Підтвердження входу через SMS дуже ризиковане; яка альтернатива?

За даними Yahoo, одноразові коди підтвердження (OTP), що надсилаються через SMS, все ще широко використовуються як другий рівень захисту в двофакторній автентифікації, допомагаючи користувачам входити в банківські програми, електронну пошту або соціальні мережі.

Однак Yahoo попереджає, що SMS є одним із найслабших методів безпеки, оскільки він дуже вразливий до фішингових атак.

Нещодавнє розслідування Bloomberg Businessweek та Lighthouse Reports виявило більший ризик: ці коди OTP можуть бути доступні третім особам. Зокрема, менш відома швейцарська телекомунікаційна компанія Fink Telecom Services отримала доступ до понад 1 мільйона повідомлень, що містили коди двофакторної автентифікації, у червні 2023 року.

Як посередник, що з'єднує компанії, що генерують коди автентифікації, та кінцевих користувачів, Fink Telecom Services має право обробляти та переглядати вміст повідомлень. Викликає занепокоєння те, що цю компанію підозрюють у стеженні за користувачами та втручанні в особисті облікові записи.

Витік кодів OTP надійшов від численних великих компаній, таких як Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp та багатьох банків у Європі. Повідомлення були надіслані користувачам у понад 100 країнах.

За даними Yahoo, основною причиною ненадійності двофакторної автентифікації через SMS є те, що компанії часто наймають посередників для надсилання SMS-повідомлень за нижчою ціною, через великі контракти з кількома операторами та «глобальні титули» – мережеві адреси, що використовуються для міжнародних з’єднань. Слабкість цієї системи полягає в тому, що компанії, які наймають ці послуги, не працюють безпосередньо з такими організаціями, як Fink Telecom Services, а через рівні субпідрядників, що ще більше ускладнює безпеку даних.

Пан Фам Мань Куонг, засновник Wischain Co., Ltd., пояснює, що нинішній метод двофакторної автентифікації через SMS більше не є безпечним, оскільки кіберзлочинці стають дедалі витонченішими, легко використовуючи вразливості в системах безпеки для отримання доступу.

Одна з поширених форм фішингової атаки полягає в використанні на перший погляд легітимних повідомлень, електронних листів або веб-сайтів, щоб обманом змусити користувачів надати конфіденційну інформацію, таку як імена користувачів, паролі або коди OTP.

Крім того, методи заміни SIM-карт також становлять серйозну загрозу. Злочинці можуть красти номери телефонів жертв, а потім отримувати коди підтвердження, надіслані через SMS.

Крім того, багато користувачів досі мають звичку встановлювати програмне забезпечення з невідомих джерел, особливо на пристроях Android, що призводить до появи шпигунських програм або кейлогерів, які можуть таємно записувати натискання клавіш та красти дані для входу.

Хоча SMS-автентифікація все ще вважається певним рівнем захисту, порівняно із сучасними методами, такими як Google Authenticator – програма, яка генерує випадкові коди автентифікації, що змінюються кожні 30 секунд і не залежать від мобільної мережі, – SMS дедалі більше демонструє свої слабкі місця.

Джерело: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm