এসএমএস লগইন প্রমাণীকরণ খুবই ঝুঁকিপূর্ণ, এর বিকল্প কী?

ইয়াহুর মতে, এসএমএসের মাধ্যমে প্রেরিত এককালীন প্রমাণীকরণ কোড (ওটিপি) এখনও দ্বি-ফ্যাক্টর প্রমাণীকরণ প্রক্রিয়ায় সুরক্ষার দ্বিতীয় স্তর হিসাবে ব্যাপকভাবে ব্যবহৃত হয়, যা ব্যবহারকারীদের ব্যাংকিং, ইমেল বা সামাজিক নেটওয়ার্কিং অ্যাপ্লিকেশনগুলিতে লগ ইন করতে সহায়তা করে।

তবে, ইয়াহু সতর্ক করে দিয়েছে যে এসএমএস হল সবচেয়ে দুর্বল নিরাপত্তা পদ্ধতিগুলির মধ্যে একটি কারণ এটি ফিশিং আক্রমণের জন্য খুবই ঝুঁকিপূর্ণ।

ব্লুমবার্গ বিজনেসউইক এবং লাইটহাউস রিপোর্টসের সাম্প্রতিক তদন্তে আরও বড় ঝুঁকি প্রকাশ পেয়েছে: এই ওটিপি কোডগুলি তৃতীয় পক্ষ দ্বারা অ্যাক্সেস করা যেতে পারে। বিশেষ করে, স্বল্প পরিচিত সুইস টেলিকম কোম্পানি ফিঙ্ক টেলিকম সার্ভিসেস ২০২৩ সালের জুন মাসে দ্বি-ফ্যাক্টর প্রমাণীকরণ কোড সম্বলিত ১০ লক্ষেরও বেশি বার্তায় অ্যাক্সেস পেয়েছিল।

প্রমাণীকরণ কোড তৈরিকারী কোম্পানি এবং শেষ ব্যবহারকারীদের মধ্যে মধ্যস্থতাকারী হিসেবে, ফিঙ্ক টেলিকম সার্ভিসেসের বার্তাগুলির বিষয়বস্তু প্রক্রিয়াকরণ এবং দেখার অধিকার রয়েছে। উদ্বেগজনক বিষয় হল এই কোম্পানিটিকে ব্যবহারকারীর পর্যবেক্ষণ কার্যকলাপে অংশগ্রহণ এবং ব্যক্তিগত অ্যাকাউন্টে হস্তক্ষেপ করার সন্দেহ করা হচ্ছে।

ফাঁস হওয়া OTP কোডগুলি গুগল, মেটা, অ্যামাজন, টিন্ডার, স্ন্যাপচ্যাট, বিন্যান্স, সিগন্যাল, হোয়াটসঅ্যাপ এবং ইউরোপের অনেক ব্যাংকের মতো অনেক বড় কোম্পানি থেকে এসেছে। বার্তাগুলি ১০০ টিরও বেশি দেশের ব্যবহারকারীদের কাছে পাঠানো হয়েছিল।

ইয়াহুর মতে, এসএমএস টু-ফ্যাক্টর অথেনটিকেশন নিরাপদ না হওয়ার প্রধান কারণ হল, কোম্পানিগুলি প্রায়শই কম খরচে এসএমএস বার্তা পাঠানোর জন্য মধ্যস্থতাকারীদের নিয়োগ করে, একাধিক ক্যারিয়ারের সাথে বৃহৎ চুক্তি এবং "গ্লোবাল টাইটেল" সিস্টেমের মাধ্যমে - দেশ জুড়ে সংযোগ স্থাপনের জন্য ব্যবহৃত নেটওয়ার্ক ঠিকানা। এই সিস্টেমের দুর্বলতা হল যে নিয়োগকারী কোম্পানিগুলি ফিঙ্ক টেলিকম সার্ভিসেসের মতো ইউনিটগুলির সাথে সরাসরি কাজ করে না, বরং সাব-কন্ট্রাক্টরের স্তরের মাধ্যমে কাজ করে, যা ডেটা সুরক্ষা নিশ্চিত করা আরও জটিল করে তোলে।

উইসচেইন কোম্পানি লিমিটেডের প্রতিষ্ঠাতা মিঃ ফাম মান কুওং ব্যাখ্যা করেছেন যে এসএমএস বার্তার মাধ্যমে দ্বি-ফ্যাক্টর প্রমাণীকরণ পদ্ধতি আজ আর নিরাপদ নয় কারণ সাইবার আক্রমণকারীরা ক্রমশ উন্নত হচ্ছে, সহজেই অ্যাক্সেস পাওয়ার জন্য সুরক্ষা ব্যবস্থার দুর্বলতার সুযোগ নেয়।

ফিশিং আক্রমণের সবচেয়ে সাধারণ ধরণগুলির মধ্যে একটি হল যেখানে আপাতদৃষ্টিতে সুনামধন্য বার্তা, ইমেল বা ওয়েবসাইট ব্যবহার করে ব্যবহারকারীদের ব্যবহারকারীর নাম, পাসওয়ার্ড বা OTP কোডের মতো সংবেদনশীল তথ্য সরবরাহ করার জন্য প্রতারণা করা হয়।

শুধু তাই নয়, সিম সোয়াপিংও একটি গুরুতর হুমকি। প্রতারকরা ভিকটিমদের ফোন নম্বর চুরি করতে পারে, যেখান থেকে তারা এসএমএসের মাধ্যমে প্রেরিত প্রমাণীকরণ কোডগুলি পেতে পারে।

এছাড়াও, অনেক ব্যবহারকারীর এখনও অজানা উৎসের সফ্টওয়্যার ইনস্টল করার অভ্যাস রয়েছে, বিশেষ করে অ্যান্ড্রয়েড ডিভাইসে, যার ফলে স্পাইওয়্যার বা কীলগার তৈরি হয় যা গোপনে কীবোর্ড টাইপিং রেকর্ড করতে পারে, যার ফলে অ্যাক্সেস তথ্য চুরি হয়।

যদিও এসএমএস প্রমাণীকরণকে এখনও সুরক্ষার একটি নির্দিষ্ট স্তর হিসেবে বিবেচনা করা হয়, গুগল অথেন্টিকেটরের মতো আধুনিক পদ্ধতির তুলনায় - একটি অ্যাপ্লিকেশন যা প্রতি 30 সেকেন্ডে পরিবর্তিত হয় এবং মোবাইল নেটওয়ার্ক থেকে স্বাধীন - এসএমএস ক্রমবর্ধমানভাবে তার দুর্বলতাগুলি প্রদর্শন করছে।

সূত্র: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm