Η επαλήθευση ταυτότητας σύνδεσης μέσω SMS είναι πολύ επικίνδυνη, ποια είναι η εναλλακτική λύση;

Σύμφωνα με την Yahoo, οι κωδικοί ελέγχου ταυτότητας μίας χρήσης (OTP) που αποστέλλονται μέσω SMS εξακολουθούν να χρησιμοποιούνται ευρέως ως δεύτερο επίπεδο προστασίας στη διαδικασία ελέγχου ταυτότητας δύο παραγόντων, βοηθώντας τους χρήστες να συνδέονται σε εφαρμογές τραπεζικών συναλλαγών, email ή κοινωνικής δικτύωσης.

Ωστόσο, η Yahoo προειδοποιεί ότι τα SMS είναι μια από τις πιο αδύναμες μεθόδους ασφαλείας, επειδή είναι πολύ ευάλωτα σε επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing).

Μια πρόσφατη έρευνα από το Bloomberg Businessweek και το Lighthouse Reports αποκάλυψε έναν μεγαλύτερο κίνδυνο: αυτοί οι κωδικοί OTP θα μπορούσαν να είναι προσβάσιμοι από τρίτους. Συγκεκριμένα, η ελάχιστα γνωστή ελβετική εταιρεία τηλεπικοινωνιών Fink Telecom Services είχε πρόσβαση σε περισσότερα από 1 εκατομμύριο μηνύματα που περιείχαν κωδικούς επαλήθευσης δύο παραγόντων τον Ιούνιο του 2023.

Ως ενδιάμεσος μεταξύ των εταιρειών που δημιουργούν τους κωδικούς ελέγχου ταυτότητας και των τελικών χρηστών, η Fink Telecom Services έχει το δικαίωμα να επεξεργάζεται και να βλέπει το περιεχόμενο των μηνυμάτων. Αυτό που προκαλεί ανησυχία είναι ότι η εν λόγω εταιρεία έχει υποψιαστεί ότι συμμετέχει σε δραστηριότητες παρακολούθησης χρηστών και παρεμβαίνει σε προσωπικούς λογαριασμούς.

Οι κωδικοί OTP που διέρρευσαν προέρχονταν από πολλές μεγάλες εταιρείες όπως η Google, η Meta, η Amazon, η Tinder, η Snapchat, η Binance, η Signal, η WhatsApp και πολλές τράπεζες στην Ευρώπη. Τα μηνύματα στάλθηκαν σε χρήστες σε περισσότερες από 100 χώρες.

Σύμφωνα με την Yahoo, ο κύριος λόγος για τον οποίο η επαλήθευση ταυτότητας δύο παραγόντων μέσω SMS δεν είναι ασφαλής είναι επειδή οι εταιρείες συχνά προσλαμβάνουν μεσάζοντες για την αποστολή μηνυμάτων SMS με χαμηλότερο κόστος, μέσω μεγάλων συμβάσεων με πολλαπλούς παρόχους και ενός συστήματος «παγκόσμιων τίτλων» - διευθύνσεων δικτύου που χρησιμοποιούνται για τη σύνδεση μεταξύ χωρών. Η αδυναμία αυτού του συστήματος είναι ότι οι εταιρείες που τις προσλαμβάνουν δεν συνεργάζονται απευθείας με μονάδες όπως η Fink Telecom Services, αλλά μέσω επιπέδων υπεργολάβων, γεγονός που καθιστά πιο περίπλοκη την εξασφάλιση της ασφάλειας των δεδομένων.

Ο κ. Pham Manh Cuong, ιδρυτής της Wischain Company Limited, εξήγησε ότι η μέθοδος ελέγχου ταυτότητας δύο παραγόντων μέσω μηνυμάτων SMS δεν είναι πλέον ασφαλής σήμερα, επειδή οι κυβερνοεπιτιθέμενοι είναι ολοένα και πιο εξελιγμένοι, εκμεταλλευόμενοι εύκολα τα τρωτά σημεία του συστήματος ασφαλείας για να αποκτήσουν πρόσβαση.

Μία από τις πιο συνηθισμένες μορφές επιθέσεων ηλεκτρονικού "ψαρέματος" (phishing) είναι η χρήση φαινομενικά αξιόπιστων μηνυμάτων, email ή ιστοσελίδων για την εξαπάτηση των χρηστών ώστε να παρέχουν ευαίσθητες πληροφορίες, όπως ονόματα χρήστη, κωδικούς πρόσβασης ή κωδικούς OTP.

Όχι μόνο αυτό, αλλά και η ανταλλαγή SIM αποτελεί σοβαρή απειλή. Οι απατεώνες μπορούν να κλέψουν τον αριθμό τηλεφώνου του θύματος, από τον οποίο μπορούν να λάβουν κωδικούς ελέγχου ταυτότητας που αποστέλλονται μέσω SMS.

Επιπλέον, πολλοί χρήστες εξακολουθούν να έχουν τη συνήθεια να εγκαθιστούν λογισμικό άγνωστης προέλευσης, ειδικά σε συσκευές Android, γεγονός που οδηγεί σε spyware ή keyloggers που μπορούν να καταγράφουν κρυφά την πληκτρολόγηση με το πληκτρολόγιο, κλέβοντας έτσι πληροφορίες πρόσβασης.

Ενώ η επαλήθευση ταυτότητας μέσω SMS εξακολουθεί να θεωρείται ένα συγκεκριμένο επίπεδο προστασίας, σε σύγκριση με σύγχρονες μεθόδους όπως το Google Authenticator - μια εφαρμογή που δημιουργεί τυχαίους κωδικούς επαλήθευσης που αλλάζουν κάθε 30 δευτερόλεπτα και είναι ανεξάρτητη από τα δίκτυα κινητής τηλεφωνίας - τα SMS εμφανίζουν ολοένα και περισσότερες αδυναμίες.

Πηγή: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm