envia uma mensagem de texto SMS para o celular do usuário, fornecendo um código de verificação que deve ser introduzido para redefinir a senha. autenticação de dois fatores também pode ser acionado se um usuário entra no de um endereço de IP do computador não reconhecido.
Especialistas em segurança de longo endossado autenticação de dois fatores como uma protecção eficaz contra ataques de senha. A maioria dos métodos de comprometer este processo de verificação são complexas, exigindo o ator malicioso para estar no controle de ambos os canais-o gerar o código de acesso de uma só vez e o canal através do qual o usuário conclui a verificação.
Mas o que se a autenticação de dois fatores pode ser quebrada não pela engenharia da computação, mas por meio de engenharia social?
Nasir Memon, Professor de Ciência da Computação e Engenharia da Universidade de Nova York Tandon Escola de Engenharia, juntamente com estudantes de doutorado Hossein Siadati e Toan Nguyen, testaram a premissa de que os usuários podem ser enganados em partilhar o seu código de verificação com uma festa malicioso usando um muito mais simples tática: pedindo-lhes.
Memon e sua equipe construíram um cenário em que um hacker, armado apenas com o número do telefone celular do alvo, as tentativas de login em uma conta de usuário e pretende esquecer a senha, provocando um texto de verificação por SMS. O verdadeiro usuário, sem saber da tentativa do hacker, é provável que ignorar a mensagem SMS. Mas e se o hacker segue-se diretamente com um segundo SMS solicitando que o usuário transmitir o código de verificação para confirmar que o telefone está ligado à conta on-line? Os pesquisadores descobriram que os usuários estão mais propensos a cair na armadilha como eles são para um esquema de phishing tradicional. Em um teste piloto de 20 utilizadores de telemóveis, 25 por cento transmitiu o código de verificação para um atacante, mediante solicitação. Os pesquisadores denominaram este um Código de Verificação Forwarding Attack, e publicou seus resultados na PasswordsCon 2015, uma conferência internacional sobre segurança de senha na Universidade de Cambridge em dezembro de 2015. (Leia o artigo completo).
Os pesquisadores acompanharam o teste com entrevistas pessoais para entender melhor como eles perceberam o ataque. eles eram suspeitos? Se assim for, o que levantou a suspeita? Os pesquisadores sondado para descobrir o que os motivou a transmitir o código de verificação. Nesta pequena amostragem, a maioria dos alvos não estavam cientes de que o processo de autenticação de dois fatores poderia ser comprometida, nem eles percebem que as duas mensagens SMS vieram de fontes diferentes, neste caso, um da Google e um dos pesquisadores fingindo ser hackers. Outros explicaram que muitas vezes, verificar seus e-mails a partir de computadores públicos em bibliotecas ou laboratórios, assim o solicitar para verificar a sua identidade são comuns.
Memon e sua equipe reconhece que enquanto o seu teste piloto foi pequeno, o alto índice de sucesso dá credibilidade ao Código de Verificação Forwarding ataque como um método digno de um estudo mais aprofundado. "Porque este tipo de ataque não exige que as vítimas clicar em links de phishing ou para digitar informações sensíveis, como uma conta ou número da Segurança Social, é fácil entender como isso poderia ser muito eficaz", disse Memon. "Os usuários só estão sendo convidados a encaminhar uma seqüência aleatória de números que não têm nenhum significado real."
Além disso, ele explicou que SMS coloca desafios particulares com confirmando a origem das mensagens. "Não é como e-mail, no qual você pode examinar cuidadosamente um endereço para ver se é real. Mesmo os usuários sofisticados nem sempre sabem como fonte de uma mensagem SMS, e mesmo se eles fizerem isso, este tipo de ataque se aproveita da fato de que o alvo não tem um contexto para a mensagem-it aparece do nada. "
Os pesquisadores levaram o estudo um pouco mais longe, examinando 100 titulares de contas de e-mail que usam autenticação de dois fatores. A pesquisa, realizada na Amazon Mechanical Turk, questionaram os usuários sobre suas crenças sobre a segurança de autenticação de dois fatores, bem como se eles nunca tinham recebido um pedido de verificação não solicitado. Os pesquisadores também perguntaram o que os entrevistados faria se um importante fornecedor de e-mail, Google, solicitou que eles enviam um código de verificação.
Os resultados mostraram que mais de 30 por cento dos entrevistados não sabiam que a autenticação de dois fatores poderia ser comprometida, e mais de 60 por cento disseram que não costumam verificar a origem dos pedidos de verificação SMS. Finalmente, a 20 por cento cheio relataram que iria transmitir um código de verificação se o Google solicitou-sobre a mesma percentagem que os que caíram no golpe no teste piloto.
Memon e seus colegas acreditam negócios on-line e provedores de serviços pode ser capaz de repelir alguns ataques com mudanças simples para o processo de autenticação de dois fatores. Primeiro, eles sugerem anexando cada texto SMS para incluir um aviso sobre o encaminhamento códigos de verificação. Eles também observam que padronizar os números de telefone que cada fornecedor ou empresa usa para enviar pedidos de verificação pode ajudar os usuários facilmente fonte dessas mensagens SMS e se sentir seguro de sua autenticidade.
Memon apontou que as decisões humanas provar um processo muito mais difícil de mudar do que qualquer sistema de computador. "Não há confiança por associação, e enquanto não há a sensação de que uma mensagem é proveniente de um provedor de e-mail ou outro site de confiança, os hackers vão permanecer no negócio", disse ele.
Memon dirige o Departamento de Ciência da Computação e Engenharia da NYU Tandon, onde fundou um dos programas de grau primeira da nação de mestrado cibersegurança. Sua pesquisa recente tem-se centrado frequentemente sobre os elementos humanos da segurança. NYU Tandon juntou com outras escolas da NYU para formar o novo Centro de NYU para Cyber Security para pesquisar abordagens para a segurança e privacidade através da combinação de tecnologia de segurança, psicologia, direito, políticas públicas, e de negócios.
Fornecido por: Da AFP 2016 ( STOP )
