Pengesahan log masuk SMS sangat berisiko; apakah alternatifnya?

Menurut Yahoo, kod pengesahan sekali pakai (OTP) yang dihantar melalui SMS masih digunakan secara meluas sebagai lapisan perlindungan kedua dalam pengesahan dua faktor, yang membantu pengguna log masuk ke aplikasi perbankan, e-mel atau rangkaian sosial.

Walau bagaimanapun, Yahoo memberi amaran bahawa SMS adalah salah satu kaedah keselamatan yang paling lemah kerana ia sangat mudah terdedah kepada serangan pancingan data.

Satu siasatan baru-baru ini oleh Bloomberg Businessweek dan Lighthouse Reports mendedahkan risiko yang lebih besar: kod OTP ini boleh diakses oleh pihak ketiga. Secara khususnya, syarikat telekomunikasi Switzerland yang kurang dikenali, Fink Telecom Services, telah mendapat akses kepada lebih 1 juta mesej yang mengandungi kod pengesahan dua faktor pada Jun 2023.

Sebagai perantara yang menghubungkan syarikat yang menjana kod pengesahan dan pengguna akhir, Fink Telecom Services mempunyai hak untuk memproses dan melihat kandungan mesej. Apa yang membimbangkan ialah syarikat ini telah disyaki terlibat dalam pengawasan pengguna dan mengganggu akaun peribadi.

Kod OTP yang bocor itu datang daripada pelbagai syarikat besar seperti Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp dan banyak bank di Eropah. Mesej telah dihantar kepada pengguna di lebih 100 buah negara.

Menurut Yahoo, sebab utama mengapa pengesahan dua faktor melalui SMS tidak selamat adalah kerana syarikat sering mengupah perantara untuk menghantar mesej SMS pada kos yang lebih rendah, melalui kontrak besar dengan pelbagai pembawa dan "tajuk global"—alamat rangkaian yang digunakan untuk sambungan antarabangsa. Kelemahan sistem ini ialah syarikat yang mengupah perkhidmatan ini tidak berfungsi secara langsung dengan entiti seperti Fink Telecom Services, tetapi melalui lapisan subkontraktor, menjadikan keselamatan data lebih rumit.

Encik Pham Manh Cuong, pengasas Wischain Co., Ltd., menjelaskan bahawa kaedah pengesahan dua faktor semasa melalui SMS tidak lagi selamat kerana penyerang siber menjadi semakin canggih, dengan mudah mengeksploitasi kelemahan dalam sistem keselamatan untuk mendapatkan akses.

Satu bentuk serangan pancingan data yang biasa melibatkan penggunaan mesej, e-mel atau laman web yang nampaknya sah untuk memperdaya pengguna agar memberikan maklumat sensitif seperti nama pengguna, kata laluan atau kod OTP.

Tambahan pula, teknik pertukaran SIM juga menimbulkan ancaman serius. Penjenayah boleh mencuri nombor telefon mangsa dan kemudian menerima kod pengesahan yang dihantar melalui SMS.

Tambahan pula, ramai pengguna masih mempunyai tabiat memasang perisian daripada sumber yang tidak diketahui, terutamanya pada peranti Android, yang membawa kepada perisian intip atau keylogger yang boleh merakam ketukan kekunci secara rahsia dan mencuri maklumat log masuk.

Walaupun pengesahan SMS masih dianggap sebagai lapisan perlindungan tertentu, berbanding kaedah moden seperti Google Authenticator – aplikasi yang menjana kod pengesahan rawak yang berubah setiap 30 saat dan tidak bergantung pada rangkaian mudah alih – SMS semakin mendedahkan kelemahannya.

Sumber: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm