לפי יאהו, קודי אימות חד-פעמיים (OTP) הנשלחים באמצעות SMS עדיין נמצאים בשימוש נרחב כשכבת הגנה שנייה באימות דו-שלבי, ועוזרים למשתמשים להתחבר לאפליקציות בנקאיות, דוא"ל או רשתות חברתיות.
עם זאת, יאהו מזהירה כי SMS היא אחת משיטות האבטחה החלשות ביותר משום שהיא רגישה מאוד להתקפות פישינג.
חקירה שנערכה לאחרונה על ידי בלומברג ביזנסוויק ו-Lighthouse Reports חשפה סיכון גדול יותר: קודי OTP אלה עלולים להיות נגישים לצדדים שלישיים. באופן ספציפי, חברת התקשורת השוויצרית הפחות מוכרת Fink Telecom Services קיבלה גישה ליותר ממיליון הודעות המכילות קודי אימות דו-שלבי ביוני 2023.
כמתווך המחבר חברות המייצרות קודי אימות ומשתמשי קצה, ל-Fink Telecom Services יש את הזכות לעבד ולצפות בתוכן הודעות. מדאיג הוא שחברה זו נחשדה במעקב אחר משתמשים ובהתערבות בחשבונות אישיים.
SMS נחשב לאחת משיטות האבטחה החלשות ביותר מכיוון שצדדים שלישיים יכולים לגשת אליה.
קודי ה-OTP שדלפו הגיעו מחברות גדולות רבות כמו גוגל, מטה, אמזון, טינדר, סנאפצ'ט, בינאנס, סיגנל, וואטסאפ ובנקים רבים באירופה. הודעות נשלחו למשתמשים ביותר מ-100 מדינות.
לפי יאהו, הסיבה העיקרית לכך שאימות דו-שלבי באמצעות SMS אינו מאובטח היא שחברות שוכרות לעתים קרובות מתווכים לשליחת הודעות SMS בעלות נמוכה יותר, באמצעות חוזים גדולים עם ספקים מרובים ו"כותרות גלובליות" - כתובות רשת המשמשות לחיבורים בינלאומיים. החולשה של מערכת זו היא שהחברות ששוכרות שירותים אלה אינן עובדות ישירות עם גופים כמו Fink Telecom Services, אלא דרך שכבות של קבלני משנה, מה שמסבך עוד יותר את אבטחת המידע.
מר פאם מאן קואנג, מייסד Wischain Co., Ltd., מסביר כי השיטה הנוכחית של אימות דו-שלבי באמצעות SMS אינה מאובטחת עוד משום שתוקפי סייבר הופכים מתוחכמים יותר ויותר, ומנצלים בקלות פגיעויות במערכות אבטחה כדי לקבל גישה.
צורה נפוצה אחת של מתקפת פישינג כוללת שימוש בהודעות, מיילים או אתרי אינטרנט שנראים לגיטימיים כדי להערים על משתמשים ולגרום להם למסור מידע רגיש כגון שמות משתמש, סיסמאות או קודי OTP.
יתר על כן, טכניקות החלפת סים מהוות גם הן איום חמור. פושעים יכולים לגנוב את מספרי הטלפון של הקורבנות ולאחר מכן לקבל קודי אימות שנשלחים באמצעות SMS.
יתר על כן, משתמשים רבים עדיין נוטים להתקין תוכנות ממקורות לא ידועים, במיוחד במכשירי אנדרואיד, מה שמוביל לתוכנות ריגול או keyloggers שיכולים לתעד בסתר הקשות מקלדת ולגנוב פרטי התחברות.
למרות שאימות SMS עדיין נחשב לשכבת הגנה מסוימת, בהשוואה לשיטות מודרניות כמו Google Authenticator - אפליקציה שמייצרת קודי אימות אקראיים שמשתנים כל 30 שניות ואינם תלויים ברשת הסלולרית - SMS חושף יותר ויותר את נקודות התורפה שלו.
מקור: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm
![[חי] טקס פרסי פעולה קהילתית 2025](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765899631650_ndo_tr_z7334013144784-9f9fe10a6d63584c85aff40f2957c250-jpg.webp&w=3840&q=75)
![[תמונה] תמונות שדלפו לקראת טקס פרסי הפעולה הקהילתית 2025.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765882828720_ndo_br_thiet-ke-chua-co-ten-45-png.webp&w=3840&q=75)
![[תמונה] ראש הממשלה פאם מין צ'ין מקבל את פניה של שרת החינוך והספורט של לאוס, תונגסלית מנגנורק](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765876834721_dsc-7519-jpg.webp&w=3840&q=75)
![[תמונה] ראש הממשלה פאם מין צ'ין מקבל את פני מושל מחוז טוצ'יגי (יפן)](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F16%2F1765892133176_dsc-8082-6425-jpg.webp&w=3840&q=75)
תגובה (0)