לפי יאהו, קודי אימות חד-פעמיים (OTP) הנשלחים באמצעות SMS עדיין נמצאים בשימוש נרחב כשכבת הגנה שנייה בתהליך האימות הדו-שלבי, ועוזרים למשתמשים להתחבר ליישומי בנקאות, דוא"ל או רשתות חברתיות.
עם זאת, יאהו מזהירה כי SMS היא אחת משיטות האבטחה החלשות ביותר משום שהיא פגיעה מאוד להתקפות פישינג.
חקירה שנערכה לאחרונה על ידי בלומברג ביזנסוויק ו-Lighthouse Reports חשפה סיכון גדול יותר: קודי OTP אלה עלולים להיות נגישים לצדדים שלישיים. באופן ספציפי, לחברת הטלקום השוויצרית הפחות מוכרת Fink Telecom Services הייתה גישה ליותר ממיליון הודעות המכילות קודי אימות דו-שלבי ביוני 2023.
כמתווכת בין החברות המייצרות את קודי האימות לבין משתמשי הקצה, ל-Fink Telecom Services יש את הזכות לעבד ולצפות בתוכן ההודעות. מה שמדאיג הוא שחברה זו נחשדה בהשתתפות בפעילויות ניטור משתמשים ובהתערבות בחשבונות אישיים.
SMS נחשב לאחת משיטות האבטחה החלשות ביותר מכיוון שצדדים שלישיים יכולים לגשת אליה.
קודי ה-OTP שדלפו הגיעו מחברות גדולות רבות כמו גוגל, מטה, אמזון, טינדר, סנאפצ'ט, בינאנס, סיגנל, וואטסאפ ובנקים רבים באירופה. ההודעות נשלחו למשתמשים ביותר מ-100 מדינות.
לפי יאהו, הסיבה העיקרית לכך שאימות דו-שלבי ב-SMS אינו מאובטח היא משום שחברות שוכרות לעתים קרובות מתווכים לשליחת הודעות SMS בעלות נמוכה יותר, באמצעות חוזים גדולים עם ספקים מרובים ומערכת של "כותרות גלובליות" - כתובות רשת המשמשות לחיבור בין מדינות. חולשתה של מערכת זו היא שחברות המגייסות אינן עובדות ישירות עם יחידות כמו Fink Telecom Services, אלא דרך שכבות של קבלני משנה, מה שמסבך את הבטחת אבטחת המידע.
מר פאם מאן קואנג, מייסד חברת Wischain Limited, הסביר כי שיטת האימות הדו-שלבי באמצעות הודעות SMS אינה בטוחה עוד כיום משום שתוקפי סייבר הופכים מתוחכמים יותר ויותר, ומנצלים בקלות פגיעויות במערכת האבטחה כדי לקבל גישה.
אחת מצורות התקפות פישינג הנפוצות ביותר היא שימוש בהודעות, מיילים או אתרי אינטרנט בעלי מוניטין אמין כדי להערים על משתמשים ולגרום להם למסור מידע רגיש כגון שמות משתמש, סיסמאות או קודי OTP.
לא רק זאת, החלפת כרטיסי SIM היא גם איום רציני. נוכלים יכולים לגנוב את מספר הטלפון של הקורבן, שממנו הם יכולים לקבל קודי אימות שנשלחו באמצעות SMS.
בנוסף, משתמשים רבים עדיין נוטים להתקין תוכנות ממקור לא ידוע, במיוחד במכשירי אנדרואיד, מה שמוביל לתוכנות ריגול או keyloggers שיכולים להקליט בסתר הקלדה במקלדת, ובכך לגנוב מידע גישה.
בעוד שאימות SMS עדיין נחשב לשכבת הגנה מסוימת, בהשוואה לשיטות מודרניות כמו Google Authenticator - אפליקציה שמייצרת קודי אימות אקראיים שמשתנים כל 30 שניות ואינה תלויה ברשתות סלולריות - SMS מראה יותר ויותר את חולשותיו.
מקור: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm
![[תמונה] סצנה מרגשת של אלפי אנשים מצילים את הסוללה מהמים הסוערים](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/30/1761825173837_ndo_br_ho-de-3-jpg.webp)
![[תמונה] המזכיר הכללי טו לאם משתתף בוועידה הכלכלית ברמה גבוהה בין וייטנאם לבריטניה](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/30/1761825773922_anh-1-3371-jpg.webp)
![[תמונה] מזכ"ל טו לאם נפגש עם ראש ממשלת בריטניה לשעבר טוני בלייר](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/30/1761821573624_tbt-tl1-jpg.webp)
![[תמונה] קונגרס החיקוי הפטריוטי השלישי של הוועדה המרכזית לענייני פנים](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/30/1761831176178_dh-thi-dua-yeu-nuoc-5076-2710-jpg.webp)
![[תמונה] יו"ר האסיפה הלאומית טראן טהאן מאן מקבל את פני שגרירים זרים שבאו להיפרד](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/30/1761820977744_ndo_br_1-jpg.webp)
תגובה (0)