Mēs, iespējams, visi esam saņēmuši apstiprinājuma kodus, kas nosūtīti, izmantojot īsziņu, mēģinot pierakstīties kontā. Paredzams, ka šie kodi kalpos kā divu faktoru autentifikācija, lai apstiprinātu mūsu identitāti un neļautu krāpniekiem piekļūt mūsu kontiem, izmantojot tikai paroli. Guess kurš patiesībā rīkojas ar šiem SMS kodiem, un vai šiem cilvēkiem var uzticēties?
Jauni ziņojumi no abiem Bloombergs un sadarbības izmeklēšanas ziņu telpa Bākas ziņojumi Izkliedējiet to, kā un kāpēc uz tekstu balstīti kodi var apdraudēt cilvēkus. Savos ziņojumos abas organizācijas atklāja, ka no telefona industrijas ziņotāja ieguva vismaz miljonu datu pakešu. Paketēs bija SMS ziņojumi ar divu faktoru autentifikācijas kodiem, kurus saņēmuši atsevišķi lietotāji.
Arī: kāpēc daudzfaktoru autentifikācija ir absolūti būtiska 2025. gadā
Var domāt, ka šādus ziņojumus tieši apstrādā uzņēmumi un vietnes, kurās jums ir konts. Guess, pamatojoties uz Bloomberg un Lighthouse veikto analīzi, tas nebūt nav. Šajā gadījumā ziņojumi tika nodoti caur pretrunīgi vērtēto Šveices apģērbu ar nosaukumu Fink Telecom Companies. Un Bloomberg lietoja terminu pretrunīgi vērtētais, lai aprakstītu Finku kāda iemesla dēļ.
“Uzņēmums un tā dibinātājs ir sadarbojies ar valdības spiegu aģentūrām un uzraudzības nozares darbuzņēmējiem, lai apsekotu mobilos tālruņus un izsekotu lietotāju atrašanās vietu,” ziņoja Bloomberg. “Kiberdrošības pētnieki un izmeklēšanas žurnālisti ir publicējuši ziņojumus, apgalvojot, ka Finka iesaistīšanās vairākos gadījumos, kad iefiltrējas privātie tiešsaistes konti.”
Analizējot datus, Bloomberg un Lighthouse atklāja, ka sūtītāju vidū ir tādi nozīmīgi tehnoloģiju atskaņotāji kā Google, Meta un Amazon. Arī sajaukumā bija vairākas Eiropas bankas, tādas lietotnes kā Tinder un momentuzņēmums, Binance Cryptourrency Alternate un pat šifrētas tērzēšanas lietotnes, piemēram, Sign un WhatsApp.
Kāpēc uzņēmumi varētu uzticēt divu faktoru autentifikācijas kodus ārējam pakalpojumu sniedzējam, it īpaši tādu, kam ir pretrunīgi vērtēta reputācija? Ērtība un nauda. Ārējie darbuzņēmēji bieži var apstrādāt šāda veida īsziņas lētāk un viegli nekā paši uzņēmumi. Tas jo īpaši attiecas uz to, ja biznesam ir jātiek galā ar klientiem visā pasaulē, course of, kas var būt sarežģīts un dārgs.
Tā vietā uzņēmumi pievēršas tādiem pakalpojumu sniedzējiem kā Fink Telecom, jo viņiem ir piekļuve “globālajiem nosaukumiem”. Izšķirt Globālais nosaukums ir tīkla adrese, kas ļauj pārvadātājiem sazināties dažādās valstīs. Tas liek šķist, ka uzņēmums atrodas tajā pašā valstī, kurā ir kāds no klientiem. Savā analīzē bāka sacīja, ka atklāj, ka Finks izmanto globālos nosaukumus Namībijā, Čečenijā, Lielbritānijā un tās dzimtajā Šveicē.
Arī: Vai jums ir jauns paroļu pārvaldnieks? Neatstājiet savus vecos pieteikumus, kas pakļauti mākonī – dariet to tālāk
Lai arī šādu ziņojumu ārpakalpojumu prakse var būt lietderīga, tā tomēr riskē. Pagājušā gada aprīlī Lielbritānijas tālruņu regulators ofcom Aizliegta globālā titula noma Lielbritānijas pārvadātājiematsaucoties uz draudiem mobilo tālruņu lietotājiem.
Galvenais jautājums šeit ir, vai Bloomberg un Lighthouse pārbaudītie dati kādreiz bija apdraudēti. Apmaiņā ar Bloomberg Fink Telecom izpilddirektors Andreass Finks sacīja: “Mūsu uzņēmums nodrošina infrastruktūru un tehniskos pakalpojumus, ieskaitot signalizācijas un maršrutēšanas iespējas. Mēs neanalizējam un neiejaucamies satiksmē, kuru pārsūtījuši mūsu klienti vai viņu pakārtotie partneri.”
Runājot par uzņēmumiem, kas veic ārpakalpojumus, Google, Meta, Sign un Binance sacīja Bloomberg, ka tie nedarbojas tieši ar Fink Telecom. Google piebilda, ka tas attālinās no SMS kā veidu, kā autentificēt kontus, savukārt Signāls sacīja, ka tas piedāvā veidus, kā novērst SMS ievainojamības. Meta pārstāvis sacīja Bloomberg, ka tas brīdināja savus partnerus neiesaistīties Fink Telecom.
Alternatīvas SMS
Neatkarīgi no tā, vai tika atklāti attiecīgie dati, problēma paliek tā pati. Tā kā SMS trūkst pareizas šifrēšanas, tas nekad nav bijis drošs un drošs veids, kā apmainīties ar autentifikācijas kodiem vai citu privātu informāciju. Šī iemesla dēļ visiem uzņēmumiem jāpārtrauc to lietot un pievērsties spēcīgākām metodēm. Protams, tas ir vieglāk pateikt nekā izdarīt. Tomēr joprojām ir soļi, kurus varat veikt, lai izvairītos no šī slazda.
Arī: labākās 2025. gada drošības atslēgas: pārbaudīts eksperts
Iestatot konta divu faktoru autentifikāciju, neizvēlieties SMS opciju. Tā vietā izmantojiet fiziskās drošības atslēgu vai, vieglāk, autentifikatora lietotni, piemēram, Microsoft Authenticator vai Google Authenticator. Šādās lietotnēs tiek parādīts kods, kas jums jāievada vietnē vai lietotnē, lai apstiprinātu pieteikšanos. Tā kā kodi mainās ik pēc 30 sekundēm un tiek ģenerēti jūsu ierīcē, šī metode ir daudz spēcīgāka un daudz izturīgāka pret zādzībām nekā SMS.
Iegūstiet rīta labākos stāstus katru dienu ar mūsu iesūtni Tech šodien biļetens.
