По данным Yahoo, одноразовые коды аутентификации (OTP), отправляемые по SMS, по-прежнему широко используются в качестве второго уровня защиты в процессе двухфакторной аутентификации, помогая пользователям входить в банковские приложения, электронную почту или социальные сети.
Однако Yahoo предупреждает, что SMS — один из самых слабых методов безопасности, поскольку он очень уязвим для фишинговых атак.
Недавнее расследование Bloomberg Businessweek и Lighthouse Reports выявило больший риск: к этим OTP могли получить доступ третьи лица. В частности, малоизвестная швейцарская телекоммуникационная компания Fink Telecom Services имела доступ к более чем 1 миллиону сообщений, содержащих коды двухфакторной аутентификации в июне 2023 года.
Как посредник между компаниями, которые генерируют коды аутентификации, и конечными пользователями, Fink Telecom Services имеет право обрабатывать и просматривать содержимое сообщений. Беспокоит то, что эта компания подозревается в участии в слежке за пользователями и вмешательстве в личные аккаунты.
SMS считается одним из самых слабых методов безопасности, поскольку к нему могут получить доступ третьи лица.
Утечка OTP-паролей происходила из таких крупных компаний, как Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp и нескольких европейских банков. Сообщения были отправлены пользователям в более чем 100 странах.
По данным Yahoo, основная причина, по которой двухфакторная аутентификация SMS не является безопасной, заключается в том, что компании часто передают отправку SMS на аутсорсинг по более низкой цене, через крупные контракты с несколькими операторами и систему «глобальных названий» — сетевых адресов, используемых для подключения между странами. Слабость этой системы в том, что компании, которые их нанимают, работают не напрямую с такими организациями, как Fink Telecom Services, а через слои субподрядчиков, что усложняет обеспечение безопасности данных.
Г-н Фам Мань Куонг, основатель Wischain Company Limited, объяснил, что метод двухфакторной аутентификации с помощью SMS-сообщений сегодня уже небезопасен, поскольку киберпреступники становятся все более изощренными и легко используют уязвимости в системе безопасности для получения доступа.
Одной из наиболее распространенных форм фишинговых атак является использование, казалось бы, надежного сообщения, электронного письма или веб-сайта для обмана пользователей с целью получения конфиденциальной информации, такой как имена пользователей, пароли или одноразовые пароли.
Мало того, подмена SIM-карт также представляет собой серьезную угрозу. Мошенники могут украсть номер телефона жертвы, с которого они получают коды аутентификации, отправляемые по SMS.
Кроме того, многие пользователи по-прежнему имеют привычку устанавливать программное обеспечение неизвестного происхождения, особенно на устройствах Android, что приводит к появлению шпионских программ или кейлоггеров, которые могут тайно записывать ввод данных с клавиатуры, тем самым похищая информацию о доступе.
Хотя SMS-аутентификация по-прежнему считается определенным уровнем защиты, по сравнению с современными методами, такими как Google Authenticator — приложением, которое генерирует случайные коды аутентификации, меняющиеся каждые 30 секунд и не зависящие от мобильных сетей, — SMS все чаще демонстрирует свои слабости.
Источник: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm
![[Морские новости] Wan Hai Lines инвестирует 150 миллионов долларов в покупку 48 000 контейнеров](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/6/20/c945a62aff624b4bb5c25e67e9bcc1cb)
![[Инфографика] Партийный комитет Министерства культуры, спорта и туризма: Итоги семестра 2020 - 2025 гг.](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/6/22/058c9f95a9a54fcab13153cddc34435e)
Комментарий (0)