Die SMS-Anmeldeauthentifizierung ist sehr riskant. Was ist die Alternative?

Laut Yahoo werden per SMS gesendete Einmalauthentifizierungscodes (OTP) immer noch häufig als zweite Schutzebene im Zwei-Faktor-Authentifizierungsprozess verwendet und erleichtern Benutzern die Anmeldung bei Bank-, E-Mail- oder Social-Networking-Anwendungen.

Yahoo warnt jedoch, dass SMS eine der schwächsten Sicherheitsmethoden darstellt, da sie sehr anfällig für Phishing-Angriffe ist.

Eine aktuelle Untersuchung von Bloomberg Businessweek und Lighthouse Reports deckte ein größeres Risiko auf: Diese OTP-Codes könnten von Dritten abgerufen werden. Konkret hatte das wenig bekannte Schweizer Telekommunikationsunternehmen Fink Telecom Services im Juni 2023 Zugriff auf mehr als eine Million Nachrichten mit Zwei-Faktor-Authentifizierungscodes.

Als Vermittler zwischen den Unternehmen, die die Authentifizierungscodes generieren, und den Endnutzern hat Fink Telecom Services das Recht, den Inhalt der Nachrichten zu verarbeiten und einzusehen. Beunruhigend ist, dass dieses Unternehmen verdächtigt wird, an Benutzerüberwachungsaktivitäten teilzunehmen und sich in persönliche Konten einzumischen.

Die durchgesickerten OTP-Codes stammten von vielen großen Unternehmen wie Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp und vielen Banken in Europa. Die Nachrichten wurden an Benutzer in mehr als 100 Ländern gesendet.

Laut Yahoo liegt der Hauptgrund für die Unsicherheit der Zwei-Faktor-Authentifizierung per SMS darin, dass Unternehmen oft Vermittler beauftragen, SMS kostengünstiger zu versenden. Diese Verträge schließen sie mit mehreren Anbietern ab und nutzen ein System globaler Titel – Netzwerkadressen für die länderübergreifende Verbindung. Die Schwäche dieses Systems besteht darin, dass die beauftragenden Unternehmen nicht direkt mit Unternehmen wie Fink Telecom Services zusammenarbeiten, sondern über mehrere Subunternehmer, was die Datensicherheit erschwert.

Herr Pham Manh Cuong, Gründer der Wischain Company Limited, erklärte, dass die Zwei-Faktor-Authentifizierungsmethode per SMS-Nachricht heutzutage nicht mehr sicher sei, da Cyber-Angreifer immer raffinierter vorgehen und Schwachstellen im Sicherheitssystem leicht ausnutzen können, um Zugriff zu erhalten.

Eine der häufigsten Formen von Phishing-Angriffen besteht darin, scheinbar seriöse Nachrichten, E-Mails oder Websites zu verwenden, um Benutzer dazu zu verleiten, vertrauliche Informationen wie Benutzernamen, Passwörter oder OTP-Codes preiszugeben.

Darüber hinaus stellt SIM-Swapping eine ernste Bedrohung dar. Betrüger können die Telefonnummer des Opfers stehlen und von dieser Authentifizierungscodes per SMS erhalten.

Darüber hinaus neigen viele Benutzer immer noch dazu, Software unbekannter Herkunft zu installieren, insbesondere auf Android-Geräten. Dies kann zu Spyware oder Keyloggern führen, die Tastatureingaben heimlich aufzeichnen und so Zugangsdaten stehlen können.

Während die SMS-Authentifizierung immer noch als eine gewisse Schutzebene gilt, zeigt die SMS im Vergleich zu modernen Methoden wie Google Authenticator – einer Anwendung, die zufällige Authentifizierungscodes generiert, die sich alle 30 Sekunden ändern und unabhängig von Mobilfunknetzen sind – zunehmend ihre Schwächen.

Quelle: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm