Az SMS bejelentkezési hitelesítés nagyon kockázatos, mi a másik lehetőség?

A Yahoo szerint az SMS-ben küldött egyszeri hitelesítési kódok (OTP) továbbra is széles körben használatosak a kétfaktoros hitelesítési folyamat második védelmi rétegeként, segítve a felhasználókat a banki, e-mail vagy közösségi hálózati alkalmazásokba való bejelentkezésben.

A Yahoo azonban figyelmeztet, hogy az SMS az egyik leggyengébb biztonsági módszer, mivel nagyon sebezhető az adathalász támadásokkal szemben.

A Bloomberg Businessweek és a Lighthouse Reports nemrégiben végzett vizsgálata egy nagyobb kockázatot tárt fel: ezekhez az OTP-khez harmadik felek is hozzáférhetnek. Konkrétan a kevéssé ismert svájci telekommunikációs vállalat, a Fink Telecom Services több mint 1 millió, kétfaktoros hitelesítési kódot tartalmazó üzenethez férhetett hozzá 2023 júniusában.

A hitelesítési kódokat generáló vállalatok és a végfelhasználók közötti közvetítőként a Fink Telecom Services jogosult az üzenetek feldolgozására és tartalmának megtekintésére. Aggasztó, hogy ezt a vállalatot azzal gyanúsítják, hogy részt vesz a felhasználók megfigyelésében és beavatkozik a személyes fiókokba.

A kiszivárgott OTP-k olyan nagyvállalatoktól származtak, mint a Google, a Meta, az Amazon, a Tinder, a Snapchat, a Binance, a Signal, a WhatsApp és számos európai bank. Az üzeneteket több mint 100 országban küldték el felhasználóknak.

A Yahoo szerint az SMS kétfaktoros hitelesítés nem biztonságos, mivel a vállalatok gyakran olcsóbban szervezik ki az SMS-küldést, több szolgáltatóval kötött nagy szerződések és a „globális címek” – az országok közötti kapcsolattartásra használt hálózati címek – rendszerén keresztül. Ennek a rendszernek a gyengesége, hogy az őket megbízó vállalatok nem közvetlenül olyan szervezetekkel működnek együtt, mint a Fink Telecom Services, hanem alvállalkozók rétegein keresztül, ami megnehezíti az adatbiztonság garantálását.

Pham Manh Cuong úr, a Wischain Company Limited alapítója elmondta, hogy az SMS-üzeneteken keresztüli kétfaktoros hitelesítési módszer ma már nem biztonságos, mivel a kiberbűnözők egyre kifinomultabbak, és könnyen kihasználják a biztonsági rendszer sebezhetőségeit a hozzáférés megszerzéséhez.

Az adathalász támadások egyik leggyakoribb formája, amikor egy látszólag megbízható üzenetet, e-mailt vagy weboldalt használnak fel arra, hogy a felhasználókat bizalmas információk, például felhasználónevek, jelszavak vagy OTP kódok megadására csalják ki.

Ráadásul a SIM-kártya csere is komoly fenyegetést jelent. A csalók ellophatják az áldozat telefonszámát, amelyről SMS-ben küldött hitelesítési kódokat kapnak.

Ezenkívül sok felhasználónak továbbra is megvan a szokása, hogy ismeretlen eredetű szoftvereket telepít, különösen Android-eszközökre, ami kémprogramokhoz vagy billentyűnaplózókhoz vezet, amelyek titokban rögzíthetik a billentyűzeten leütött adatokat, ezáltal ellophatják a hozzáférési információkat.

Bár az SMS-hitelesítést továbbra is egyfajta védelmi rétegnek tekintik, a modern módszerekhez, mint például a Google Authenticator – egy véletlenszerű hitelesítési kódokat generáló alkalmazás, amely 30 másodpercenként változik, és független a mobilhálózatoktól – képest az SMS egyre inkább gyengeségeit mutatja.

Forrás: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm