Avec des pirates à la recherche de la manière dont ils peuvent accéder à vos informations personnelles via chaque forme de schéma de phishing, il est essentiel de prendre toutes les précautions pour protéger vos données. L’authentification multi-facteurs (MFA) est un moyen de stimuler la sécurité des comptes, mais elle doit être utilisée correctement, et même alors, vous devriez être à la recherche d’invites malveillantes qui donnent aux mauvais acteurs les codes dont ils ont besoin pour vous connecter facilement.
L’authentification à deux facteurs peut être compromise
Premièrement, un rappel que l’authentification à deux facteurs et multi-facteurs n’est pas nécessairement égale. 2FA utilise exactement deux facteurs pour vérifier la connexion d’un utilisateur, et les deux peuvent être quelque chose que l’utilisateur connaît, comme son mot de passe plus un code PIN ou SMS. Le MFA, quant à lui, nécessite au moins deux indépendant Facteurs, comme un mot de passe (un facteur de connaissance) plus un ID biométrique (un facteur d’identité) ou un mot de passe ponctuel basé sur le temps (un facteur de possession) à partir d’une application Authenticator.
Les facteurs de connaissance (et certains facteurs de possession) peuvent être phisés relativement facilement, c’est pourquoi les codes 2FA envoyés via SMS sont la pire option d’authentification, surtout si vous avez des alternatives. Les mauvais acteurs peuvent également essayer de vous inciter à vous engager avec de fausses invites 2FA.
Comment identifier les invites 2FA malveillantes
Une façon dont les pirates dépassent 2FA consistent à vous porter avec des demandes d’authentification répétées, une tactique connue sous le nom de bombardement rapide. Vous pouvez obtenir des dizaines, même des centaines de notifications push à votre téléphone dans un court laps de temps ou tard dans la nuit, lorsque vous êtes moins susceptible de réfléchir clairement. Les acteurs de la menace comptent sur le fait que si vous êtes suffisamment ennuyé, vous finirez par approuver l’un d’eux. Ne le faites pas. Si vous obtenez une invite 2FA lorsque vous n’essayez pas de vous connecter à l’un de vos comptes, c’est un drapeau rouge instantané.
Un autre signe d’une invite malveillante est que la tentative de connexion provient d’un appareil ou d’une région inconnu – par exemple, une notification Google pour une machine Windows lorsque vous êtes un utilisateur MAC ou un emplacement dans un pays entièrement différent. Vous devez également vous méfier des invites avec des fenêtres contextuelles qui demandent des autorisations sans rapport avec l’application ou le service lui-même, comme la possibilité d’accéder à tous les contacts de votre appareil.
Les pirates peuvent également vous contacter par téléphone, SMS ou e-mail pour demander vos codes SMS 2FA. Il est facile d’identifier les numéros de téléphone et les adresses e-mail, vous ne devez donc pas faire confiance à l’ID de l’appelant ou à un expéditeur même s’il semble légitime. Les entreprises n’appellent pas non sollicité pour exiger votre mot de passe ou votre code d’authentification, alors raccrochez ou ignorez ces messages.
Conclusion: si vous recevez des demandes 2FA suspectes via la notification push, le texte ou toute autre méthode, ignorez-les et modifiez le mot de passe sur le compte connexe en allant directement Sur le site Web ou l’application, jamais via l’invite elle-même, car cela peut vous conduire à un site de phishing qui pourrait compromettre davantage vos informations. Si vous interagissez accidentellement avec des invites malveillantes, recherchez des signes d’une arnaque, tels que des personnages sournois ou des sosies dans les adresses Web et une mauvaise orthographe ou une grammaire.
