Varningen: Tvåfaktorsautentisering inte längre säkert

– När vi studerat cyberkriminellas diskussioner på dark web ser vi att dialogerna kring tvåfaktorsautentisering har mognat och ökat i komplexitet. Det finns numera många detaljerade diskussioner om hur man kommer runt tvåfaktorsautentisering, vare sig det rör sig en specifik bank, tredjepartslösning, mjukvara eller verktyg. Så kallade reverse-proxy phishing-attacker ansågs tidigare vara komplicerade specialattacker, men i dag har det blivit en standard för att försöka hacka sig in på någons konto, säger David Warburton som är chef för F5:s avdelning för forskning och cyberhot på F5 labs.

Vissa säkerhetsmetoder är mer säkra – andra borde undvikas helt

Enligt David Warburton finns det vissa metoder för tvåfaktorsautentisering som är mer säkra. Det kan exempelvis vara Web Authn-protokoll som har förmågan att känna av vilken enhet lösenordet verifieras från via ansiktsigenkänning eller fingeravtryck på mobilen, lösennycklar utan token och även lösenordsnycklar via hårdvara som Yubikey.

– Undvik verifieringar där koden skickas via enkel text över internet, sms eller e-post. Dessa typer av tvåfaktorautentiseringar är numera enkla att ta sig igenom via automatiserade kontoövertaganden, real-time phishing proxy-attacker eller simkortsövertagande, säger David Warburton.

Två typer av attacker väntas öka i Sverige

Enligt Jesper Lundin som är regionchef för Benelux och Norden kan svenskar förvänta sig en ökning av två typer av cyberattacker. Den första är att fler ryska aktörer riktar in sig mot svensk infrastruktur med mål att destabilisera Sverige. Den andra sorten är de som görs i vinstdrivande syfte, med andra ord attacker som riktar sig mot privatpersoner.

– Ryssland befinner sig inte i direkt krig med vare sig Sverige eller USA, men på grund av internationella sanktioner mot Ryssland så har vi i USA sett ett finansiellt krig där antalet vinstdrivande attacker ökat. Vi kan förvänta oss att det också kommer att öka i Sverige där både företag och privatpersoner kan vara måltavlor. Ibland kan det vara lättare att lura tusen medelinkomsttagare på pengar, än ett enda företag eller en rik person. Därför är vi alla påverkade av det ökade hotet. Även om privatpersoner inte ska behöva tänka på detta, utan det bör vara företagens ansvar att skydda sina miljöer, rekommenderar jag alla att se över sin personliga cybersäkerhet, säger Jesper Lundin.

Experterna tipsar om fyra steg att följa för att öka din cybersäkerhet:

• Första regeln är alltid att undvika att återanvända lösenord – då begränsar du skadan om en hackare lyckats ta sig in i ett konto.
• Använd lösenordshanterare – även om dessa också kan bli hackade, så är säkerheten bättre än att återanvända eller att ha dåliga lösenord.
• Använd lösenordsfri verifiering – en metod där användaren verifieras via en specifik enhet eller via biometrisk data, exempelvis fingeravtryck eller ansiktsigenkänning.
• För företag eller den som är tekniskt kunnig, kan lösningar som Yubikey användas, vilket är en lösning där användaren identifierar sig med en specifik krypterad hårdvarunyckel.

Denna artikel var tidigare publicerad på tidningen telekomidag.se