Ověřování přihlášení pomocí SMS je velmi riskantní; jaká je alternativa?

Podle Yahoo se jednorázové ověřovací kódy (OTP) odesílané prostřednictvím SMS stále hojně používají jako druhá vrstva ochrany v rámci dvoufaktorového ověřování, která pomáhá uživatelům přihlašovat se do bankovních aplikací, e-mailu nebo sociálních sítí.

Yahoo však varuje, že SMS je jednou z nejslabších bezpečnostních metod, protože je velmi náchylná k phishingovým útokům.

Nedávné vyšetřování agentur Bloomberg Businessweek a Lighthouse Reports odhalilo větší riziko: k těmto OTP kódům by mohly mít přístup třetí strany. Konkrétně méně známá švýcarská telekomunikační společnost Fink Telecom Services získala v červnu 2023 přístup k více než 1 milionu zpráv obsahujících dvoufaktorové autentizační kódy.

Jako prostředník propojující společnosti generující ověřovací kódy s koncovými uživateli má Fink Telecom Services právo zpracovávat a prohlížet si obsah zpráv. Znepokojivé je, že tato společnost je podezřelá ze sledování uživatelů a zasahování do jejich osobních účtů.

Uniklé OTP kódy pocházely od mnoha velkých společností, jako jsou Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp a mnoho evropských bank. Zprávy byly odeslány uživatelům ve více než 100 zemích.

Podle Yahoo je hlavním důvodem, proč je dvoufaktorové ověřování prostřednictvím SMS nejisté, to, že si firmy často najímají zprostředkovatele k odesílání SMS zpráv za nižší cenu, a to prostřednictvím velkých smluv s více operátory a „globálních titulů“ – síťových adres používaných pro mezinárodní spojení. Slabinou tohoto systému je, že firmy, které si tyto služby najímají, nespolupracují přímo se subjekty, jako je Fink Telecom Services, ale spíše prostřednictvím vrstev subdodavatelů, což zabezpečení dat ještě více komplikuje.

Pan Pham Manh Cuong, zakladatel společnosti Wischain Co., Ltd., vysvětluje, že současná metoda dvoufaktorového ověřování prostřednictvím SMS již není bezpečná, protože kybernetičtí útočníci jsou stále sofistikovanější a snadno zneužívají zranitelnosti v bezpečnostních systémech k získání přístupu.

Jednou z běžných forem phishingového útoku je použití zdánlivě legitimních zpráv, e-mailů nebo webových stránek, které uživatele podvodně přimějí k poskytnutí citlivých informací, jako jsou uživatelská jména, hesla nebo jednorázové hesla.

Techniky výměny SIM karet navíc představují vážnou hrozbu. Zločinci mohou ukrást telefonní čísla obětí a poté přijímat ověřovací kódy zaslané prostřednictvím SMS.

Kromě toho má mnoho uživatelů stále ve zvyku instalovat software z neznámých zdrojů, zejména na zařízeních Android, což vede ke spywaru nebo keyloggerům, které mohou tajně zaznamenávat stisky kláves a krást přihlašovací údaje.

Přestože je ověřování pomocí SMS stále považováno za určitou vrstvu ochrany, ve srovnání s moderními metodami, jako je Google Authenticator – aplikace generující náhodné ověřovací kódy, které se mění každých 30 sekund a nejsou závislé na mobilní síti – SMS stále více odhaluje své slabiny.

Zdroj: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm