Двухфакторная идентификация на различных ресурсах повсеместно используется для обеспечения безопасности данных. Это могут быть ящики электронной почты, аккаунты на форумах, в интернет-магазинах, а также криптовалютные онлайн-кошельки или криптовалютные биржи. Двухфакторная идентификация очень часто навязывается пользователям, и в личном кабинете пользователь видит навязчивое напоминание о включении этой функции. Она действительно обеспечивает высокий уровень безопасности, но, лишь до тех пор, пока пользователем не заинтересовались хакеры.
Получение дубликата SIM-карта – не фантастика. При большом желании это вполне осуществимо, со всеми вытекающими последствиями. Если злоумышленник получает доступ к номеру телефона, то он получает доступ ко всем аккаунтам, к которым он привязан. Даже если пользователю удается сообщить администрации ресурса, что аккаунт взломан, то он будет заблокирован на время выяснения обстоятельств, что также вызовет массу неудобств. Если это аккаунт на криптовалютной бирже, то трейдер с заблокированным аккаунтом может пропустить ряд сделок и потерять свой доход.
Еще одна опасность – выход на друзей и родственников пользователя. Когда злоумышленник получил доступ к номеру телефона, то он получил возможность заработать и на близких к пользователю людях. Таким образом, круг потенциальных жертв будет расширяться.
Что с этим делать?
Нет 100%-ных вариантов предотвратить взлом аккаунта. Но есть некоторые рекомендации, которые помогут снизить вероятность взлома.
Возьмем для примера Google-аккаунт с двухфакторной идентификацией (Это лишь пример. В том же ключе можно говорить и об аккаунте на криптовалютной бирже). Удобно, безопасно. На первый взгляд. Когда хакер получает доступ к номеру телефона жертвы, то он получает и все пароли, хранящиеся в аккаунте. А все мы любим сохранять пароли в том же браузере Chrome. Величина бедствия здесь очевидна. И мы даже не упоминали об онлайн-банкингах, где все также завязано на номере телефона.
Первое, что можно сделать – вообще отказаться от двухфакторной идентификации. Но это будет не удобно и не безопасно в случае потери доступа к аккаунтам (элементарно, пользователь забыл пароль). Поэтому нужно просто привязать аккаунт к номеру телефона, который будет использоваться исключительно для одной этой цели. Сим-карта должна стоять в простой «звонилке» без доступа к интернету. У злоумышленника практически не будет возможности даже просто узнать о существовании данного номера телефона.
Второе, что мы бы посоветовали – убрать автозаполнение паролей. Да, не удобно. Но, поверьте, хранение паролей на бумажном носителе – намного безопаснее, если вами заинтересовались хакеры. Даже если они получат доступ к номеру телефона, они хотя бы не получат доступ к другим ресурсам, которыми вы пользуетесь.
Третий совет – самый правильный и самый затратный – аппаратный ключ. Это может быть как ключ для авторизации в тех же сервисах Google, так и криптовалютный аппаратный кошелек конкретно для хранения своих активов. Суть одна и та же – злоумышленник не получит доступа к аккаунту, если он не имеет физического доступа к аппаратному ключу или аппаратному кошельку.
В сухом остатке
Эта статья не для параноиков. Эта статья для тех, кто знает ценность информационной безопасности. Не все пользователи являются интересными для хакеров. Но не стоит забывать, что мы можем быть лишь звеном в цепочке, которая позволит хакерам приблизиться к «крупной рыбе».