Η επαλήθευση ταυτότητας σύνδεσης μέσω SMS είναι πολύ επικίνδυνη, ποια είναι η εναλλακτική λύση;

Σύμφωνα με την Yahoo, οι κωδικοί ελέγχου ταυτότητας μίας χρήσης (OTP) που αποστέλλονται μέσω SMS εξακολουθούν να χρησιμοποιούνται ευρέως ως δεύτερο επίπεδο προστασίας στη διαδικασία ελέγχου ταυτότητας δύο παραγόντων, βοηθώντας τους χρήστες να συνδέονται σε εφαρμογές τραπεζικών συναλλαγών, email ή κοινωνικής δικτύωσης.

Ωστόσο, η Yahoo προειδοποιεί ότι τα SMS είναι μια από τις πιο αδύναμες μεθόδους ασφαλείας, επειδή είναι πολύ ευάλωτα σε επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing).

Μια πρόσφατη έρευνα από το Bloomberg Businessweek και το Lighthouse Reports αποκάλυψε έναν μεγαλύτερο κίνδυνο: αυτοί οι κωδικοί OTP θα μπορούσαν να είναι προσβάσιμοι από τρίτους. Συγκεκριμένα, η ελάχιστα γνωστή ελβετική εταιρεία τηλεπικοινωνιών Fink Telecom Services είχε πρόσβαση σε περισσότερα από 1 εκατομμύριο μηνύματα που περιείχαν κωδικούς επαλήθευσης δύο παραγόντων τον Ιούνιο του 2023.

Ως ενδιάμεσος μεταξύ των εταιρειών που δημιουργούν κωδικούς ελέγχου ταυτότητας και των τελικών χρηστών, η Fink Telecom Services έχει το δικαίωμα να επεξεργάζεται και να βλέπει το περιεχόμενο των μηνυμάτων. Αυτό που ανησυχεί είναι ότι η εν λόγω εταιρεία έχει υποψιαστεί ότι συμμετέχει στην παρακολούθηση χρηστών και παρεμβαίνει σε προσωπικούς λογαριασμούς.

Τα διαρρεύσαντα OTP προέρχονταν από μεγάλες εταιρείες όπως η Google, η Meta, η Amazon, η Tinder, η Snapchat, η Binance, η Signal, η WhatsApp και αρκετές ευρωπαϊκές τράπεζες. Τα μηνύματα στάλθηκαν σε χρήστες σε περισσότερες από 100 χώρες.

Σύμφωνα με την Yahoo, ο κύριος λόγος για τον οποίο η επαλήθευση ταυτότητας δύο παραγόντων SMS δεν είναι ασφαλής είναι επειδή οι εταιρείες συχνά αναθέτουν σε εξωτερικούς συνεργάτες την αποστολή SMS με χαμηλότερο κόστος, μέσω μεγάλων συμβάσεων με πολλαπλούς παρόχους και ενός συστήματος «παγκόσμιων τίτλων» - διευθύνσεων δικτύου που χρησιμοποιούνται για σύνδεση μεταξύ χωρών. Η αδυναμία αυτού του συστήματος είναι ότι οι εταιρείες που τις προσλαμβάνουν δεν συνεργάζονται απευθείας με οντότητες όπως η Fink Telecom Services, αλλά μέσω επιπέδων υπεργολάβων, γεγονός που καθιστά πιο περίπλοκη την εξασφάλιση της ασφάλειας των δεδομένων.

Ο κ. Pham Manh Cuong, ιδρυτής της Wischain Company Limited, εξήγησε ότι η μέθοδος ελέγχου ταυτότητας δύο παραγόντων μέσω μηνυμάτων SMS δεν είναι πλέον ασφαλής σήμερα, επειδή οι κυβερνοεπιτιθέμενοι είναι ολοένα και πιο εξελιγμένοι, εκμεταλλευόμενοι εύκολα τα τρωτά σημεία του συστήματος ασφαλείας για να αποκτήσουν πρόσβαση.

Μία από τις πιο συνηθισμένες μορφές επιθέσεων ηλεκτρονικού "ψαρέματος" (phishing) είναι η χρήση ενός φαινομενικά αξιόπιστου μηνύματος, email ή ιστότοπου για να ξεγελάσει τους χρήστες ώστε να παρέχουν ευαίσθητες πληροφορίες, όπως ονόματα χρήστη, κωδικούς πρόσβασης ή κωδικούς OTP.

Όχι μόνο αυτό, αλλά και η ανταλλαγή SIM αποτελεί σοβαρή απειλή. Οι απατεώνες μπορούν να κλέψουν τον αριθμό τηλεφώνου του θύματος, από τον οποίο λαμβάνουν κωδικούς ελέγχου ταυτότητας που αποστέλλονται μέσω SMS.

Επιπλέον, πολλοί χρήστες εξακολουθούν να έχουν τη συνήθεια να εγκαθιστούν λογισμικό άγνωστης προέλευσης, ειδικά σε συσκευές Android, γεγονός που οδηγεί σε spyware ή keyloggers που μπορούν να καταγράφουν κρυφά την πληκτρολόγηση με το πληκτρολόγιο, κλέβοντας έτσι πληροφορίες πρόσβασης.

Ενώ η επαλήθευση ταυτότητας μέσω SMS εξακολουθεί να θεωρείται ένα συγκεκριμένο επίπεδο προστασίας, σε σύγκριση με σύγχρονες μεθόδους όπως το Google Authenticator - μια εφαρμογή που δημιουργεί τυχαίους κωδικούς επαλήθευσης που αλλάζουν κάθε 30 δευτερόλεπτα και είναι ανεξάρτητη από τα δίκτυα κινητής τηλεφωνίας - τα SMS εμφανίζουν ολοένα και περισσότερες αδυναμίες.

Πηγή: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm