De acordo com o Yahoo, códigos de autenticação única (OTP) enviados via SMS ainda são amplamente usados como uma segunda camada de proteção no processo de autenticação de dois fatores, ajudando os usuários a fazer login em aplicativos bancários, de e-mail ou de redes sociais.
No entanto, o Yahoo alerta que o SMS é um dos métodos de segurança mais fracos, pois é muito vulnerável a ataques de phishing.
Uma investigação recente da Bloomberg Businessweek e da Lighthouse Reports revelou um risco maior: essas OTPs poderiam ser acessadas por terceiros. Especificamente, a pouco conhecida empresa de telecomunicações suíça Fink Telecom Services teve acesso a mais de 1 milhão de mensagens contendo códigos de autenticação de dois fatores em junho de 2023.
Como intermediária entre as empresas que geram códigos de autenticação e os usuários finais, a Fink Telecom Services tem o direito de processar e visualizar o conteúdo das mensagens. O preocupante é que essa empresa é suspeita de participar da vigilância de usuários e interferir em contas pessoais.
O SMS é considerado um dos métodos de segurança mais fracos porque pode ser acessado por terceiros.
Os OTPs vazados vieram de grandes empresas como Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp e vários bancos europeus. As mensagens foram enviadas para usuários em mais de 100 países.
Segundo o Yahoo, o principal motivo pelo qual a autenticação de dois fatores para SMS não é segura é que as empresas frequentemente terceirizam o envio de SMS a um custo menor, por meio de grandes contratos com diversas operadoras e um sistema de "títulos globais" — endereços de rede usados para conectar diferentes países. A fragilidade desse sistema é que as empresas que os contratam não trabalham diretamente com entidades como a Fink Telecom Services, mas sim por meio de várias subcontratadas, o que torna mais complicado garantir a segurança dos dados.
O Sr. Pham Manh Cuong, fundador da Wischain Company Limited, explicou que o método de autenticação de dois fatores por meio de mensagens SMS não é mais seguro hoje porque os invasores cibernéticos estão cada vez mais sofisticados, aproveitando facilmente as vulnerabilidades no sistema de segurança para obter acesso.
Uma das formas mais comuns de ataques de phishing é quando uma mensagem, e-mail ou site aparentemente confiável é usado para induzir os usuários a fornecer informações confidenciais, como nomes de usuário, senhas ou códigos OTP.
Além disso, a troca de SIM também representa uma ameaça séria. Os fraudadores podem roubar o número de telefone da vítima, de onde recebem códigos de autenticação enviados por SMS.
Além disso, muitos usuários ainda têm o hábito de instalar softwares de origem desconhecida, principalmente em dispositivos Android, o que leva a spywares ou keyloggers que podem gravar secretamente a digitação do teclado, roubando assim informações de acesso.
Embora a autenticação por SMS ainda seja considerada uma certa camada de proteção, em comparação com métodos modernos como o Google Authenticator — um aplicativo que gera códigos de autenticação aleatórios que mudam a cada 30 segundos e é independente de redes móveis — o SMS está cada vez mais mostrando suas fraquezas.
Fonte: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm
Comentário (0)