SMS-inlogverificatie is erg riskant, wat is het alternatief?

Volgens Yahoo worden eenmalige authenticatiecodes (OTP) die via sms worden verzonden, nog steeds veel gebruikt als tweede beveiligingslaag in het tweefactorauthenticatieproces, waarmee gebruikers kunnen inloggen bij bankieren, e-mailen of sociale netwerkapplicaties.

Yahoo waarschuwt echter dat SMS een van de zwakste beveiligingsmethoden is, omdat het erg kwetsbaar is voor phishingaanvallen.

Uit recent onderzoek van Bloomberg Businessweek en Lighthouse Reports bleek een groter risico: deze OTP's konden door derden worden ingezien. Zo had het relatief onbekende Zwitserse telecommunicatiebedrijf Fink Telecom Services in juni 2023 toegang tot meer dan 1 miljoen berichten met tweefactorauthenticatiecodes.

Als tussenpersoon tussen de bedrijven die authenticatiecodes genereren en de eindgebruikers, heeft Fink Telecom Services het recht om de inhoud van berichten te verwerken en te bekijken. Wat zorgwekkend is, is dat dit bedrijf ervan wordt verdacht deel te nemen aan gebruikerssurveillance en het manipuleren van persoonlijke accounts.

De gelekte OTP's waren afkomstig van grote bedrijven zoals Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp en verschillende Europese banken. De berichten werden verzonden naar gebruikers in meer dan 100 landen.

Volgens Yahoo is de belangrijkste reden waarom tweefactorauthenticatie via sms niet veilig is, dat bedrijven het versturen van sms-berichten vaak tegen lagere kosten uitbesteden via grote contracten met meerdere providers en een systeem van 'global names' – netwerkadressen die worden gebruikt om verbinding te maken tussen landen. De zwakte van dit systeem is dat de bedrijven die hen inhuren niet rechtstreeks samenwerken met partijen zoals Fink Telecom Services, maar via verschillende onderaannemers, waardoor het lastiger is om de gegevensbeveiliging te waarborgen.

De heer Pham Manh Cuong, oprichter van Wischain Company Limited, legde uit dat de tweefactorauthenticatiemethode via sms-berichten tegenwoordig niet meer veilig is, omdat cyberaanvallers steeds geraffineerder te werk gaan en gemakkelijk misbruik maken van kwetsbaarheden in het beveiligingssysteem om toegang te krijgen.

Een van de meest voorkomende vormen van phishingaanvallen is wanneer een ogenschijnlijk betrouwbaar bericht, e-mail of website wordt gebruikt om gebruikers te misleiden en hen ertoe aan te zetten gevoelige informatie te verstrekken, zoals gebruikersnamen, wachtwoorden of OTP-codes.

Bovendien vormt sim-swapping een ernstige bedreiging. Fraudeurs kunnen het telefoonnummer van het slachtoffer stelen, van wie ze authenticatiecodes via sms ontvangen.

Bovendien hebben veel gebruikers nog steeds de gewoonte om software van onbekende oorsprong te installeren, vooral op Android-apparaten. Dit leidt tot spyware of keyloggers die heimelijk toetsenbordtypen kunnen registreren en zo toegangsgegevens kunnen stelen.

SMS-authenticatie wordt nog steeds gezien als een zekere mate van bescherming, maar vergeleken met moderne methoden zoals Google Authenticator (een applicatie die willekeurige authenticatiecodes genereert die elke 30 seconden veranderen en onafhankelijk is van mobiele netwerken) beginnen SMS-gegevens steeds zwakker te worden.

Bron: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm