साइबर सुरक्षा के अनुभवी होने के नाते, साइबरहूट vCISO ने वर्षों से मल्टी-फैक्टर ऑथेंटिकेशन (MFA) तकनीकों के विकास को देखा है। हालाँकि SMS-आधारित MFA का उपयोग इसकी सुविधा और कार्यान्वयन में आसानी के कारण व्यापक रूप से किया गया है, फिर भी इसमें कई कमज़ोरियाँ हैं जिनका फायदा हमलावर उठा सकते हैं। इस ब्लॉग में, हम SMS-आधारित MFA से जुड़े जोखिमों पर चर्चा करेंगे, जिनमें एन्क्रिप्शन की कमी, नेटवर्क आउटेज, SS7 हमले, सोशल इंजीनियरिंग और सिम-स्वैपिंग शामिल हैं। इसके अतिरिक्त, हम बेहतर सुरक्षा प्रदान करने वाले वैकल्पिक MFA समाधानों की भी अनुशंसा करेंगे।
एसएमएस-आधारित एमएफए विभिन्न प्रकार के हमलों के प्रति संवेदनशील है, जिससे यह अन्य एमएफए विधियों की तुलना में कम सुरक्षित है। एसएमएस संदेशों पर एन्क्रिप्शन की कमी, एसएस7 हमलों का जोखिम, सोशल इंजीनियरिंग और सिम-स्वैपिंग, एसएमएस-आधारित एमएफए से जुड़े महत्वपूर्ण जोखिम हैं।
एसएमएस संदेश एन्क्रिप्टेड नहीं होते, इसलिए हमलावर उन्हें इंटरसेप्ट करके पढ़ सकते हैं। अगर एसएमएस संदेश में छह अंकों का प्रमाणीकरण कोड जैसी संवेदनशील जानकारी है, तो हमलावर इसका इस्तेमाल लक्षित खाते तक पहुँचने के लिए कर सकते हैं।
मोबाइल सेवा प्रदाता नेटवर्क भी नेटवर्क व्यवधानों से अछूते नहीं हैं, जिससे एसएमएस सेवा उपलब्ध नहीं हो पाती। हालांकि ऐसी व्यवधान दुर्लभ हैं, लेकिन इंटरनेट चालू रहने पर भी हो सकते हैं, जिससे आपात स्थिति में आप अपने महत्वपूर्ण खातों तक नहीं पहुँच पाते।
SS7 का अर्थ है सिग्नलिंग सिस्टम 7, एक प्रोटोकॉल जिसे पहली बार 1988 में लागू किया गया था और आखिरी बार 1993 (30 साल पहले) में अपडेट किया गया था। इसका इस्तेमाल दूरसंचार कंपनियाँ मोबाइल वाहक नेटवर्क के बीच सूचनाओं के आदान-प्रदान के लिए करती हैं। हैकर SS7 की कमज़ोरियों का फ़ायदा उठाकर इच्छित प्राप्तकर्ता के लिए भेजे गए SMS संदेशों को इंटरसेप्ट और रीडायरेक्ट कर सकते हैं। इस हमले को SS7 हमला कहा जाता है। यह हमलावरों को MFA प्रक्रिया को इंटरसेप्ट करने और लक्षित खातों के सेकंड फैक्टर क्रेडेंशियल्स तक पहुँच प्राप्त करने की अनुमति देता है। दोबारा इस्तेमाल किए गए पासवर्ड के साथ, हैकर इस प्रकार की MFA सुरक्षा का उपयोग करके महत्वपूर्ण खातों तक पहुँच प्राप्त कर सकते हैं।
सोशल इंजीनियरिंग एक ऐसी रणनीति है जिसका इस्तेमाल हमलावर किसी व्यक्ति की गोपनीय जानकारी को धोखे से प्राप्त करने के लिए करते हैं। एसएमएस-आधारित एमएफए के मामले में, हमलावर पीड़ित के मोबाइल सेवा प्रदाता से संपर्क कर सकते हैं और पीड़ित का रूप धारण करके उसके फ़ोन नंबर से जुड़ा सिम कार्ड प्राप्त कर सकते हैं। सिम कार्ड की मदद से, हमलावर पीड़ित के लिए भेजे गए एसएमएस संदेश प्राप्त कर सकता है, एमएफए प्रक्रिया को दरकिनार कर सकता है और लक्षित खाते तक पहुँच प्राप्त कर सकता है। सिम कार्ड हमले के एक अन्य रूप को सिम-स्वैपिंग कहा जाता है, जिसकी अब हम जाँच करेंगे।
सिम-स्वैपिंग एक ऐसी तकनीक है जिसका इस्तेमाल हमलावर पीड़ित के फ़ोन नंबर पर नियंत्रण पाने के लिए करते हैं। हमलावर पीड़ित का रूप धारण करके मोबाइल सेवा प्रदाता को पीड़ित का फ़ोन नंबर अपने पास मौजूद सिम कार्ड में स्थानांतरित करने के लिए राज़ी कर सकते हैं। पीड़ित के फ़ोन नंबर पर नियंत्रण पाकर, हमलावर दूसरे कारक, एक एसएमएस कोड, तक पहुँच प्राप्त कर लेता है और उजागर, दोबारा इस्तेमाल किए गए या हैक किए गए खाते के पासवर्ड से लक्षित खाते तक पहुँच प्राप्त कर लेता है।
ये एसएमएस-आधारित बहु-कारक प्रमाणीकरण के सबसे बड़े पाँच जोखिम हैं। आइए उन सर्वोत्तम तरीकों पर ध्यान दें जिनका पालन आपको तब करना चाहिए जब आपको एसएमएस एमएफए का उपयोग करना ही पड़े, भले ही साइबरहूट आपको अब ऐसा न करने की सलाह देता हो। फिर हम आपको वैकल्पिक एमएफए विधियाँ बताएँगे जो एसएमएस-आधारित एमएफए से कहीं अधिक सुरक्षित हैं।
अपनी कमज़ोरियों के बावजूद, एसएमएस-आधारित एमएफए सही तरीके से इस्तेमाल करने पर सुरक्षा की एक अतिरिक्त परत प्रदान कर सकता है। यहाँ कुछ सर्वोत्तम अभ्यास दिए गए हैं जो एसएमएस-आधारित एमएफए से जुड़े जोखिमों को कम करने में मदद कर सकते हैं:
एमएफए की सुरक्षा बढ़ाने के लिए, कई वैकल्पिक समाधान मौजूद हैं जो एसएमएस-आधारित एमएफए से ज़्यादा सुरक्षित हैं। यहाँ कुछ उदाहरण दिए गए हैं:
एसएमएस-आधारित एमएफए सुरक्षा की एक अतिरिक्त परत प्रदान करने के लिए व्यापक रूप से इस्तेमाल किया जाने वाला तरीका रहा है, लेकिन इसमें गंभीर कमज़ोरियाँ हैं जिनका फायदा हमलावर उठा सकते हैं। एन्क्रिप्शन की कमी, नेटवर्क में रुकावट, एसएस7 हमले, सोशल इंजीनियरिंग और सिम-स्वैपिंग, ये सभी एसएमएस-आधारित एमएफए से जुड़े जोखिम हैं। हालाँकि इन जोखिमों को कम करने में मदद करने वाली सर्वोत्तम प्रथाएँ मौजूद हैं, लेकिन वैकल्पिक एमएफए समाधान भी मौजूद हैं जो बेहतर सुरक्षा प्रदान करते हैं, जैसे मोबाइल प्रमाणक ऐप, हार्डवेयर टोकन और बायोमेट्रिक प्रमाणीकरण।
साइबर सुरक्षा के क्षेत्र में अनुभवी होने के नाते, साइबरहूट व्यक्तियों और संगठनों को अपनी सुरक्षा स्थिति को बेहतर बनाने तथा अपनी संवेदनशील जानकारी और परिसंपत्तियों की सुरक्षा के लिए इन वैकल्पिक समाधानों पर विचार करने की सलाह देता है।
अतिरिक्त पढ़ना: एसएमएस आधारित एमएफए के जोखिमों पर क्रिप्ट की कहानियाँ
नवीनतम साइबर सुरक्षा रुझानों, सुझावों और सर्वोत्तम प्रथाओं के बारे में जानें और उन्हें साझा करें - साथ ही नए खतरों के बारे में भी जानें।
गूगल ने कुकी सुरक्षा का एक नया उपाय विकसित और जारी किया है जो चोरी हुई सेशन कुकीज़ को किसी भी प्लेटफॉर्म पर बेकार कर देता है...
अधिक पढ़ें
नए बेंचमार्क डेटा के अनुसार, MDASH और Claude Mythos Preview शून्य-दिन की कमजोरियों का पता लगाने वाले शीर्ष AI एजेंट हैं...
अधिक पढ़ें
एक भूला हुआ पासवर्ड, लगभग एक आपदा। एक रिटेल स्टोर में मौजूद विंडोज मशीन में एक पासवर्ड कैश किया हुआ था...
अधिक पढ़ेंपारंपरिक फिश परीक्षण को मात देने वाले सकारात्मक दृष्टिकोण के साथ मानवीय जोखिमों पर अधिक पैनी नजर रखें।
