मल्टी-फॅक्टर ऑथेंटिकेशन वापरूनही तुमची खाती हॅक होऊ शकतात

जेव्हा डिजिटल सुरक्षिततेचा विचार केला जातो तेव्हा खात्यांसाठी सुरक्षिततेचा अतिरिक्त स्तर सेट करण्याची जोरदार शिफारस केली जाते. मल्टी-फॅक्टर ऑथेंटिकेशन (MFA) या नावाने ओळखल्या जाणाऱ्या या दृष्टिकोनामागील कल्पना ही आहे की एखाद्या वाईट अभिनेत्याने तुमचा पासवर्ड मिळवण्यात व्यवस्थापित केले असले तरीही, खात्यात जाण्यासाठी त्यांना दुसऱ्या स्तरावरील पडताळणीतून जावे लागेल. प्रमाणीकरणाचा हा दुय्यम स्तर एक-वेळचा पासवर्ड, सुरक्षा ईमेल, स्थानिक पासकी, बायोमेट्रिक स्कॅन किंवा अगदी भौतिक सुरक्षा कीसह एसएमएस असू शकतो. मायक्रोसॉफ्ट संशोधन MFA सर्वसाधारणपणे खाते तडजोड होण्याची शक्यता 99.22% आणि लॉगिन क्रेडेन्शियल्स प्राप्त झाल्यास 98.56% ने कमी करू शकते.

तथापि, असे दिसते की MFA हा एक मूर्ख उपाय नाही, ज्यामध्ये हॅकर्सने त्यावर मात केली आहे अशा अनेक उदाहरणांसह. उदाहरणार्थ, डिसेंबर 2025 मध्ये, सुरक्षा तज्ञांनी येथे इन्फोब्लॉक्स वाईट कलाकार शैक्षणिक संस्थांना लक्ष्य करत असल्याचे सूचित करण्यात आले. विशेषतः, हॅकर्स एव्हिलजिंक्स नावाच्या ओपन-सोर्स वेक्टरचा वापर करून संस्थेच्या विद्यार्थी सिंगल साइन-ऑन पोर्टलवर हल्ला करत होते.

Evilginx हे एक फिशिंग साधन आहे जे मूलत: मॅन-इन-द-मिडल (MITM) मार्ग घेते, जेथे आक्रमणकर्ता वापरकर्त्याचे डिव्हाइस आणि ते प्रवेश करण्याचा प्रयत्न करत असलेल्या सेवेमधील संप्रेषण रोखू शकतो. ही एक खोडसाळ युक्ती आहे जी हॅकर्सना लॉगिन क्रेडेन्शियल्सपासून ते आर्थिक माहितीपर्यंत सर्व काही चोरू देते आणि या हॅकर्सनी हे उघडपणे 2025 मध्ये 18 संस्थांविरुद्ध वापरले. 2017 मधील कुप्रसिद्ध Equifax हॅक हा MITM हल्ला होता ज्याने 150 दशलक्षाहून अधिक ग्राहकांचा डेटा उघड केला आणि टेस्ला सारख्या टेक दिग्गजांनाही हीच युक्ती वापरून लक्ष्य केले गेले.

2024 मध्ये, येथे तज्ञ भन्नाट.आय आउटलुक आणि Gmail सारख्या मोठ्या प्रमाणावर वापरल्या जाणाऱ्या सेवांना लक्ष्य करण्यासाठी धोक्याचे कलाकार कसे Evilginx वापरत होते ते हायलाइट केले. Evilginx मधील सर्वात धोकादायक घटकांपैकी एक म्हणजे ते मुक्त-स्रोत आहे, ज्यामुळे ते मोठ्या प्रमाणावर उपलब्ध आहे आणि हॅकर्सद्वारे बदल करण्यास खुले आहे. लक्ष्य प्रवाहांपैकी एक म्हणजे बँकिंग साइटची फसवणूक करणे, जे हॅकर्सना सत्र कुकीज कॅप्चर करण्यास अनुमती देते. एकदा प्राप्त झाल्यानंतर, ते बँकेच्या वास्तविक वेबसाइटवर पीडिताची तोतयागिरी करण्यासाठी लॉगिन क्रेडेन्शियल्स वापरू शकतात.

परंतु बहु-घटक प्रमाणीकरणासाठी एव्हिलजिंक्स हा एकमेव धोका नाही. ते तोडण्याचे कमी अत्याधुनिक मार्ग आहेत. सामाजिक अभियांत्रिकी (फिशिंग म्हणूनही ओळखले जाते), जिथे एखादा वाईट अभिनेता वापरकर्त्यांना संवेदनशील लॉगिन डेटा सामायिक करण्यासाठी फसवण्यासाठी कायदेशीर सेवेची फसवणूक करतो, हे आजकाल सामान्य आहे. सिम स्वॅपिंग हा MFA तोडण्याचा एक प्रभावी मार्ग देखील असू शकतो, विशेषतः जर तुमचा मल्टी-फॅक्टर कोड एसएमएस किंवा फोन कॉलद्वारे आला असेल. पेमेंट प्रक्रिया करण्यासाठी किंवा ओळख सत्यापित करण्यासाठी बायोमेट्रिक अनलॉक आवश्यक असलेल्या मशीनमधून फिंगरप्रिंट्स चोरण्यासाठी हॅकर्स स्किमर डिव्हाइस स्थापित करू शकतात असे धोके देखील आहेत.

तर, ज्या वयात MFA ला बायपास केले जाऊ शकते त्या वयात कोणी सुरक्षित कसे राहू शकते? विहीर, येथे तज्ञ अनुभवी पासवर्ड मॅनेजर ॲप किंवा FIDO-प्रमाणित भौतिक की (जसे की Google Titan किंवा Yubico द्वारे ऑफर केलेली) वापरण्याची शिफारस करा. अमेरिकन सरकारच्या मते सायबर सुरक्षा आणि पायाभूत सुरक्षा एजन्सी“फक्त मोठ्या प्रमाणावर उपलब्ध फिशिंग-प्रतिरोधक प्रमाणीकरण म्हणजे FIDO/WebAuthn.” अशा प्रकारे, जर FIDO-आधारित भौतिक सुरक्षा की प्रश्नाच्या बाहेर असेल, तर तुम्हाला वेबऑथन सोल्यूशनसह जावे लागेल, जसे की पासकी. कृतज्ञतापूर्वक, Google, Microsoft आणि Apple सारख्या कंपन्यांनी सर्व पासकी लागू केल्या आहेत, ज्यामुळे ते स्वीकारणे सोपे झाले आहे.