Autentificarea prin SMS este foarte riscantă, care este alternativa?

Potrivit Yahoo, codurile de autentificare unice (OTP) trimise prin SMS sunt încă utilizate pe scară largă ca un al doilea nivel de protecție în procesul de autentificare cu doi factori, ajutând utilizatorii să se conecteze la aplicațiile bancare, de e-mail sau de rețele sociale.

Totuși, Yahoo avertizează că SMS-urile sunt una dintre cele mai slabe metode de securitate, deoarece sunt foarte vulnerabile la atacurile de tip phishing.

O investigație recentă realizată de Bloomberg Businessweek și Lighthouse Reports a relevat un risc mai mare: aceste OTP-uri ar putea fi accesate de terți. Mai exact, compania elvețiană de telecomunicații puțin cunoscută Fink Telecom Services a avut acces la peste 1 milion de mesaje care conțineau coduri de autentificare cu doi factori în iunie 2023.

În calitate de intermediar între companiile care generează coduri de autentificare și utilizatorii finali, Fink Telecom Services are dreptul de a procesa și vizualiza conținutul mesajelor. Îngrijorător este faptul că această companie a fost suspectată de participarea la supravegherea utilizatorilor și de interferența cu conturile personale.

Codurile OTP divulgate proveneau de la companii importante precum Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp și mai multe bănci europene. Mesajele au fost trimise utilizatorilor din peste 100 de țări.

Conform Yahoo, principalul motiv pentru care autentificarea cu doi factori prin SMS nu este sigură este acela că firmele externalizează adesea trimiterea de SMS-uri la un cost mai mic, prin contracte mari cu mai mulți operatori și un sistem de „titluri globale” - adrese de rețea utilizate pentru conectarea între țări. Punctul slab al acestui sistem este că firmele care îi angajează nu lucrează direct cu entități precum Fink Telecom Services, ci prin straturi de subcontractanți, ceea ce face mai complicată asigurarea securității datelor.

Dl. Pham Manh Cuong, fondatorul Wischain Company Limited, a explicat că metoda de autentificare cu doi factori prin mesaje SMS nu mai este sigură în prezent, deoarece atacatorii cibernetici sunt din ce în ce mai sofisticați, profitând cu ușurință de vulnerabilitățile sistemului de securitate pentru a obține acces.

Una dintre cele mai comune forme de atacuri de tip phishing este cea în care un mesaj, un e-mail sau un site web aparent de încredere este folosit pentru a păcăli utilizatorii să furnizeze informații sensibile, cum ar fi nume de utilizator, parole sau coduri OTP.

Nu numai atât, schimbarea cartelei SIM este, de asemenea, o amenințare serioasă. Escrocii pot fura numărul de telefon al victimei, de la care primesc coduri de autentificare trimise prin SMS.

În plus, mulți utilizatori au încă obiceiul de a instala software de origine necunoscută, în special pe dispozitivele Android, ceea ce duce la apariția de spyware sau keylogger-e care pot înregistra în secret tastarea, furând astfel informațiile de acces.

Deși autentificarea prin SMS este încă considerată un anumit nivel de protecție, în comparație cu metodele moderne precum Google Authenticator - o aplicație care generează coduri de autentificare aleatorii care se schimbă la fiecare 30 de secunde și este independentă de rețelele mobile - SMS-urile își arată din ce în ce mai mult slăbiciunile.

Sursă: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm