এসএমএস লগইন প্রমাণীকরণ খুবই ঝুঁকিপূর্ণ, এর বিকল্প কী?

ইয়াহুর মতে, এসএমএসের মাধ্যমে প্রেরিত এককালীন প্রমাণীকরণ কোড (ওটিপি) এখনও দ্বি-ফ্যাক্টর প্রমাণীকরণ প্রক্রিয়ায় সুরক্ষার দ্বিতীয় স্তর হিসাবে ব্যাপকভাবে ব্যবহৃত হয়, যা ব্যবহারকারীদের ব্যাংকিং, ইমেল বা সামাজিক নেটওয়ার্কিং অ্যাপ্লিকেশনগুলিতে লগ ইন করতে সহায়তা করে।

তবে, ইয়াহু সতর্ক করে দিয়েছে যে এসএমএস হল সবচেয়ে দুর্বল নিরাপত্তা পদ্ধতিগুলির মধ্যে একটি কারণ এটি ফিশিং আক্রমণের জন্য খুবই ঝুঁকিপূর্ণ।

ব্লুমবার্গ বিজনেসউইক এবং লাইটহাউস রিপোর্টসের সাম্প্রতিক তদন্তে আরও বড় ঝুঁকি প্রকাশ পেয়েছে: এই ওটিপিগুলি তৃতীয় পক্ষ দ্বারা অ্যাক্সেস করা যেতে পারে। বিশেষ করে, স্বল্প পরিচিত সুইস টেলিযোগাযোগ সংস্থা ফিঙ্ক টেলিকম সার্ভিসেস ২০২৩ সালের জুন মাসে দ্বি-ফ্যাক্টর প্রমাণীকরণ কোড সম্বলিত ১০ লক্ষেরও বেশি বার্তায় অ্যাক্সেস পেয়েছিল।

প্রমাণীকরণ কোড তৈরিকারী কোম্পানি এবং শেষ ব্যবহারকারীদের মধ্যে মধ্যস্থতাকারী হিসেবে, ফিঙ্ক টেলিকম সার্ভিসেসের বার্তাগুলির বিষয়বস্তু প্রক্রিয়াকরণ এবং দেখার অধিকার রয়েছে। উদ্বেগজনক বিষয় হল এই কোম্পানিটিকে ব্যবহারকারীর নজরদারিতে অংশগ্রহণ এবং ব্যক্তিগত অ্যাকাউন্টে হস্তক্ষেপ করার সন্দেহ করা হচ্ছে।

ফাঁস হওয়া OTP গুলি গুগল, মেটা, অ্যামাজন, টিন্ডার, স্ন্যাপচ্যাট, বিন্যান্স, সিগন্যাল, হোয়াটসঅ্যাপ এবং বেশ কয়েকটি ইউরোপীয় ব্যাংকের মতো বড় কোম্পানি থেকে এসেছে। বার্তাগুলি ১০০ টিরও বেশি দেশের ব্যবহারকারীদের কাছে পাঠানো হয়েছিল।

ইয়াহুর মতে, এসএমএস টু-ফ্যাক্টর অথেনটিকেশন নিরাপদ না হওয়ার প্রধান কারণ হল, কোম্পানিগুলি প্রায়শই কম খরচে এসএমএস পাঠানোর আউটসোর্স করে, একাধিক ক্যারিয়ারের সাথে বৃহৎ চুক্তি এবং "গ্লোবাল টাইটেল" সিস্টেমের মাধ্যমে - বিভিন্ন দেশের সাথে সংযোগ স্থাপনের জন্য ব্যবহৃত নেটওয়ার্ক ঠিকানা। এই সিস্টেমের দুর্বলতা হল যে কোম্পানিগুলি তাদের নিয়োগ করে তারা সরাসরি ফিঙ্ক টেলিকম সার্ভিসেসের মতো সত্তার সাথে কাজ করে না, বরং সাব-কন্ট্রাক্টরের স্তরের মাধ্যমে কাজ করে, যা ডেটা সুরক্ষা নিশ্চিত করা আরও জটিল করে তোলে।

উইসচেইন কোম্পানি লিমিটেডের প্রতিষ্ঠাতা মিঃ ফাম মান কুওং ব্যাখ্যা করেছেন যে এসএমএস বার্তার মাধ্যমে দ্বি-ফ্যাক্টর প্রমাণীকরণ পদ্ধতি আজ আর নিরাপদ নয় কারণ সাইবার আক্রমণকারীরা ক্রমশ উন্নত হচ্ছে, সহজেই অ্যাক্সেস পাওয়ার জন্য সুরক্ষা ব্যবস্থার দুর্বলতার সুযোগ নেয়।

ফিশিং আক্রমণের সবচেয়ে সাধারণ ধরণগুলির মধ্যে একটি হল যেখানে একটি আপাতদৃষ্টিতে সুনামধন্য বার্তা, ইমেল বা ওয়েবসাইট ব্যবহার করে ব্যবহারকারীদের ব্যবহারকারীর নাম, পাসওয়ার্ড বা OTP কোডের মতো সংবেদনশীল তথ্য সরবরাহ করার জন্য প্রতারণা করা হয়।

শুধু তাই নয়, সিম সোয়াপিংও একটি গুরুতর হুমকি। প্রতারকরা ভিকটিমদের ফোন নম্বর চুরি করতে পারে, যেখান থেকে তারা এসএমএসের মাধ্যমে প্রেরিত প্রমাণীকরণ কোডগুলি পায়।

এছাড়াও, অনেক ব্যবহারকারীর এখনও অজানা উৎসের সফ্টওয়্যার ইনস্টল করার অভ্যাস রয়েছে, বিশেষ করে অ্যান্ড্রয়েড ডিভাইসে, যার ফলে স্পাইওয়্যার বা কীলগার তৈরি হয় যা গোপনে কীবোর্ড টাইপিং রেকর্ড করতে পারে, যার ফলে অ্যাক্সেস তথ্য চুরি হয়।

যদিও এসএমএস প্রমাণীকরণকে এখনও সুরক্ষার একটি নির্দিষ্ট স্তর হিসেবে বিবেচনা করা হয়, গুগল অথেন্টিকেটরের মতো আধুনিক পদ্ধতির তুলনায় - একটি অ্যাপ্লিকেশন যা প্রতি 30 সেকেন্ডে পরিবর্তিত হয় এবং মোবাইল নেটওয়ার্ক থেকে স্বাধীন - এসএমএস ক্রমবর্ধমানভাবে তার দুর্বলতাগুলি প্রদর্শন করছে।

সূত্র: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm