یاہو کے مطابق، ایس ایم ایس کے ذریعے بھیجے جانے والے ون ٹائم توثیقی کوڈز (OTP) کو اب بھی دو عنصر کی تصدیق کے عمل میں تحفظ کی دوسری تہہ کے طور پر استعمال کیا جاتا ہے، جس سے صارفین کو بینکنگ، ای میل یا سوشل نیٹ ورکنگ ایپلی کیشنز میں لاگ ان کرنے میں مدد ملتی ہے۔
تاہم، یاہو نے خبردار کیا ہے کہ ایس ایم ایس سیکیورٹی کے کمزور ترین طریقوں میں سے ایک ہے کیونکہ یہ فشنگ حملوں کے لیے بہت زیادہ خطرناک ہے۔
بلومبرگ بزنس ویک اور لائٹ ہاؤس رپورٹس کی ایک حالیہ تحقیقات نے ایک بڑا خطرہ ظاہر کیا: ان OTPs تک تیسرے فریق کے ذریعے رسائی حاصل کی جا سکتی ہے۔ خاص طور پر، غیر معروف سوئس ٹیلی کمیونیکیشن کمپنی Fink Telecom Services نے جون 2023 میں 10 لاکھ سے زیادہ پیغامات تک رسائی حاصل کی تھی جن میں ٹو فیکٹر تصدیقی کوڈز تھے۔
تصدیقی کوڈز بنانے والی کمپنیوں اور آخری صارفین کے درمیان ایک ثالث کے طور پر، Fink Telecom Services کو پیغامات کے مواد پر کارروائی اور دیکھنے کا حق حاصل ہے۔ تشویشناک بات یہ ہے کہ اس کمپنی پر صارف کی نگرانی میں حصہ لینے اور ذاتی اکاؤنٹس میں مداخلت کا شبہ ظاہر کیا گیا ہے۔
ایس ایم ایس کو سیکیورٹی کے کمزور ترین طریقوں میں سے ایک سمجھا جاتا ہے کیونکہ اس تک تیسرے فریق کے ذریعے رسائی حاصل کی جاسکتی ہے۔
لیک ہونے والے OTPs بڑی کمپنیوں جیسے کہ گوگل، میٹا، ایمیزون، ٹنڈر، اسنیپ چیٹ، بائننس، سگنل، واٹس ایپ اور کئی یورپی بینکوں سے آئے تھے۔ یہ پیغامات 100 سے زائد ممالک کے صارفین کو بھیجے گئے تھے۔
یاہو کے مطابق، ایس ایم ایس کے دو عنصر کی تصدیق کے محفوظ نہ ہونے کی بنیادی وجہ یہ ہے کہ کمپنیاں اکثر ایک سے زیادہ کیریئرز کے ساتھ بڑے معاہدوں اور "عالمی عنوانات" کے نظام کے ذریعے کم قیمت پر ایس ایم ایس بھیجنے کو آؤٹ سورس کرتی ہیں۔ اس نظام کی کمزوری یہ ہے کہ جو کمپنیاں ان کو ملازمت دیتی ہیں وہ براہ راست فنک ٹیلی کام سروسز جیسے اداروں کے ساتھ کام نہیں کرتی ہیں، بلکہ ذیلی ٹھیکیداروں کی تہوں کے ذریعے ڈیٹا کی حفاظت کو یقینی بنانے کے لیے اسے مزید پیچیدہ بناتی ہیں۔
وسچین کمپنی لمیٹڈ کے بانی مسٹر فام مانہ کوونگ نے وضاحت کی کہ ایس ایم ایس پیغامات کے ذریعے دو فیکٹر تصدیق کا طریقہ آج محفوظ نہیں ہے کیونکہ سائبر حملہ آور تیزی سے نفیس ہوتے جا رہے ہیں، آسانی سے رسائی حاصل کرنے کے لیے سیکیورٹی سسٹم میں موجود کمزوریوں کا فائدہ اٹھاتے ہیں۔
فشنگ حملوں کی سب سے عام شکلوں میں سے ایک یہ ہے کہ جہاں ایک بظاہر معروف پیغام، ای میل، یا ویب سائٹ کا استعمال صارفین کو حساس معلومات جیسے کہ صارف نام، پاس ورڈ یا OTP کوڈ فراہم کرنے کے لیے دھوکہ دینے کے لیے کیا جاتا ہے۔
یہی نہیں، سم سویپنگ بھی ایک سنگین خطرہ ہے۔ جعلساز متاثرہ شخص کا فون نمبر چوری کر سکتے ہیں، جس سے انہیں ایس ایم ایس کے ذریعے بھیجے گئے تصدیقی کوڈ موصول ہوتے ہیں۔
اس کے علاوہ، بہت سے صارفین کو اب بھی نامعلوم اصل کا سافٹ ویئر انسٹال کرنے کی عادت ہے، خاص طور پر اینڈرائیڈ ڈیوائسز پر، جس کی وجہ سے اسپائی ویئر یا کی لاگرز ہوتے ہیں جو خفیہ طور پر کی بورڈ ٹائپنگ کو ریکارڈ کر سکتے ہیں، اور اس طرح رسائی کی معلومات چوری کرتے ہیں۔
اگرچہ Google Authenticator جیسے جدید طریقوں کے مقابلے میں SMS کی توثیق کو اب بھی تحفظ کی ایک خاص تہہ سمجھا جاتا ہے - ایک ایسی ایپلی کیشن جو بے ترتیب تصدیقی کوڈز تیار کرتی ہے جو ہر 30 سیکنڈ میں تبدیل ہوتی ہے اور موبائل نیٹ ورکس سے آزاد ہوتی ہے - SMS تیزی سے اپنی کمزوریوں کو ظاہر کر رہا ہے۔
ماخذ: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm
تبصرہ (0)