A autenticação de login por SMS é muito arriscada. Qual é a alternativa?

De acordo com o Yahoo, códigos de autenticação única (OTP) enviados via SMS ainda são amplamente usados ​​como uma segunda camada de proteção no processo de autenticação de dois fatores, ajudando os usuários a fazer login em aplicativos bancários, de e-mail ou de redes sociais.

No entanto, o Yahoo alerta que o SMS é um dos métodos de segurança mais fracos, pois é muito vulnerável a ataques de phishing.

Uma investigação recente da Bloomberg Businessweek e da Lighthouse Reports revelou um risco maior: esses códigos OTP poderiam ser acessados ​​por terceiros. Especificamente, a pouco conhecida empresa de telecomunicações suíça Fink Telecom Services teve acesso a mais de 1 milhão de mensagens contendo códigos de autenticação de dois fatores em junho de 2023.

Como intermediária entre as empresas que geram os códigos de autenticação e os usuários finais, a Fink Telecom Services tem o direito de processar e visualizar o conteúdo das mensagens. O preocupante é que esta empresa é suspeita de participar de atividades de monitoramento de usuários e de interferir em contas pessoais.

Os códigos OTP vazados vieram de muitas grandes empresas, como Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp e muitos bancos na Europa. As mensagens foram enviadas para usuários em mais de 100 países.

Segundo o Yahoo, o principal motivo pelo qual a autenticação de dois fatores por SMS não é segura é que as empresas frequentemente contratam intermediários para enviar mensagens SMS a um custo menor, por meio de grandes contratos com diversas operadoras e um sistema de "títulos globais" — endereços de rede usados ​​para conectar diferentes países. A fragilidade desse sistema é que as empresas contratantes não trabalham diretamente com unidades como a Fink Telecom Services, mas sim por meio de várias subcontratadas, o que torna mais complicado garantir a segurança dos dados.

O Sr. Pham Manh Cuong, fundador da Wischain Company Limited, explicou que o método de autenticação de dois fatores por meio de mensagens SMS não é mais seguro hoje porque os invasores cibernéticos estão cada vez mais sofisticados, aproveitando facilmente as vulnerabilidades do sistema de segurança para obter acesso.

Uma das formas mais comuns de ataques de phishing é quando mensagens, e-mails ou sites aparentemente confiáveis ​​são usados ​​para enganar os usuários e fazê-los fornecer informações confidenciais, como nomes de usuário, senhas ou códigos OTP.

Além disso, a troca de SIM também representa uma ameaça séria. Os fraudadores podem roubar o número de telefone da vítima, de onde podem receber códigos de autenticação enviados por SMS.

Além disso, muitos usuários ainda têm o hábito de instalar softwares de origem desconhecida, principalmente em dispositivos Android, o que leva a spywares ou keyloggers que podem gravar secretamente a digitação do teclado, roubando assim informações de acesso.

Embora a autenticação por SMS ainda seja considerada uma certa camada de proteção, em comparação com métodos modernos como o Google Authenticator — um aplicativo que gera códigos de autenticação aleatórios que mudam a cada 30 segundos e é independente de redes móveis — o SMS está cada vez mais mostrando suas fraquezas.

Fonte: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm