SMS-inlogverificatie is erg riskant, wat is het alternatief?

Volgens Yahoo worden eenmalige authenticatiecodes (OTP) die via sms worden verzonden, nog steeds veel gebruikt als tweede beveiligingslaag in het tweefactorauthenticatieproces, waarmee gebruikers kunnen inloggen bij bankieren, e-mailen of sociale netwerkapplicaties.

Yahoo waarschuwt echter dat SMS een van de zwakste beveiligingsmethoden is, omdat het erg kwetsbaar is voor phishingaanvallen.

Uit recent onderzoek van Bloomberg Businessweek en Lighthouse Reports bleek een groter risico: deze OTP-codes konden door derden worden ingezien. Zo had het relatief onbekende Zwitserse telecombedrijf Fink Telecom Services in juni 2023 toegang tot meer dan 1 miljoen berichten met tweefactorauthenticatiecodes.

Als tussenpersoon tussen de bedrijven die de authenticatiecodes genereren en de eindgebruikers, heeft Fink Telecom Services het recht om de inhoud van de berichten te verwerken en te bekijken. Wat zorgwekkend is, is dat dit bedrijf ervan wordt verdacht deel te nemen aan gebruikersmonitoring en zich te bemoeien met persoonlijke accounts.

De gelekte OTP-codes waren afkomstig van veel grote bedrijven zoals Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp en veel banken in Europa. De berichten werden verzonden naar gebruikers in meer dan 100 landen.

Volgens Yahoo is de belangrijkste reden waarom tweefactorauthenticatie via sms niet veilig is, dat bedrijven vaak tussenpersonen inhuren om sms-berichten tegen lagere kosten te versturen, via grote contracten met meerdere providers en een systeem van 'globale titels' - netwerkadressen die worden gebruikt om verbinding te maken tussen landen. De zwakte van dit systeem is dat de inhurende bedrijven niet rechtstreeks samenwerken met eenheden zoals Fink Telecom Services, maar via verschillende onderaannemers, waardoor het lastiger is om de gegevensbeveiliging te waarborgen.

De heer Pham Manh Cuong, oprichter van Wischain Company Limited, legde uit dat de tweefactorauthenticatiemethode via sms-berichten tegenwoordig niet meer veilig is, omdat cyberaanvallers steeds geraffineerder te werk gaan en gemakkelijk misbruik maken van kwetsbaarheden in het beveiligingssysteem om toegang te krijgen.

Een van de meest voorkomende vormen van phishingaanvallen is wanneer schijnbaar betrouwbare berichten, e-mails of websites worden gebruikt om gebruikers te misleiden en hen ertoe aan te zetten gevoelige informatie te verstrekken, zoals gebruikersnamen, wachtwoorden of OTP-codes.

Bovendien vormt sim-swapping een ernstige bedreiging. Fraudeurs kunnen het telefoonnummer van het slachtoffer stelen, van wie ze authenticatiecodes via sms kunnen ontvangen.

Bovendien hebben veel gebruikers nog steeds de gewoonte om software van onbekende oorsprong te installeren, vooral op Android-apparaten. Dit leidt tot spyware of keyloggers die heimelijk toetsenbordtypen kunnen registreren en zo toegangsgegevens kunnen stelen.

SMS-authenticatie wordt nog steeds gezien als een zekere mate van bescherming, maar vergeleken met moderne methoden zoals Google Authenticator (een applicatie die willekeurige authenticatiecodes genereert die elke 30 seconden veranderen en onafhankelijk is van mobiele netwerken) beginnen SMS-gegevens steeds zwakker te worden.

Bron: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm