Az SMS-ben történő bejelentkezési ellenőrzés nagyon kockázatos; mi a másik lehetőség?

A Yahoo szerint az SMS-ben küldött egyszeri ellenőrző kódok (OTP-k) továbbra is széles körben használatosak a kétfaktoros hitelesítés második védelmi rétegeként, segítve a felhasználókat a banki alkalmazásokba, e-mailbe vagy közösségi hálózatokba való bejelentkezésben.

A Yahoo azonban figyelmeztet, hogy az SMS az egyik leggyengébb biztonsági módszer, mivel nagyon érzékeny az adathalász támadásokra.

A Bloomberg Businessweek és a Lighthouse Reports nemrégiben végzett vizsgálata egy nagyobb kockázatot tárt fel: ezekhez az OTP kódokhoz harmadik felek is hozzáférhetnek. Konkrétan a kevésbé ismert svájci telekommunikációs vállalat, a Fink Telecom Services 2023 júniusában több mint 1 millió, kétfaktoros hitelesítési kódot tartalmazó üzenethez férhetett hozzá.

A hitelesítési kódokat generáló vállalatokat és a végfelhasználókat összekötő közvetítőként a Fink Telecom Services jogosult az üzenetek tartalmának feldolgozására és megtekintésére. Aggodalomra ad okot, hogy a vállalatot azzal gyanúsítják, hogy felhasználókat figyel, és személyes fiókokba avatkozik bele.

A kiszivárgott OTP kódok számos nagyvállalattól származtak, mint például a Google, a Meta, az Amazon, a Tinder, a Snapchat, a Binance, a Signal, a WhatsApp és számos európai bank. Az üzeneteket több mint 100 országban küldték a felhasználóknak.

A Yahoo szerint az SMS-en keresztüli kétfaktoros hitelesítés bizonytalanságának fő oka az, hogy a vállalatok gyakran közvetítőket alkalmaznak az SMS-üzenetek alacsonyabb költségű küldésére, több szolgáltatóval kötött nagy szerződések és „globális címek” – a nemzetközi kapcsolatokhoz használt hálózati címek – révén. Ennek a rendszernek a gyengesége, hogy az ezeket a szolgáltatásokat igénybe vevő vállalatok nem közvetlenül olyan szervezetekkel működnek együtt, mint a Fink Telecom Services, hanem alvállalkozók rétegein keresztül, ami még bonyolultabbá teszi az adatbiztonságot.

Pham Manh Cuong úr, a Wischain Co., Ltd. alapítója elmagyarázza, hogy a jelenlegi kétfaktoros SMS-hitelesítés már nem biztonságos, mivel a kiberbűnözők egyre kifinomultabbak, és könnyen kihasználják a biztonsági rendszerek sebezhetőségeit a hozzáférés megszerzéséhez.

Az adathalász támadások egyik gyakori formája a látszólag legitim üzenetek, e-mailek vagy webhelyek használata, hogy a felhasználókat bizalmas információk, például felhasználónevek, jelszavak vagy OTP kódok megadására csalják ki.

Továbbá a SIM-kártya-csere technikái is komoly veszélyt jelentenek. A bűnözők ellophatják az áldozatok telefonszámát, majd SMS-ben küldött ellenőrző kódokat kaphatnak.

Továbbá sok felhasználónak továbbra is megvan a szokása, hogy ismeretlen forrásból származó szoftvereket telepít, különösen Android-eszközökre, ami kémprogramokhoz vagy billentyűnaplózókhoz vezet, amelyek titokban rögzíthetik a billentyűleütéseket és ellophatják a bejelentkezési adatokat.

Bár az SMS-hitelesítést továbbra is egyfajta védelmi rétegnek tekintik, a modern módszerekhez, például a Google Authenticatorhoz – egy olyan alkalmazáshoz, amely véletlenszerű hitelesítési kódokat generál, amelyek 30 másodpercenként változnak, és nem függnek a mobilhálózattól – képest az SMS egyre inkább megmutatja gyengeségeit.

Forrás: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm