Pengesahan log masuk SMS sangat berisiko, apakah alternatifnya?

Menurut Yahoo, kod pengesahan satu kali (OTP) yang dihantar melalui SMS masih digunakan secara meluas sebagai lapisan kedua perlindungan dalam proses pengesahan dua faktor, membantu pengguna log masuk ke aplikasi perbankan, e-mel atau rangkaian sosial.

Walau bagaimanapun, Yahoo memberi amaran bahawa SMS adalah salah satu kaedah keselamatan yang paling lemah kerana ia sangat terdedah kepada serangan pancingan data.

Siasatan baru-baru ini oleh Bloomberg Businessweek dan Laporan Rumah Api mendedahkan risiko yang lebih besar: OTP ini boleh diakses oleh pihak ketiga. Khususnya, syarikat telekomunikasi Switzerland yang kurang dikenali Fink Telecom Services mempunyai akses kepada lebih daripada 1 juta mesej yang mengandungi kod pengesahan dua faktor pada Jun 2023.

Sebagai perantara antara syarikat yang menjana kod pengesahan dan pengguna akhir, Fink Telecom Services mempunyai hak untuk memproses dan melihat kandungan mesej. Apa yang membimbangkan ialah syarikat ini telah disyaki mengambil bahagian dalam pengawasan pengguna dan mengganggu akaun peribadi.

OTP yang bocor datang daripada syarikat utama seperti Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp dan beberapa bank Eropah. Mesej telah dihantar kepada pengguna di lebih 100 negara.

Menurut Yahoo, sebab utama pengesahan dua faktor SMS tidak selamat adalah kerana syarikat sering menyumber luar penghantaran SMS pada kos yang lebih rendah, melalui kontrak besar dengan berbilang pembawa dan sistem "gelaran global" - alamat rangkaian yang digunakan untuk menyambung merentas negara. Kelemahan sistem ini ialah syarikat yang mengupah mereka tidak bekerja secara langsung dengan entiti seperti Fink Telecom Services, tetapi melalui lapisan subkontraktor, menjadikannya lebih rumit untuk memastikan keselamatan data.

Encik Pham Manh Cuong, pengasas Wischain Company Limited, menjelaskan bahawa kaedah pengesahan dua faktor melalui mesej SMS tidak lagi selamat hari ini kerana penyerang siber semakin canggih, mudah mengambil kesempatan daripada kelemahan dalam sistem keselamatan untuk mendapatkan akses.

Salah satu bentuk serangan pancingan data yang paling biasa ialah apabila mesej, e-mel atau tapak web yang kelihatan bereputasi digunakan untuk menipu pengguna supaya memberikan maklumat sensitif seperti nama pengguna, kata laluan atau kod OTP.

Bukan itu sahaja, pertukaran SIM juga merupakan ancaman yang serius. Penipu boleh mencuri nombor telefon mangsa, dari mana mereka menerima kod pengesahan yang dihantar melalui SMS.

Di samping itu, ramai pengguna masih mempunyai tabiat memasang perisian yang tidak diketahui asalnya, terutamanya pada peranti Android, yang membawa kepada perisian pengintip atau keylogger yang secara rahsia boleh merakam penaipan papan kekunci, sekali gus mencuri maklumat akses.

Walaupun pengesahan SMS masih dianggap sebagai lapisan perlindungan tertentu, berbanding kaedah moden seperti Google Authenticator - aplikasi yang menjana kod pengesahan rawak yang berubah setiap 30 saat dan bebas daripada rangkaian mudah alih - SMS semakin menunjukkan kelemahannya.

Sumber: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm