Аутентифікація входу через SMS дуже ризикована, яка альтернатива?

За даними Yahoo, одноразові коди автентифікації (OTP), що надсилаються через SMS, все ще широко використовуються як другий рівень захисту в процесі двофакторної автентифікації, допомагаючи користувачам входити в банківські послуги, електронну пошту або соціальні мережі.

Однак Yahoo попереджає, що SMS є одним із найслабших методів безпеки, оскільки він дуже вразливий до фішингових атак.

Нещодавнє розслідування Bloomberg Businessweek та Lighthouse Reports виявило більший ризик: ці коди OTP можуть бути доступні третім особам. Зокрема, маловідома швейцарська телекомунікаційна компанія Fink Telecom Services мала доступ до понад 1 мільйона повідомлень, що містили коди двофакторної автентифікації, у червні 2023 року.

Як посередник між компаніями, що генерують коди автентифікації, та кінцевими користувачами, Fink Telecom Services має право обробляти та переглядати вміст повідомлень. Викликає занепокоєння те, що цю компанію підозрюють в участі в діяльності зі моніторингу користувачів та втручанні в особисті облікові записи.

Витік кодів OTP надійшов від багатьох великих компаній, таких як Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp та багатьох банків у Європі. Повідомлення були надіслані користувачам у понад 100 країнах.

За даними Yahoo, основна причина, чому двофакторна автентифікація через SMS не є безпечною, полягає в тому, що компанії часто наймають посередників для надсилання SMS-повідомлень за нижчою ціною, через великі контракти з кількома операторами та систему «глобальних титулів» – мережевих адрес, що використовуються для з’єднання між країнами. Слабкість цієї системи полягає в тому, що компанії-наймачі працюють не безпосередньо з такими підрозділами, як Fink Telecom Services, а через рівні субпідрядників, що ускладнює забезпечення безпеки даних.

Пан Фам Мань Куонг, засновник Wischain Company Limited, пояснив, що метод двофакторної автентифікації за допомогою SMS-повідомлень сьогодні більше не є безпечним, оскільки кіберзлочинці стають дедалі витонченішими та легко користуються вразливостями в системі безпеки для отримання доступу.

Одна з найпоширеніших форм фішингових атак полягає в тому, що використовуються на перший погляд надійні повідомлення, електронні листи або веб-сайти, щоб обманом вимагати від користувачів надання конфіденційної інформації, такої як імена користувачів, паролі або одноразові паролі.

Крім того, серйозною загрозою є заміна SIM-картки. Шахраї можуть вкрасти номер телефону жертви, з якого вони можуть отримувати коди автентифікації, що надсилаються через SMS.

Крім того, багато користувачів досі мають звичку встановлювати програмне забезпечення невідомого походження, особливо на пристроях Android, що призводить до появи шпигунських програм або кейлогерів, які можуть таємно записувати введення тексту на клавіатурі, тим самим крадучи інформацію для доступу.

Хоча SMS-автентифікація все ще вважається певним рівнем захисту, порівняно із сучасними методами, такими як Google Authenticator – програма, яка генерує випадкові коди автентифікації, що змінюються кожні 30 секунд і не залежить від мобільних мереж, – SMS дедалі більше демонструє свої слабкі сторони.

Джерело: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm