Uwierzytelnianie logowania za pomocą SMS-ów jest bardzo ryzykowne. Jaka jest alternatywa?

Według Yahoo jednorazowe kody uwierzytelniające (OTP) wysyłane za pośrednictwem wiadomości SMS są nadal szeroko stosowane jako druga warstwa ochrony w procesie uwierzytelniania dwuskładnikowego, pomagając użytkownikom logować się do bankowości, poczty e-mail lub aplikacji społecznościowych.

Yahoo ostrzega jednak, że SMS-y stanowią jedną z najsłabszych metod zabezpieczeń, gdyż są bardzo podatne na ataki phishingowe.

Niedawne dochodzenie przeprowadzone przez Bloomberg Businessweek i Lighthouse Reports ujawniło większe ryzyko: do tych kodów OTP mogły uzyskać dostęp osoby trzecie. W szczególności, mało znana szwajcarska firma telekomunikacyjna Fink Telecom Services miała dostęp do ponad miliona wiadomości zawierających kody uwierzytelniania dwuskładnikowego w czerwcu 2023 roku.

Jako pośrednik między firmami generującymi kody uwierzytelniające a użytkownikami końcowymi, Fink Telecom Services ma prawo przetwarzać i przeglądać treść wiadomości. Niepokojące jest podejrzenie, że firma ta jest podejrzewana o udział w monitorowaniu użytkowników i ingerencję w konta osobiste.

Wyciekłe kody OTP pochodziły od wielu dużych firm, takich jak Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp i wielu banków w Europie. Wiadomości zostały wysłane do użytkowników w ponad 100 krajach.

Według Yahoo, głównym powodem, dla którego dwuskładnikowe uwierzytelnianie SMS nie jest bezpieczne, jest to, że firmy często zatrudniają pośredników do wysyłania wiadomości SMS po niższych kosztach, poprzez duże kontrakty z wieloma operatorami i system „globalnych tytułów” – adresów sieciowych używanych do połączeń między krajami. Słabością tego systemu jest to, że firmy zatrudniające nie współpracują bezpośrednio z jednostkami takimi jak Fink Telecom Services, ale za pośrednictwem wielu podwykonawców, co utrudnia zapewnienie bezpieczeństwa danych.

Pan Pham Manh Cuong, założyciel Wischain Company Limited, wyjaśnił, że metoda uwierzytelniania dwuskładnikowego za pomocą wiadomości SMS nie jest już bezpieczna, ponieważ cyberprzestępcy są coraz bardziej wyrafinowani i z łatwością wykorzystują luki w zabezpieczeniach systemu, aby uzyskać dostęp.

Jedną z najczęstszych form ataków phishingowych jest wykorzystywanie pozornie godnych zaufania wiadomości, e-maili lub stron internetowych w celu nakłonienia użytkowników do podania poufnych informacji, takich jak nazwy użytkowników, hasła lub kody OTP.

Co więcej, podmiana kart SIM stanowi poważne zagrożenie. Oszuści mogą ukraść numer telefonu ofiary, z którego mogą otrzymywać kody uwierzytelniające wysyłane SMS-em.

Poza tym wielu użytkowników nadal ma zwyczaj instalowania oprogramowania nieznanego pochodzenia, szczególnie na urządzeniach z systemem Android, co prowadzi do pojawienia się oprogramowania szpiegującego lub keyloggerów, które mogą potajemnie rejestrować wpisywanie tekstu na klawiaturze, a tym samym wykradać dane dostępowe.

Chociaż uwierzytelnianie za pomocą SMS-ów nadal uważa się za pewien poziom ochrony, w porównaniu do nowoczesnych metod, takich jak Google Authenticator — aplikacja generująca losowe kody uwierzytelniające, zmieniające się co 30 sekund i niezależna od sieci komórkowych — SMS-y wykazują coraz większe słabości.

Source: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm