هکرها سیستم احزار هویت دو مرحله ای را هم دور زدند ؛ تهدیدی جدی برای امنیت سراسر وب

گروهی از هکرها موفق شده‌اند سیستم احراز هویت دو مرحله ای را دور بزنند. اما آیا این می‌تواند تهدید بزرگی برای کل فضای مجازی و امنیت میلیون‌ها کاربر باشد؟

بسیاری بر این باورند که احراز هویت دو مرحله ای بهترین راه برای امن نگه داشتن یک اکانت آنلاین است. اما متأسفانه اکنون راهی پیدا شده که به هکرها اجازه می‌دهد حتی این روش را هم دور بزنند. با این حال، هنوز هم تأیید دو مرحله ای بهترین راه برای حفظ امنیت شما است!

اما ماجرا از چه قرار است؟ هکرها با استفاده از ربات‌های خودکار، موفق شده‌اند با سوژه‌های مورد نظر تماس بگیرند و از آن‌ها کد تأیید را دریافت کنند و از این طریق سیستم احراز هویت دو مرحله ای را هم دور بزنند. این‌ها ربات‌هایی هستند که در اینترنت فروخته می‌شوند و هر هکری می‌تواند از آن‌ها برای به دست آوردن دسترسی به اکانت کاربرانی که سیستم تأیید هویت دو مرحله‌ای را روی اکانت خود تنظیم کرده‌اند، استفاده کنند.

این ربات‌ها برای خواندن یک اسکریپت اتوماتیک طراحی شده‌اند که به مخاطب به دروغ می‌گوید از یک آژانس ویژه تماس می‌گیرد. با توجه به اتفاقاتی که تاکنون ثبت شده، این ربات‌ها در حال حاضر کاربران سرویس‌های آنلاینی مثل آمازون، پی‌پال، ونمو و برخی از بانک‌های امریکایی را هدف گرفته‌اند.

این ربات‌ها به عنوان راهکارهای کاملاً مبتکرانه‌ای برای هکرها عمل می‌کنند. و از آنجا که ربات‌ها در تماس صوتی با صدای رباتیک خود صحبت می‌کنند، مردم ساده‌تر فریب آن‌ها را می‌خورند و آنطور که هکر می‌خواهند این قضیه را باورد می‌کنند.

آیا این روش هک می‌شود یا دور زده می‌شود؟

تأیید دو مرحله‌ای، یک گام امنیتی اضافه برای اکثر اکانت‌های آنلاین است که در آن کاربر باید دو مرحله احراز هویت را انجام دهد تا بتواند وارد حساب کاربری خود شود. اولین مرحله وارد کردن نام کاربری و رمزعبور است که در تمام سایت‌ها مشترک است. دومین مرحله، ارسال یک کد یا یک درخواست تأیید به دستگاه دیگر کاربر است. تنها با استفاده از این کد یا تأیید درخواست اجازه ورود، قادر به ورود به اکانت خواهید بود.

اضافه شدن این گزینه به ورود اکانت باعث شده بسیاری از هکرها دیگر نتوانند حتی با وجود داشتن نام کاربری و رمزعبور کاربران، وارد اکانت آن‌ها شوند. ربات فیشینگ جدیدی که توسعه پیدا کرده تلاش می‌کند این کد را مستقیماً از کاربران استخراج کند. پیشتر چنین ربات‌هایی را دیده بودیم که هکرها تلاش می‌کنند خودشان را در لباس مبدل جا بزنند و کدهای احراز هویت را به دست بیاورند.

این ربات‌های جدید هم دقیقاً همین کار را انجام می‌دهند، اما از طریق یک مکالمه رباتیک از قربانی می‌خواهند کد را از طریق تماس وارد کند. این کد در حالی برای کاربران ارسال می‌شود که خود هکر سعی می‌کند وارد حساب کاربری آن‌ها شود. ربات به قربانی می‌گوید که برای امن نگه داشتن حساب خود یا جلوگیری از تراکنش‌های مشکوک باید برای دومین بار این کد را وارد کند!

به محض اینکه قربانیان کد احراز هویت را وارد می‌کنند، ربات آن را در رابط کاربری خود به هکر نشان خواهد داد و او می‌تواند به راحتی وارد حساب کاربری قربانی شود.

تأیید هویت دو مرحله ای هنوز هم امن است

نکته بسیار مهمی در اینجا وجود دارد. گرچه هکرها می‌توانند از طریق ربات‌ها تأیید هویت دو مرحله‌ای را دور بزنند، اما به معنای واقعی قادر به هک کردن آن نیستند. در واقع آن‌ها به کدی نیاز دارند که برای کاربر هدف ارسال می‌شود و اگر آن را با هکر به اشتراک نگذارید، عملاً حساب کاربری شما امن خواهد ماند.

بنابراین همچنان به کاربران توصیه می‌شود حتماً از احراز هویت دو مرحله ای برای ورود به اکانت خود استفاده کنند؛ زیرا حتی اگر هکرها نام کاربری یا ایمیل و رمزعبور شما را داشته باشند، قادر نخواهند بود بدون داشتن کد تأیید هویت، وارد اکانت شما شوند. توصیه می‌کنیم هرگز این کد را با هیچ کسی به اشتراک نگذارید و فقط خودتان آن هم فقط هنگام ورود به اکانت از آن استفاده کنید.