کمیته رکن چهارم – یکی از روشهای بسیار مؤثر برای حفظ امنیت بر روی حسابهای کاربری، استفاده از احراز هویت دو-عاملی است. این روش با تمام مزایایی که دارد، دارای یک نقص عمده است که شاید شما انتظار شنیدن آن را نداشته باشید. آن نقص خودِ شما هستید.
به گزارش کمیته رکن چهارم،شاید شنیدن این موضوع برای شما کمی گیجکننده باشد ولی باید هر صفحهای را که بازدید میکنید، بسیار مراقب باشید. براساس اسنادی که متعلق به آژانس امنیت ملی آمریکا بوده و به دست خبرگزاریها رسیده است، نفوذگران روسی توانستهاند سال گذشته با موفقیت، سامانههای رأیگیری آمریکا را مورد نفوذ قرار دهند.
در همین سند، اسلایدی وجود دارد که اشاره میکند نفوذگران میتوانند با درخواست کدهای تأیید از کاربر، سازوکارهای احراز هویت دو-عاملی را دور بزنند. در این اسلاید آمده است: «اگر کاربر قبلاً احراز هویت دو-عاملی را فعال کرده باشد، زمانی که از وبگاهِ مهاجم بازدید میکند، درخواستی به نمایش داده شده و از او شمارهی تماس و کد اعتبارسنجی گوگل که برای تلفن همراه او ارسال شده را میپرسد.»
بهطور خلاصه، اگر قربانی وارد وبگاه جعلی مهاجمان شده و آدرس رایانامه و گذرواژهی خود را در این صفحه وارد کند، مهاجمان در ادامه اطلاعات بیشتری از او درخواست خواهند کرد و این اطلاعات همان کد اعتبارسنجی مربوط به ویژگی احراز هویت دو-عاملی است. وقتی قربانی این اطلاعات را وارد کرد، به سمت سرویسهای قانونی گوگل هدایت میشود.
مرحلهی دوم: اسناد آلوده
در این سناریوی حمله، یک مرحلهی دیگر نیز وجود دارد. وقتی مهاجمان به حسابهای کاربری قربانی دسترسی پیدا کردند، نفوذگران میتوانند از این حسابها، رایانامههایی را برای ادارات و سازمانهای مربوط به انتخابات ارسال کنند. این رایانامهها حاوی اسناد مخرب در قالب ضمیمه هستند و اگر گیرنده برای باز کردن این اسناد متقاعد شود، سامانهی انتخاباتی آلوده خواهد شد.
به اثبات رسیده است که ویژگی احراز هویت دو-عاملی یکی از بهترین روشها برای حفاظت از حسابهای کاربری است ولی این موضوع تا زمانی صحیح است که شما در مورد اینکه چه دادههایی را کجا وارد میکنید، بسیار هوشیار باشید. مخصوصاً زمانیکه پیوندهای مربوط به یک وبگاه را از طریق یک رایانامهی مشکوک دریافت میکنید، بیشتر باید محتاط باشید. یکی از بهترین گزینهها برای اینکه تشخیص دهید یک وبگاه قانونی است، این است که خودتان آدرس وبگاه را در نوار آدرس تایپ کنید و در ادامه اطلاعات مهم مانند نام کاربری، گذرواژه و کدهای احراز هویت دو-عاملی را وارد کنید.
منبع:softpedia
