𝗧𝘄𝗼-𝗙𝗮𝗰𝘁𝗼𝗿 𝗔𝘂𝘁𝗵 ਉਹ ਢਾਲ ਨਹੀਂ ਹੈ ਜੋ ਤੁਹਾਨੂੰ ਲੱਗਦਾ ਹੈ
ਤੁਸੀਂ two-factor authentication ਚਾਲੂ ਕਰ ਦਿੱਤੀ ਹੈ। ਇਹ ਇੱਕ ਚੰਗਾ ਕਦਮ ਹੈ।
ਜ਼ਿਆਦਾਤਰ ਸੁਰੱਖਿਆ ਗਾਈਡਾਂ ਇੱਕ ਚੀਜ਼ ਛੱਡ ਦਿੰਦੀਆਂ ਹਨ। ਪਿਛਲੇ ਤਿੰਨ ਸਾਲਾਂ ਦੌਰਾਨ ਹੋਈਆਂ ਸਭ ਤੋਂ ਵੱਡੀਆਂ ਖਾਤਾ ਚੋਰੀਆਂ ਵਿੱਚ ਤੁਹਾਡਾ ਕੋਡ ਤੋੜਿਆ ਨਹੀਂ ਗਿਆ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ ਤੁਹਾਨੂੰ ਉਹ ਕੋਡ ਦੇਣ ਲਈ ਮਜਬੂਰ ਕਰਨ ਦੇ ਤਰੀਕੇ ਲੱਭ ਲਏ ਜਾਂ ਉਸ ਕਦਮ ਨੂੰ ਬੇਕਾਰ ਬਣਾ ਦਿੱਤਾ।
ਇੱਥੇ ਤਿੰਨ ਮੁੱਖ ਤਰੀਕੇ ਹਨ ਜਿਨ੍ਹਾਂ ਰਾਹੀਂ ਹਮਲਾਵਰ ਤੁਹਾਡੇ 2FA ਨੂੰ ਬਾਈਪਾਸ (bypass) ਕਰਦੇ ਹਨ:
- MFA Fatigue ਹਮਲਾਵਰ ਤੁਹਾਡਾ ਚੋਰੀ ਕੀਤਾ ਹੋਇਆ username ਅਤੇ password ਵਰਤ ਕੇ push notifications ਭੇਜਦੇ ਹਨ। ਉਹ ਰਾਤੋ-ਰਾਤ ਦਰਜਨਾਂ ਬੇਨਤੀਆਂ ਭੇਜਦੇ ਹਨ। ਜ਼ਿਆਦਾਤਰ ਲੋਕ ਸਿਰਫ਼ ਸ਼ੋਰ ਨੂੰ ਰੋਕਣ ਲਈ "Approve" 'ਤੇ ਟੈਪ ਕਰ ਦਿੰਦੇ ਹਨ। ਇਹ ਹਮਲਾਵਰ ਨੂੰ ਇੱਕ ਵੈਲਿਡ session ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। 2022 ਵਿੱਚ Uber ਇਸ ਦਾ ਸ਼ਿਕਾਰ ਹੋਇਆ ਸੀ।
- ਹੱਲ: number matching ਚਾਲੂ ਕਰੋ। ਤੁਹਾਨੂੰ ਆਪਣੀ ਐਪ ਵਿੱਚ ਆਪਣੀ ਸਕ੍ਰੀਨ 'ਤੇ ਦਿਖਾਇਆ ਗਿਆ ਕੋਡ ਟਾਈਪ ਕਰਨਾ ਪਵੇਗਾ। ਇਹ ਅੰਨ੍ਹੇਵਾਹ ਮਨਜ਼ੂਰੀਆਂ (blind approvals) ਨੂੰ ਰੋਕਦਾ ਹੈ।
- Adversary-in-the-Middle (AiTM) ਇੱਕ ਹਮਲਾਵਰ ਇੱਕ ਫਰਜ਼ੀ login ਪੇਜ ਬਣਾਉਂਦਾ ਹੈ। ਜਦੋਂ ਤੁਸੀਂ log in ਕਰਦੇ ਹੋ, ਤਾਂ proxy ਤੁਹਾਡੀਆਂ ਵੇਰਵੇ ਅਸਲੀ ਸਾਈਟ ਨੂੰ ਭੇਜ ਦਿੰਦਾ ਹੈ। ਅਸਲੀ ਸਾਈਟ ਇੱਕ 2FA ਚੈਲੇਂਜ ਭੇਜਦੀ ਹੈ। Proxy ਉਸ ਚੈਲੇਂਜ ਨੂੰ ਤੁਹਾਡੇ ਤੱਕ ਪਹੁੰਚਾਉਂਦਾ ਹੈ। ਤੁਸੀਂ ਆਪਣਾ ਕੋਡ ਦਰਜ ਕਰਦੇ ਹੋ। Proxy ਤੁਹਾਡਾ session cookie ਚੋਰੀ ਕਰ ਲੈਂਦਾ ਹੈ। ਹੁਣ ਹਮਲਾਵਰ ਦਾ ਤੁਹਾਡੇ ਖਾਤੇ 'ਤੇ ਕਬਜ਼ਾ ਹੋ ਜਾਂਦਾ ਹੈ।
- ਹੱਲ: passkeys ਜਾਂ hardware security keys ਦੀ ਵਰਤੋਂ ਕਰੋ। ਇਹ ਅਸਲੀ ਵੈੱਬਸਾਈਟ ਡੋਮੇਨ ਨਾਲ ਜੁੜੀ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫੀ (cryptography) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਇੱਕ proxy ਉਹਨਾਂ ਨੂੰ ਧੋਖਾ ਨਹੀਂ ਦੇ ਸਕਦਾ।
- SIM Swapping ਇੱਕ ਹਮਲਾਵਰ ਤੁਹਾਡੇ ਮੋਬਾਈਲ ਕੈਰੀਅਰ ਨੂੰ ਫ਼ੋਨ ਕਰਦਾ ਹੈ। ਉਹ ਤੁਹਾਡੇ ਬਣ ਕੇ ਦਿਖਾਵਾ ਕਰਦੇ ਹਨ ਅਤੇ ਤੁਹਾਡਾ ਨੰਬਰ ਆਪਣੇ SIM ਕਾਰਡ 'ਤੇ ਟ੍ਰਾਂਸਫਰ ਕਰ ਲੈਂਦੇ ਹਨ। ਹੁਣ, ਹਰ SMS ਕੋਡ ਉਹਨਾਂ ਕੋਲ ਜਾਂਦਾ ਹੈ।
- ਹੱਲ: ਕਿਸੇ ਵੀ ਮਹੱਤਵਪੂਰਨ ਕੰਮ ਲਈ SMS ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਬੰਦ ਕਰੋ। Google Authenticator ਜਾਂ Authy ਵਰਗੀਆਂ authenticator ਐਪਸ ਦੀ ਵਰਤੋਂ ਕਰੋ। ਇਹ ਤੁਹਾਡੇ ਡਿਵਾਈਸ 'ਤੇ ਕੋਡ ਬਣਾਉਂਦੀਆਂ ਹਨ ਅਤੇ SIM swaps ਰਾਹੀਂ ਇਹਨਾਂ ਨੂੰ ਰੋਕਿਆ ਨਹੀਂ ਜਾ ਸਕਦਾ।
ਸੁਰੱਖਿਆ ਵਿਧੀ ਦੀ ਤੁਲਨਾ:
• SMS OTP: ਸਿਰਫ਼ credential stuffing ਨੂੰ ਰੋਕਦਾ ਹੈ। • Authenticator App: credential stuffing ਅਤੇ SIM swaps ਨੂੰ ਰੋਕਦਾ ਹੈ। • Standard Push: credential stuffing ਅਤੇ SIM swaps ਨੂੰ ਰੋਕਦਾ ਹੈ। • Push with Number Matching: credential stuffing, push bombing, ਅਤੇ SIM swaps ਨੂੰ ਰੋਕਦਾ ਹੈ। • Hardware Key / Passkey: ਸਭ ਕੁਝ ਰੋਕਦਾ ਹੈ।
Phishing-resistant MFA ਹੀ ਅਸਲ ਟੀਚਾ ਹੈ। Hardware keys ਅਤੇ passkeys ਇਹ ਸਾਬਤ ਕਰਦੇ ਹਨ ਕਿ ਤੁਸੀਂ ਅਸਲੀ ਵੈੱਬਸਾਈਟ 'ਤੇ ਹੋ। ਉੱਥੇ ਚੋਰੀ ਕਰਨ ਲਈ ਕੋਈ ਕੋਡ ਨਹੀਂ ਹੁੰਦਾ।
ਆਪਣੇ ਖਾਤਿਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਇਹ ਕਦਮ ਚੁੱਕੋ:
- ਇਸ ਹਫ਼ਤੇ: ਵਿੱਤੀ ਖਾਤਿਆਂ ਤੋਂ SMS 2FA ਹਟਾਓ। Authenticator app 'ਤੇ ਜਾਓ।
- ਇਸ ਮਹੀਨੇ: ਆਪਣੀਆਂ push ਐਪਸ 'ਤੇ number matching ਚਾਲੂ ਕਰੋ।
- ਜਦੋਂ ਤਿਆਰ ਹੋਵੋ: ਆਪਣੇ ਈਮੇਲ ਅਤੇ password manager ਲਈ ਇੱਕ hardware key ਖਰੀਦੋ।
2025 ਦੇ ਖਤਰਿਆਂ ਲਈ 2019 ਦੀ ਸੁਰੱਖਿਆ ਦੀ ਵਰਤੋਂ ਨਾ ਕਰੋ।
ਅਸਲੀ ਬ੍ਰੀਚ (breach) ਦੀਆਂ ਉਦਾਹਰਣਾਂ ਦੇ ਨਾਲ ਪੂਰਾ ਵੇਰਵਾ: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass