การยืนยันตัวตนเข้าสู่ระบบด้วย SMS มีความเสี่ยงมาก ทางเลือกอื่นคืออะไร?

ตามที่ Yahoo ระบุ รหัสยืนยันตัวตนแบบครั้งเดียว (OTP) ที่ส่งผ่าน SMS ยังคงถูกใช้กันอย่างแพร่หลายเป็นชั้นการป้องกันชั้นที่สองในกระบวนการยืนยันตัวตนแบบสองปัจจัย โดยช่วยให้ผู้ใช้สามารถเข้าสู่ระบบธนาคาร อีเมล หรือแอปพลิเคชันเครือข่ายโซเชียลได้

อย่างไรก็ตาม Yahoo เตือนว่า SMS เป็นหนึ่งในวิธีการรักษาความปลอดภัยที่อ่อนแอที่สุด เนื่องจากมีความเสี่ยงต่อการโจมตีแบบฟิชชิ่งมาก

การสืบสวนเมื่อเร็วๆ นี้โดย Bloomberg Businessweek และ Lighthouse Reports เผยให้เห็นถึงความเสี่ยงที่ร้ายแรงกว่า นั่นคือ รหัส OTP เหล่านี้อาจถูกเข้าถึงโดยบุคคลที่สาม โดยเฉพาะอย่างยิ่ง บริษัทโทรคมนาคมสัญชาติสวิสที่ไม่ค่อยเป็นที่รู้จักอย่าง Fink Telecom Services สามารถเข้าถึงข้อความที่มีรหัสยืนยันตัวตนแบบสองขั้นตอนมากกว่า 1 ล้านข้อความในเดือนมิถุนายน 2566

ในฐานะตัวกลางระหว่างบริษัทที่สร้างรหัสยืนยันตัวตนและผู้ใช้ปลายทาง Fink Telecom Services มีสิทธิ์ในการประมวลผลและดูเนื้อหาของข้อความ สิ่งที่น่ากังวลคือบริษัทนี้ถูกสงสัยว่ามีส่วนร่วมในกิจกรรมการตรวจสอบผู้ใช้และแทรกแซงบัญชีส่วนบุคคล

Vì sao xác thực hai yếu tố qua SMS không còn an toàn? - Ảnh 1. — SMS ถือเป็นวิธีการรักษาความปลอดภัยที่อ่อนแอที่สุดวิธีหนึ่ง เนื่องจากบุคคลที่สามสามารถเข้าถึงได้

รหัส OTP ที่รั่วไหลมาจากบริษัทใหญ่หลายแห่ง เช่น Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp และธนาคารหลายแห่งในยุโรป ข้อความเหล่านี้ถูกส่งไปยังผู้ใช้ในกว่า 100 ประเทศ

Yahoo ระบุว่า สาเหตุหลักที่การยืนยันตัวตนแบบสองปัจจัย (two-factor authentication) ทาง SMS ไม่ปลอดภัยนั้น เป็นเพราะบริษัทต่างๆ มักจ้างคนกลางเพื่อส่งข้อความ SMS ด้วยต้นทุนที่ต่ำกว่า ผ่านสัญญาขนาดใหญ่กับผู้ให้บริการหลายราย และระบบ "global title" หรือที่อยู่เครือข่ายที่ใช้เชื่อมต่อข้ามประเทศ จุดอ่อนของระบบนี้คือ บริษัทที่จ้างงานไม่ได้ทำงานโดยตรงกับหน่วยงานต่างๆ เช่น Fink Telecom Services แต่ทำงานผ่านผู้รับเหมาช่วงหลายชั้น ทำให้การรับประกันความปลอดภัยของข้อมูลมีความซับซ้อนมากขึ้น

นาย Pham Manh Cuong ผู้ก่อตั้งบริษัท Wischain Company Limited อธิบายว่า วิธีการยืนยันตัวตนแบบสองปัจจัยผ่านข้อความ SMS ไม่ปลอดภัยอีกต่อไปแล้ว เนื่องจากผู้โจมตีทางไซเบอร์มีความซับซ้อนมากขึ้นเรื่อยๆ โดยใช้ประโยชน์จากช่องโหว่ในระบบรักษาความปลอดภัยเพื่อเข้าถึงข้อมูลได้อย่างง่ายดาย

รูปแบบการโจมตีแบบฟิชชิ่งที่พบบ่อยที่สุดรูปแบบหนึ่ง คือ การใช้ข้อความ อีเมล หรือเว็บไซต์ที่ดูน่าเชื่อถือ เพื่อหลอกผู้ใช้ให้ให้ข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน หรือรหัส OTP

ไม่เพียงเท่านั้น การเปลี่ยนซิมยังเป็นภัยคุกคามร้ายแรงอีกด้วย มิจฉาชีพสามารถขโมยหมายเลขโทรศัพท์ของเหยื่อได้ เพื่อรับรหัสยืนยันตัวตนที่ส่งมาทาง SMS

นอกจากนี้ ผู้ใช้จำนวนมากยังคงมีนิสัยติดตั้งซอฟต์แวร์ที่ไม่ทราบแหล่งที่มา โดยเฉพาะในอุปกรณ์ Android ซึ่งทำให้เกิดสปายแวร์หรือคีย์ล็อกเกอร์ที่สามารถบันทึกการพิมพ์แป้นพิมพ์ได้อย่างลับๆ จึงสามารถขโมยข้อมูลการเข้าถึงได้

แม้ว่าการตรวจสอบสิทธิ์ผ่าน SMS ยังคงถือเป็นชั้นการป้องกันระดับหนึ่ง เมื่อเทียบกับวิธีการสมัยใหม่ เช่น Google Authenticator ซึ่งเป็นแอปพลิเคชันที่สร้างรหัสการตรวจสอบสิทธิ์แบบสุ่มที่เปลี่ยนแปลงทุก 30 วินาที และไม่ขึ้นอยู่กับเครือข่ายมือถือ แต่ SMS กลับมีจุดอ่อนเพิ่มมากขึ้นอย่างเห็นได้ชัด

ที่มา: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm