めるか、あなたが 2FA をリセットして、重要なアカウント用に新しいデバイスにセットアップして、古いコードを完全に無効にするかのどちらかでしょう。

自分の電話番号のテキストが別の場所にルーティングされた場合、またはいつルーティングされるかを警告する監視ツールにサインアップする必要はありません。 (完全開示: 前述の Medium ライターは、次の最高情報責任者です。そのような会社の1つ、わかりました)。ただし、世の中にはたくさんのサービスがあるため、とにかくそうしたいかもしれません。まだログイン コードを送信するには、テキスト メッセージのみを使用してください。

医療提供者、ゲーム Web サイト、または別のサイトで 2 要素認証の使用が許可されていない場合、できることはほとんどありません。ステップ認証。強力でユニークなパスワードを選択し、優れたパスワード管理アプリでロックして、うまくいくことを望みます。また、秘密の質問には明白な答えを使用しないでください。これらも「パスワード」である必要があります」と表示され、他のパスワードと同じように追跡する必要があります。

最後に、しないでくださいない2 段階認証しかできない場合は、2 段階認証を使用してください。 100% 安全ではありませんが、有効にして、誰かがあなたのアカウントに侵入するために余分なフープを飛び越えるよう強制する方がはるかに良いです。もう少しセキュリティを強化できる場合は、ログインとパスワードの組み合わせだけに依存しないでください。

実際の電話番号にまったく関連付けられていない専用の番号をログイン コードに使用するなど、より極端なアプローチもあります。 (Google Voice が思い浮かびます。受信したメールにテキストを送信するだけで利用でき、2 要素認証で Google アカウントをロックすることもできます。)それでも、誰かがその番号をランダムに乗っ取ることを防ぐことはできないかもしれませんが、少なくともそれは可能です。標的型攻撃から身を守るのに役立ちます。良い、より安全です。セキュリティって楽しくないですか?