ٹو فیکٹر آتھینٹیکیشن (2FA) وہ ڈھال نہیں ہے جو آپ سمجھتے ہیں
آپ نے ٹو فیکٹر آتھینٹیکیشن (2FA) فعال کر لی ہے۔ یہ ایک اچھا قدم ہے۔
زیادہ تر سیکیورٹی گائیڈز ایک چیز نظر انداز کر دیتی ہیں۔ گزشتہ تین سالوں میں اکاؤنٹ کی سب سے بڑی چوریوں میں آپ کا کوڈ کریک نہیں کیا گیا۔ بلکہ حملہ آوروں نے آپ سے وہ کوڈ حاصل کرنے کے طریقے ڈھونڈ لیے یا اس مرحلے کو ہی بے اثر بنا دیا۔
یہاں وہ تین اہم طریقے ہیں جن کے ذریعے حملہ آور آپ کے 2FA کو بائی پاس کرتے ہیں:
- MFA Fatigue حملہ آور آپ کے چوری شدہ یوزر نیم اور پاس ورڈ کا استعمال کرتے ہوئے پش نوٹیفیکیشنز (push notifications) بھیجتے ہیں۔ وہ رات بھر میں درجنوں درخواستیں بھیجتے ہیں۔ زیادہ تر لوگ صرف اس شور کو روکنے کے لیے "Approve" پر کلک کر دیتے ہیں۔ یہ حملہ آور کو ایک درست سیشن (session) فراہم کر دیتا ہے۔ 2022 میں Uber اس کا شکار ہوا تھا۔
- حل: نمبر میچنگ (number matching) فعال کریں۔ آپ کو اپنی اسکرین پر نظر آنے والا کوڈ اپنی ایپ میں ٹائپ کرنا ہوگا۔ یہ اندھا دھند منظوری (blind approvals) کو روکتا ہے۔
- Adversary-in-the-Middle (AiTM) ایک حملہ آور ایک جعلی لاگ ان پیج بناتا ہے۔ جب آپ لاگ ان کرتے ہیں، تو پراکسی (proxy) آپ کی تفصیلات اصل سائٹ کو بھیج دیتی ہے۔ اصل سائٹ 2FA چیلنج بھیجتی ہے۔ پراکسی وہ چیلنج آپ تک پہنچا دیتا ہے۔ آپ اپنا کوڈ درج کرتے ہیں۔ پراکسی آپ کا سیشن کوکی (session cookie) چرا لیتا ہے۔ اب حملہ آور کا آپ کے اکاؤنٹ پر قبضہ ہو جاتا ہے۔
- حل: پاس کیز (passkeys) یا ہارڈ ویئر سیکیورٹی کیز (hardware security keys) استعمال کریں۔ یہ اصل ویب سائٹ ڈومین سے منسلک کرپٹوگرافی کا استعمال کرتی ہیں۔ پراکسی انہیں دھوکہ نہیں دے سکتا۔
- SIM Swapping ایک حملہ آور آپ کے موبائل کیریئر کو کال کرتا ہے۔ وہ آپ بننے کا ناٹک کرتے ہیں اور آپ کا نمبر اپنے سم کارڈ پر منتقل کر لیتے ہیں۔ اب، ہر SMS کوڈ ان کے پاس جاتا ہے۔
- حل: کسی بھی اہم کام کے لیے SMS کا استعمال بند کر دیں۔ Google Authenticator یا Authy جیسی آتھینٹیکیٹر ایپس استعمال کریں۔ یہ آپ کے آلے پر کوڈز تیار کرتی ہیں اور انہیں SIM swapping کے ذریعے نہیں روکا جا سکتا۔
سیکیورٹی طریقوں کا موازنہ:
• SMS OTP: صرف credential stuffing کو روکتا ہے۔ • Authenticator App: credential stuffing اور SIM swaps کو روکتا ہے۔ • Standard Push: credential stuffing اور SIM swaps کو روکتا ہے۔ • Push with Number Matching: credential stuffing، push bombing، اور SIM swaps کو روکتا ہے۔ • Hardware Key / Passkey: سب کچھ روکتا ہے۔
فشنگ سے محفوظ (Phishing-resistant) MFA ہی اصل مقصد ہے۔ ہارڈ ویئر کیز اور پاس کیز اس بات کا ثبوت ہوتی ہیں کہ آپ اصل ویب سائٹ پر موجود ہیں۔ وہاں چوری کرنے کے لیے کوئی کوڈ نہیں ہوتا۔
اپنے اکاؤنٹس کو محفوظ بنانے کے لیے یہ اقدامات اٹھائیں:
- اس ہفتے: مالیاتی اکاؤنٹس سے SMS 2FA ہٹا دیں۔ آتھینٹیکیٹر ایپ پر منتقل ہو جائیں۔
- اس مہینے: اپنی پش ایپس پر نمبر میچنگ فعال کریں۔
- جب تیار ہوں: اپنے ای میل اور پاس ورڈ مینیجر کے لیے ایک ہارڈ ویئر کی خریدیں۔
2025 کے خطرات کے لیے 2019 کی سیکیورٹی استعمال نہ کریں۔
حقیقی ڈیٹا چوری کی مثالوں کے ساتھ مکمل تفصیل: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass