Sikkerhedsforskere advarer nu om en ny alvorlig trussel mod brugere af Google og Microsofts tjenester.
En ny type angreb, kaldet FlowerStorm, er rettet mod to-faktor-autentifikation (2FA) og kan give cyberkriminelle adgang til følsomme data.
Ny trussel erstatter tidligere angreb
FlowerStorm beskrives som en videreudvikling af det tidligere Rockstar 2FA-angreb, der for nylig blev deaktiveret.
Ifølge forskere fra Sophos er FlowerStorm en phishing-as-a-service-platform, der ligner Rockstar 2FA i både funktionalitet og design.
Angrebene er særligt effektive mod brugere, der anvender traditionelle 2FA-løsninger som SMS- eller app-baserede koder.
Angrebene starter ofte med phishing-mails eller falske login-sider, der narrer brugeren til at dele deres login-oplysninger og 2FA-koder.
Herefter kan angriberne omgå sikkerhedslagene og få fuld adgang til konti. Det skriver Forbes.
Styrker og svagheder i 2FA
Selvom to-faktor-autentifikation generelt betragtes som en vigtig sikkerhedsforanstaltning, viser angreb som FlowerStorm, at systemer baseret på delte hemmeligheder, såsom engangskoder, har sårbarheder.
En rapport fra Oasis Security fremhæver også tidligere sårbarheder i Microsofts 2FA-systemer, der gav hackere mulighed for at bryde ind på konti uden at generere alarmer.
Sådan beskytter du dig
Google og Microsoft opfordrer brugere til at skifte til passkeys og andre passwordløse autentifikationsmetoder, der tilbyder bedre beskyttelse mod phishing og automatiserede angreb.
Passkeys bruger biometriske data eller enhedsbaserede nøgler, der gør det betydeligt sværere for angribere at få adgang.
Sikkerhedseksperter anbefaler desuden, at brugere er ekstra opmærksomme på phishing-mails og kun bruger officielle login-portaler.
Regelmæssige sikkerhedsopdateringer og stærkere autentifikationsløsninger er afgørende for at imødegå de voksende cybertrusler.
