Ifølge Yahoo brukes engangsautentiseringskoder (OTP) sendt via SMS fortsatt mye som et andre lag med beskyttelse i tofaktorautentiseringsprosessen, og hjelper brukere med å logge inn på bank-, e-post- eller sosiale nettverksapplikasjoner.
Yahoo advarer imidlertid om at SMS er en av de svakeste sikkerhetsmetodene fordi den er svært sårbar for phishing-angrep.
En fersk undersøkelse utført av Bloomberg Businessweek og Lighthouse Reports avdekket en større risiko: disse engangskodene kunne nås av tredjeparter. Mer spesifikt hadde det lite kjente sveitsiske telekomselskapet Fink Telecom Services tilgang til mer enn 1 million meldinger som inneholdt tofaktorautentiseringskoder i juni 2023.
Som mellomledd mellom selskapene som genererer autentiseringskodene og sluttbrukerne har Fink Telecom Services rett til å behandle og se innholdet i meldingene. Det som er bekymringsfullt er at dette selskapet har blitt mistenkt for å delta i brukerovervåkingsaktiviteter og forstyrre personlige kontoer.
SMS regnes som en av de svakeste sikkerhetsmetodene fordi tredjeparter kan få tilgang til dem.
De lekkede engangskodene kom fra mange store selskaper som Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp og mange banker i Europa. Meldingene ble sendt til brukere i mer enn 100 land.
Ifølge Yahoo er hovedårsaken til at tofaktorautentisering for SMS ikke er sikkert, at selskaper ofte ansetter mellomledd for å sende SMS-meldinger til en lavere kostnad, gjennom store kontrakter med flere operatører og et system med «globale titler» – nettverksadresser som brukes til å koble seg på tvers av land. Svakheten med dette systemet er at ansettelsesselskapene ikke jobber direkte med enheter som Fink Telecom Services, men gjennom lag med underleverandører, noe som gjør det mer komplisert å sikre datasikkerhet.
Pham Manh Cuong, grunnlegger av Wischain Company Limited, forklarte at tofaktorautentisering via SMS-meldinger ikke lenger er trygg i dag fordi cyberangripere blir stadig mer sofistikerte og lett utnytter sårbarheter i sikkerhetssystemet for å få tilgang.
En av de vanligste formene for phishing-angrep er når tilsynelatende pålitelige meldinger, e-poster eller nettsteder brukes til å lure brukere til å oppgi sensitiv informasjon som brukernavn, passord eller engangskoder.
Ikke bare det, SIM-bytte er også en alvorlig trussel. Svindlere kan stjele offerets telefonnummer, som de kan motta autentiseringskoder fra via SMS.
I tillegg har mange brukere fortsatt for vane å installere programvare av ukjent opprinnelse, spesielt på Android-enheter, noe som fører til spionprogrammer eller tasteloggere som i hemmelighet kan registrere skriving på tastaturet, og dermed stjele tilgangsinformasjon.
Selv om SMS-autentisering fortsatt regnes som et visst lag med beskyttelse, viser SMS i økende grad sine svakheter sammenlignet med moderne metoder som Google Authenticator – et program som genererer tilfeldige autentiseringskoder som endres hvert 30. sekund og er uavhengig av mobilnettverk.
Kilde: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm
![[Foto] Nasjonalforsamlingens leder Tran Thanh Man deltar på det første plenumsmøtet i AIPA-46](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/18/4593de8b5fb349d7a3da4b5de7faccf6)
![[Foto] Nasjonalforsamlingens leder Tran Thanh Man begynner å delta på AIPA-46-aktiviteter](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/18/73487ff8ed57412eab9211273946c14d)
![[Foto] Inne i det keiserlige akademiets relikvie av Hue-citadellet før restaureringen til hundre milliarder dollar](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/18/77fd186af68341b1a8bffd072fa896a6)
Kommentar (0)