𝗧𝘄𝗼-𝗙𝗮𝗰𝘁𝗼𝗿 𝗔𝘂𝘁𝗵 നിങ്ങൾ കരുതുന്നത്ര ശക്തമായ ഒരു കവചമല്ല
നിങ്ങൾ ടു-ഫാക്ടർ ഓതന്റേഷൻ (two-factor authentication) പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ട്. അത് നല്ലൊരു ചുവടുവെപ്പാണ്.
മിക്ക സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങളും ഒരു കാര്യം വിസ്മരിക്കുന്നുണ്ട്. കഴിഞ്ഞ മൂന്ന് വർഷത്തിനിടെ നടന്ന ഏറ്റവും വലിയ അക്കൗണ്ട് മോഷണങ്ങളിൽ ഒന്നും തന്നെ നിങ്ങളുടെ കോഡ് ബ്രേക്ക് ചെയ്തുകൊണ്ടല്ല നടന്നത്. പകരം, നിങ്ങൾ തന്നെ അത് കൈമാറുന്ന രീതിയിലോ അല്ലെങ്കിൽ ആ സുരക്ഷാ ഘട്ടത്തെ അപ്രസക്തമാക്കുന്ന രീതിയിലോ ആണ് ആക്രമണകാരികൾ പ്രവർത്തിച്ചത്.
ആക്രമണകാരികൾ നിങ്ങളുടെ 2FA മറികടക്കാൻ ഉപയോഗിക്കുന്ന പ്രധാനപ്പെട്ട മൂന്ന് വഴികൾ ഇവയാണ്:
- MFA Fatigue മോഷ്ടിച്ച യൂസർനെയിമും പാസ്വേഡും ഉപയോഗിച്ച് ആക്രമണകാരികൾ നിരന്തരം പുഷ് നോട്ടിഫിക്കേഷനുകൾ (push notifications) അയക്കുന്നു. അവർ രാത്രികാലങ്ങളിൽ ഡസൻ കണക്കിന് റിക്വസ്റ്റുകൾ അയച്ചേക്കാം. ആ ശബ്ദം നിർത്താൻ വേണ്ടി മാത്രം പലരും "Approve" ബട്ടൺ അമർത്താറുണ്ട്. ഇത് ആക്രമണകാരിക്ക് നിങ്ങളുടെ അക്കൗണ്ടിലേക്ക് പ്രവേശിക്കാൻ സാധിക്കുന്ന ഒരു സെഷൻ നൽകുന്നു. 2022-ൽ Uber ഈ രീതിക്ക് ഇരയായിട്ടുണ്ട്.
- പരിഹാരം: Number matching പ്രവർത്തനക്ഷമമാക്കുക. നിങ്ങളുടെ സ്ക്രീനിൽ കാണിക്കുന്ന ഒരു കോഡ് ആപ്പിൽ ടൈപ്പ് ചെയ്യേണ്ടതുണ്ട്. ഇത് അശ്രദ്ധമായ അപ്രൂവലുകൾ തടയുന്നു.
- Adversary-in-the-Middle (AiTM) ആക്രമണകാരി ഒരു വ്യാജ ലോഗിൻ പേജ് നിർമ്മിക്കുന്നു. നിങ്ങൾ അതിൽ ലോഗിൻ ചെയ്യുമ്പോൾ, പ്രോക്സി (proxy) നിങ്ങളുടെ വിവരങ്ങൾ യഥാർത്ഥ സൈറ്റിലേക്ക് അയക്കുന്നു. യഥാർത്ഥ സൈറ്റ് ഒരു 2FA ചലഞ്ച് അയക്കുന്നു, പ്രോക്സി അത് നിങ്ങൾക്ക് കൈമാറുന്നു. നിങ്ങൾ കോഡ് നൽകുന്നു. ഉടൻ തന്നെ പ്രോക്സി നിങ്ങളുടെ സെഷൻ കുക്കി (session cookie) മോഷ്ടിക്കുന്നു. ഇപ്പോൾ ആക്രമണകാരിക്ക് നിങ്ങളുടെ അക്കൗണ്ട് കൈവശം വയ്ക്കാൻ സാധിക്കും.
- പരിഹാരം: Passkeys അല്ലെങ്കിൽ ഹാർഡ്വെയർ സെക്യൂരിറ്റി കീകൾ ഉപയോഗിക്കുക. ഇവ യഥാർത്ഥ വെബ്സൈറ്റ് ഡൊമെയ്നുമായി ബന്ധിപ്പിച്ചിട്ടുള്ള ക്രിപ്റ്റോഗ്രഫി ഉപയോഗിക്കുന്നു. അതിനാൽ ഒരു പ്രോക്സിക്ക് ഇവയെ കബളിപ്പിക്കാൻ കഴിയില്ല.
- SIM Swapping ആക്രമണകാരി നിങ്ങളുടെ മൊബൈൽ കരിയറെ വിളിക്കുന്നു. നിങ്ങൾ ആണെന്ന് വ്യാജേന അവര് നിങ്ങളുടെ നമ്പർ അവരുടെ സിം കാർഡിലേക്ക് മാറ്റുന്നു. ഇപ്പോൾ എല്ലാ SMS കോഡുകളും അവർക്ക് ലഭിക്കുന്നു.
- പരിഹാരം: പ്രധാനപ്പെട്ട കാര്യങ്ങൾക്കായി SMS ഉപയോഗിക്കുന്നത് ഒഴിവാക്കുക. Google Authenticator അല്ലെങ്കിൽ Authy പോലുള്ള Authenticator ആപ്പുകൾ ഉപയോഗിക്കുക. ഇവ നിങ്ങളുടെ ഉപകരണത്തിൽ നേരിട്ട് കോഡുകൾ നിർമ്മിക്കുന്നതിനാൽ SIM swaps വഴി ഇവ ചോർത്താൻ കഴിയില്ല.
സുരക്ഷാ രീതികളുടെ താരതമ്യം:
• SMS OTP: Credential stuffing മാത്രം തടയുന്നു. • Authenticator App: Credential stuffing-ഉം SIM swaps-ഉം തടയുന്നു. • Standard Push: Credential stuffing-ഉം SIM swaps-ഉം തടയുന്നു. • Push with Number Matching: Credential stuffing, push bombing, SIM swaps എന്നിവ തടയുന്നു. • Hardware Key / Passkey: എല്ലാം തടയുന്നു.
Phishing-resistant MFA ആണ് ലക്ഷ്യം. ഹാർഡ്വെയർ കീകളും പാസ്കീകളും നിങ്ങൾ യഥാർത്ഥ വെബ്സൈറ്റിലാണെന്ന് ഉറപ്പാക്കുന്നു. അവിടെ മോഷ്ടിക്കാൻ ഒരു കോഡും ഉണ്ടാകില്ല.
നിങ്ങളുടെ അക്കൗണ്ടുകൾ സുരക്ഷിതമാക്കാൻ ഈ നടപടികൾ സ്വീകരിക്കുക:
- ഈ ആഴ്ച: സാമ്പത്തിക അക്കൗണ്ടുകളിൽ നിന്ന് SMS 2FA ഒഴിവാക്കുക. ഒരു Authenticator ആപ്പിലേക്ക് മാറുന്നതാണ് ഉചിതം.
- ഈ മാസം: നിങ്ങളുടെ പുഷ് ആപ്പുകളിൽ Number matching പ്രവർത്തനക്ഷമമാക്കുക.
- തയ്യാറാകുമ്പോൾ: നിങ്ങളുടെ ഇമെയിലിനും പാസ്വേഡ് മാനേജറിനും വേണ്ടി ഒരു ഹാർഡ്വെയർ കീ വാങ്ങുക.
2025-ലെ ഭീഷണികൾ നേരിടാൻ 2019-ലെ സുരക്ഷാ രീതികൾ ഉപയോഗിക്കരുത്.
യഥാർത്ഥ ഉദാഹരണങ്ങൾ സഹിതമുള്ള വിശദമായ വിവരങ്ങൾ: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass