Ověřování přihlášení pomocí SMS je velmi riskantní, jaká je alternativa?

Podle Yahoo se jednorázové ověřovací kódy (OTP) odesílané prostřednictvím SMS stále hojně používají jako druhá vrstva ochrany v procesu dvoufaktorového ověřování, která pomáhá uživatelům přihlásit se do bankovních, e-mailových nebo sociálních sítí.

Yahoo však varuje, že SMS je jednou z nejslabších bezpečnostních metod, protože je velmi zranitelná vůči phishingovým útokům.

Nedávné vyšetřování agentur Bloomberg Businessweek a Lighthouse Reports odhalilo větší riziko: k těmto OTP kódům by mohly mít přístup třetí strany. Konkrétně málo známá švýcarská telekomunikační společnost Fink Telecom Services měla v červnu 2023 přístup k více než 1 milionu zpráv obsahujících dvoufaktorové autentizační kódy.

Jako prostředník mezi společnostmi, které generují ověřovací kódy, a koncovými uživateli má společnost Fink Telecom Services právo zpracovávat a prohlížet si obsah zpráv. Znepokojivé je, že tato společnost je podezřelá z účasti na monitorovacích aktivitách uživatelů a zasahování do jejich osobních účtů.

Uniklé OTP kódy pocházely od mnoha velkých společností, jako jsou Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp a mnoho evropských bank. Zprávy byly odeslány uživatelům ve více než 100 zemích.

Podle Yahoo je hlavním důvodem, proč není dvoufaktorové ověřování přes SMS bezpečné, to, že si firmy často najímají zprostředkovatele, kteří posílají SMS zprávy za nižší cenu, a to prostřednictvím velkých smluv s více operátory a systému „globálních titulů“ – síťových adres používaných pro propojení napříč zeměmi. Slabinou tohoto systému je, že najímající společnosti nespolupracují přímo s jednotkami, jako je Fink Telecom Services, ale prostřednictvím vrstev subdodavatelů, což ztěžuje zajištění bezpečnosti dat.

Pan Pham Manh Cuong, zakladatel společnosti Wischain Company Limited, vysvětlil, že metoda dvoufaktorového ověřování prostřednictvím SMS zpráv již dnes není bezpečná, protože kybernetičtí útočníci jsou stále sofistikovanější a snadno zneužívají zranitelnosti v bezpečnostním systému k získání přístupu.

Jednou z nejběžnějších forem phishingových útoků je použití zdánlivě důvěryhodných zpráv, e-mailů nebo webových stránek k oklamání uživatelů a získání citlivých informací, jako jsou uživatelská jména, hesla nebo OTP kódy.

Nejen to, výměna SIM karty je také vážnou hrozbou. Podvodníci mohou ukrást telefonní číslo oběti, ze kterého mohou přijímat ověřovací kódy zaslané prostřednictvím SMS.

Kromě toho má mnoho uživatelů stále ve zvyku instalovat software neznámého původu, zejména na zařízeních Android, což vede ke spywaru nebo keyloggerům, které mohou tajně zaznamenávat psaní na klávesnici a tím krást přístupové informace.

I když je ověřování pomocí SMS stále považováno za určitou vrstvu ochrany, ve srovnání s moderními metodami, jako je Google Authenticator – aplikace generující náhodné ověřovací kódy, které se mění každých 30 sekund a jsou nezávislé na mobilních sítích – SMS stále častěji vykazuje své slabiny.

Zdroj: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm