จากข้อมูลของ Yahoo รหัสยืนยันแบบใช้ครั้งเดียว (OTP) ที่ส่งผ่าน SMS ยังคงถูกใช้อย่างแพร่หลายในฐานะชั้นการป้องกันที่สองในการตรวจสอบสิทธิ์แบบสองขั้นตอน ช่วยให้ผู้ใช้สามารถเข้าสู่ระบบแอปพลิเคชันธนาคาร อีเมล หรือเครือข่ายสังคมออนไลน์ได้
อย่างไรก็ตาม Yahoo เตือนว่า SMS เป็นหนึ่งในวิธีการรักษาความปลอดภัยที่อ่อนแอที่สุด เนื่องจากมีความเสี่ยงสูงต่อการโจมตีแบบฟิชชิ่ง
การตรวจสอบล่าสุดโดย Bloomberg Businessweek และ Lighthouse Reports เปิดเผยถึงความเสี่ยงที่ใหญ่กว่านั้น นั่นคือ รหัส OTP เหล่านี้อาจถูกเข้าถึงโดยบุคคลที่สาม โดยเฉพาะอย่างยิ่ง บริษัทโทรคมนาคมสวิสที่ไม่ค่อยเป็นที่รู้จักอย่าง Fink Telecom Services ได้เข้าถึงข้อความมากกว่า 1 ล้านข้อความที่มีรหัสยืนยันตัวตนสองขั้นตอนในเดือนมิถุนายน 2023
ในฐานะตัวกลางที่เชื่อมต่อบริษัทที่สร้างรหัสยืนยันตัวตนกับผู้ใช้ปลายทาง Fink Telecom Services มีสิทธิ์ในการประมวลผลและดูเนื้อหาข้อความ สิ่งที่น่าเป็นห่วงคือ บริษัทนี้ถูกสงสัยว่ามีส่วนร่วมในการสอดแนมผู้ใช้และแทรกแซงบัญชีส่วนบุคคล
การส่งข้อความ SMS ถือเป็นหนึ่งในวิธีการรักษาความปลอดภัยที่อ่อนแอที่สุด เนื่องจากบุคคลที่สามสามารถเข้าถึงได้
รหัส OTP ที่รั่วไหลออกมานั้นมาจากบริษัทขนาดใหญ่หลายแห่ง เช่น Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp และธนาคารหลายแห่งในยุโรป โดยข้อความดังกล่าวถูกส่งไปยังผู้ใช้ในกว่า 100 ประเทศ
จากข้อมูลของ Yahoo สาเหตุหลักที่ทำให้การยืนยันตัวตนสองขั้นตอนผ่าน SMS ไม่ปลอดภัยคือ บริษัทต่างๆ มักจ้างตัวกลางในการส่งข้อความ SMS ในราคาที่ต่ำกว่า โดยทำสัญญากับผู้ให้บริการหลายรายและใช้ "หมายเลขเครือข่ายทั่วโลก" (global titles) ซึ่งเป็นที่อยู่เครือข่ายที่ใช้สำหรับการเชื่อมต่อระหว่างประเทศ จุดอ่อนของระบบนี้คือ บริษัทที่จ้างบริการเหล่านี้ไม่ได้ทำงานโดยตรงกับหน่วยงานอย่าง Fink Telecom Services แต่ทำงานผ่านผู้รับเหมาช่วงหลายชั้น ทำให้การรักษาความปลอดภัยของข้อมูลซับซ้อนยิ่งขึ้น
คุณฟาม มานห์ ควง ผู้ก่อตั้งบริษัท วิสเชน จำกัด อธิบายว่า วิธีการยืนยันตัวตนสองขั้นตอนผ่าน SMS ในปัจจุบันนั้นไม่ปลอดภัยอีกต่อไปแล้ว เนื่องจากแฮกเกอร์มีความซับซ้อนมากขึ้นเรื่อยๆ และสามารถใช้ช่องโหว่ในระบบรักษาความปลอดภัยเพื่อเข้าถึงข้อมูลได้อย่างง่ายดาย
รูปแบบหนึ่งของการโจมโจมแบบฟิชชิงที่พบได้บ่อยคือ การใช้ข้อความ อีเมล หรือเว็บไซต์ที่ดูเหมือนถูกต้องตามกฎหมาย เพื่อหลอกลวงผู้ใช้ให้ให้ข้อมูลที่สำคัญ เช่น ชื่อผู้ใช้ รหัสผ่าน หรือรหัส OTP
นอกจากนี้ เทคนิคการสลับซิมยังเป็นภัยคุกคามร้ายแรงอีกด้วย อาชญากรสามารถขโมยหมายเลขโทรศัพท์ของเหยื่อแล้วรับรหัสยืนยันที่ส่งมาทาง SMS ได้
นอกจากนี้ ผู้ใช้จำนวนมากยังคงมีนิสัยชอบติดตั้งซอฟต์แวร์จากแหล่งที่ไม่รู้จัก โดยเฉพาะบนอุปกรณ์ Android ซึ่งอาจนำไปสู่สปายแวร์หรือโปรแกรมดักจับการกดแป้นพิมพ์ที่สามารถบันทึกการกดแป้นพิมพ์และขโมยข้อมูลการเข้าสู่ระบบได้โดยไม่ได้รับอนุญาต
แม้ว่าการยืนยันตัวตนด้วย SMS ยังคงถือเป็นระดับการป้องกันระดับหนึ่ง แต่เมื่อเทียบกับวิธีการสมัยใหม่ เช่น Google Authenticator ซึ่งเป็นแอปพลิเคชันที่สร้างรหัสยืนยันแบบสุ่มที่เปลี่ยนแปลงทุก 30 วินาทีและไม่ขึ้นอยู่กับเครือข่ายมือถือ SMS ก็เริ่มเผยให้เห็นจุดอ่อนมากขึ้นเรื่อยๆ
ที่มา: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm
การแสดงความคิดเห็น (0)