এসএমএস লগইন যাচাইকরণ খুবই ঝুঁকিপূর্ণ; এর বিকল্প কী?

ইয়াহুর মতে, এসএমএসের মাধ্যমে প্রেরিত এককালীন যাচাইকরণ কোড (ওটিপি) এখনও দ্বি-ফ্যাক্টর প্রমাণীকরণে সুরক্ষার দ্বিতীয় স্তর হিসাবে ব্যাপকভাবে ব্যবহৃত হয়, যা ব্যবহারকারীদের ব্যাংকিং অ্যাপ্লিকেশন, ইমেল বা সামাজিক নেটওয়ার্কগুলিতে লগ ইন করতে সহায়তা করে।

তবে, ইয়াহু সতর্ক করে দিয়েছে যে এসএমএস হল সবচেয়ে দুর্বল নিরাপত্তা পদ্ধতিগুলির মধ্যে একটি কারণ এটি ফিশিং আক্রমণের জন্য খুবই সংবেদনশীল।

ব্লুমবার্গ বিজনেসউইক এবং লাইটহাউস রিপোর্টসের সাম্প্রতিক তদন্তে আরও বড় ঝুঁকি প্রকাশ পেয়েছে: এই ওটিপি কোডগুলি তৃতীয় পক্ষ দ্বারা অ্যাক্সেস করা যেতে পারে। বিশেষ করে, কম পরিচিত সুইস টেলিযোগাযোগ সংস্থা ফিঙ্ক টেলিকম সার্ভিসেস ২০২৩ সালের জুন মাসে দ্বি-ফ্যাক্টর প্রমাণীকরণ কোড সম্বলিত ১০ লক্ষেরও বেশি বার্তায় অ্যাক্সেস পেয়েছে।

প্রমাণীকরণ কোড তৈরি করে এবং শেষ ব্যবহারকারীদের সাথে সংযোগকারী কোম্পানিগুলির মধ্যস্থতাকারী হিসেবে, ফিঙ্ক টেলিকম সার্ভিসেসের বার্তার বিষয়বস্তু প্রক্রিয়াকরণ এবং দেখার অধিকার রয়েছে। উদ্বেগের বিষয় হল এই কোম্পানিটিকে ব্যবহারকারীর নজরদারিতে জড়িত থাকার এবং ব্যক্তিগত অ্যাকাউন্টে হস্তক্ষেপ করার সন্দেহ করা হচ্ছে।

ফাঁস হওয়া OTP কোডগুলি গুগল, মেটা, অ্যামাজন, টিন্ডার, স্ন্যাপচ্যাট, বিন্যান্স, সিগন্যাল, হোয়াটসঅ্যাপ এবং ইউরোপের অনেক ব্যাংকের মতো অসংখ্য বড় কোম্পানি থেকে এসেছে। ১০০ টিরও বেশি দেশের ব্যবহারকারীদের কাছে বার্তা পাঠানো হয়েছে।

ইয়াহুর মতে, এসএমএসের মাধ্যমে দ্বি-ফ্যাক্টর প্রমাণীকরণ অনিরাপদ হওয়ার প্রধান কারণ হল, কোম্পানিগুলি প্রায়শই কম খরচে এসএমএস বার্তা পাঠানোর জন্য মধ্যস্থতাকারীদের নিয়োগ করে, একাধিক ক্যারিয়ারের সাথে বৃহৎ চুক্তি এবং "গ্লোবাল টাইটেল" - আন্তর্জাতিক সংযোগের জন্য ব্যবহৃত নেটওয়ার্ক ঠিকানাগুলির মাধ্যমে। এই ব্যবস্থার দুর্বলতা হল যে এই পরিষেবাগুলি নিয়োগকারী কোম্পানিগুলি ফিঙ্ক টেলিকম সার্ভিসেসের মতো সত্তার সাথে সরাসরি কাজ করে না, বরং সাব-কন্ট্রাক্টরের স্তরের মাধ্যমে কাজ করে, যা ডেটা সুরক্ষাকে আরও জটিল করে তোলে।

উইসচেইন কোং লিমিটেডের প্রতিষ্ঠাতা মিঃ ফাম মান কুওং ব্যাখ্যা করেছেন যে এসএমএসের মাধ্যমে দ্বি-ফ্যাক্টর প্রমাণীকরণের বর্তমান পদ্ধতিটি আর নিরাপদ নয় কারণ সাইবার আক্রমণকারীরা ক্রমশ পরিশীলিত হয়ে উঠছে, সহজেই অ্যাক্সেস পাওয়ার জন্য সুরক্ষা ব্যবস্থার দুর্বলতাগুলিকে কাজে লাগাচ্ছে।

ফিশিং আক্রমণের একটি সাধারণ রূপ হল আপাতদৃষ্টিতে বৈধ বার্তা, ইমেল বা ওয়েবসাইট ব্যবহার করে ব্যবহারকারীদের ব্যবহারকারীর নাম, পাসওয়ার্ড বা OTP কোডের মতো সংবেদনশীল তথ্য সরবরাহ করার জন্য প্রতারণা করা।

তাছাড়া, সিম সোয়াপিং কৌশলগুলিও একটি গুরুতর হুমকি। অপরাধীরা ভুক্তভোগীদের ফোন নম্বর চুরি করতে পারে এবং তারপর এসএমএসের মাধ্যমে প্রেরিত যাচাইকরণ কোডগুলি গ্রহণ করতে পারে।

তাছাড়া, অনেক ব্যবহারকারীর এখনও অজানা উৎস থেকে সফ্টওয়্যার ইনস্টল করার অভ্যাস রয়েছে, বিশেষ করে অ্যান্ড্রয়েড ডিভাইসে, যার ফলে স্পাইওয়্যার বা কীলগার তৈরি হয় যা গোপনে কীস্ট্রোক রেকর্ড করতে পারে এবং লগইন তথ্য চুরি করতে পারে।

যদিও এসএমএস প্রমাণীকরণকে এখনও সুরক্ষার একটি নির্দিষ্ট স্তর হিসেবে বিবেচনা করা হয়, গুগল প্রমাণীকরণকারীর মতো আধুনিক পদ্ধতির তুলনায় - একটি অ্যাপ্লিকেশন যা প্রতি 30 সেকেন্ডে পরিবর্তিত হয় এবং মোবাইল নেটওয়ার্কের উপর নির্ভরশীল নয় - এসএমএস ক্রমবর্ধমানভাবে এর দুর্বলতাগুলি প্রকাশ করছে।

সূত্র: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm