Защо да разчитате на мобилния си телефон за достъп до вашите онлайн акаунти е рисков подход

Разчитаме на нашите мобилни устройства, за да работим, да общуваме, да се забавляваме, да извършваме банкиране и дори да предоставяме различни начини за достъп до нашите сметки онлайн. Това е разширение на нашите цифрови данни, което ни осигурява комфорт и чувство за сигурност – докато не бъде счупено, изгубено или дори откраднато.

Последното проучване за състоянието на глобалните организации за автентификация от 2022 г. установи, че близо 40% от повече от 16 000 респонденти на проучването са признали, че през последните две години са счупили мобилния си телефон, а близо 30% са загубили телефона си.

Въпреки че мобилните устройства имат много приложения и осигуряват голямо удобство, те не са създадени за целите на онлайн сигурността. Схващането, че използването на мобилен телефон е надежден и сигурен начин за удостоверяване на влизанията в акаунта, е това, което трябва да се промени.

Лесно е да се разбере защо толкова много от нас приемат, че това е така, тъй като тези инструменти са най-често срещаните, които организациите предоставят на служителите и така се приемат като сигурен начин за проверка както в бизнеса, така и в личния ни живот.

Много компании все още използват наследени методи за удостоверяване, като пароли или мобилно базирано удостоверяване, за да осигурят достъп до чувствителни приложения и данни. Беше тревожно да открием в проучването за състоянието на глобалното удостоверяване за бизнеса през 2022 г., че 62% от респондентите казаха, че основният метод за достъп до бизнес акаунти е през мобилния им телефон, или чрез приложения за еднократна парола (OTP) / Push Authenticator, или SMS приложения на мобилния телефон. удостоверяване.

Мобилните телефони са страхотни устройства, но от гледна точка на защитата на данните и киберсигурността, проблемът, с който се сблъсквате, е, че базираното на мобилни устройства удостоверяване като SMS, еднократни кодове (OTP) и приложенията за удостоверяване са силно уязвими за фишинг.

Друго ограничение е, че има избрани защитени работни среди, където удостоверяването на мобилен телефон просто не може да бъде извършено поради липса на покритие на мобилен телефон или ограничения за сигурност. Това включва среди за кол центрове, производствени цехове, бюра за финансова търговия, стаи за контрол на захранването и центрове за разпространение.

Според статистиката на ScamWatch от Комисията за борба с корупцията са докладвани повече от 50 000 случая на фишинг атаки през деветмесечния период между януари и септември 2022 г. на стойност близо 14 милиона долара.

Скорошните фишинг атаки за големи компании включват тези на Uber и Twilio, които станаха жертва на прости техники за социално инженерство, които дадоха на хакерите лесен достъп чрез незабавни и повтарящи се заявки за уведомяване или заявки за двуфакторно удостоверяване (2FA).

В тези случаи експертите цитират срив в културата на сигурност в тези организации и липса на знания сред техните цели за това как да проверят дали дадено лице или уебсайт е това, за което се представят.

Не всички методи за MFA са създадени еднакви, но съвременните методи за удостоверяване, като например използването на ключ за сигурност, са устойчиво на фишинг решение и се препоръчват от ACSC за най-сигурната форма на MFA. Технологичните гиганти също подкрепят този ход.

Microsoft наскоро обяви пускането на три нови решения, които позволяват на организациите да разположат Azure Active Directory (Azure AD) за борба с фишинг атаки в Azure, Office 365 и среди за отдалечен работен плот. Едно решение сочи към нови политики за удостоверяване, включително устойчив на фишинг MFA. Тази нова функция позволява на организациите да се борят с фишинг атаките чрез прилагане на специфични политики за удостоверяване на потребителите.

Фирмите могат да ограничат удостоверяването според техните изисквания, което включва позволяване на организациите да използват устойчиви на фиш MFA ключове за сигурност за удостоверяване без парола, базирано на FIDO (FIDO2/WebAuthn) или удостоверяване, базирано на сертификат, за да принудят ключовете за сигурност да бъдат единственото разрешено решение за удостоверяване. цял вектор за атака за потребителите и защитава техните най-важни активи.

Промяната не е лесна, особено за много хора, които предполагат, че трябва да са технически подковани, за да разберат методите за защита на киберсигурността. Приемането на устойчива на фишинг мобилна MFA с ключ за сигурност не е труден процес и има много технологични компании като Google, гиганти на социални медии, Amazon и доставчици на мениджъри на пароли (да назовем само няколко), които позволяват и приемат използването на ключове за сигурност за МВнР.

Тук обаче се намесват факторите търсене и предлагане. Наличието на толкова много технологични компании, предлагащи MFA, е „случайното“ решение за по-добра защита на акаунта, но в основата на спектъра на „търсенето“ е потребителското изживяване.

Независимо дали работното място предлага ИТ политики, които изискват служителите да приемат и използват ключове за сигурност за достъп до акаунти или дали индивидът избира да използва такъв доброволно, създаването на подходящ метод за приемане, който не изисква много настройка или препращане към различни устройства или кодове, опростява Наистина практично.

Удобното и лесно използване на анти-фишинг решения като ключове за сигурност в крайна сметка води до щастливо потребителско изживяване и такова, което идва с допълнителното предимство на защитен онлайн достъп.

Когато става въпрос за провеждане на телефонни обаждания, изпращане на съобщения, използване на приложения за забавление или достъп до мрежата за информация, мобилните устройства са отлични, но когато става въпрос за защита на нашата самоличност и данни, нашите методи за достъп трябва да се третират като нашето здраве – приоритет . Както споменахме по-рано, промяната никога не е лесна, но е възможна, когато е без стрес, удобна е, осигурява защита и елиминира фишинг.