การยืนยันตัวตนเข้าสู่ระบบด้วย SMS มีความเสี่ยงมาก ทางเลือกอื่นคืออะไร?

ตามที่ Yahoo ระบุ รหัสยืนยันตัวตนแบบครั้งเดียว (OTP) ที่ส่งผ่าน SMS ยังคงถูกใช้กันอย่างแพร่หลายเป็นชั้นการป้องกันชั้นที่สองในกระบวนการยืนยันตัวตนแบบสองปัจจัย โดยช่วยให้ผู้ใช้สามารถเข้าสู่ระบบธนาคาร อีเมล หรือแอปพลิเคชันเครือข่ายโซเชียลได้

อย่างไรก็ตาม Yahoo เตือนว่า SMS เป็นหนึ่งในวิธีการรักษาความปลอดภัยที่อ่อนแอที่สุด เนื่องจากมีความเสี่ยงต่อการโจมตีแบบฟิชชิ่งมาก

การสืบสวนเมื่อเร็วๆ นี้โดย Bloomberg Businessweek และ Lighthouse Reports เผยให้เห็นถึงความเสี่ยงที่ร้ายแรงกว่า นั่นคือ OTP เหล่านี้อาจถูกเข้าถึงโดยบุคคลที่สาม โดยเฉพาะอย่างยิ่ง บริษัทโทรคมนาคมสัญชาติสวิสที่ไม่ค่อยเป็นที่รู้จักอย่าง Fink Telecom Services สามารถเข้าถึงข้อความที่มีรหัสยืนยันตัวตนแบบสองขั้นตอนมากกว่า 1 ล้านข้อความในเดือนมิถุนายน 2566

ในฐานะตัวกลางระหว่างบริษัทที่สร้างรหัสยืนยันตัวตนและผู้ใช้ปลายทาง Fink Telecom Services มีสิทธิ์ในการประมวลผลและดูเนื้อหาของข้อความ สิ่งที่น่ากังวลคือบริษัทนี้ถูกสงสัยว่ามีส่วนร่วมในการเฝ้าระวังผู้ใช้และแทรกแซงบัญชีส่วนบุคคล

รหัส OTP ที่รั่วไหลมาจากบริษัทใหญ่ๆ เช่น Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp และธนาคารหลายแห่งในยุโรป ข้อความเหล่านี้ถูกส่งไปยังผู้ใช้ในกว่า 100 ประเทศ

Yahoo ระบุว่า สาเหตุหลักที่การยืนยันตัวตนแบบสองปัจจัยผ่าน SMS ไม่ปลอดภัยนั้นเป็นเพราะบริษัทต่างๆ มักจ้างผู้ให้บริการภายนอก (outsource) ให้ส่ง SMS ด้วยต้นทุนที่ต่ำกว่า ผ่านสัญญาขนาดใหญ่กับผู้ให้บริการหลายราย และระบบ "ชื่อโดเมนทั่วโลก" หรือที่อยู่เครือข่ายที่ใช้เชื่อมต่อข้ามประเทศ จุดอ่อนของระบบนี้คือบริษัทที่จ้างระบบนี้ไม่ได้ทำงานโดยตรงกับบริษัทอย่าง Fink Telecom Services แต่ทำงานผ่านผู้รับเหมาช่วงหลายชั้น ทำให้การรับประกันความปลอดภัยของข้อมูลมีความซับซ้อนมากขึ้น

นาย Pham Manh Cuong ผู้ก่อตั้งบริษัท Wischain Company Limited อธิบายว่า วิธีการยืนยันตัวตนแบบสองปัจจัยผ่านข้อความ SMS ไม่ปลอดภัยอีกต่อไปแล้ว เนื่องจากผู้โจมตีทางไซเบอร์มีความซับซ้อนมากขึ้นเรื่อยๆ โดยใช้ประโยชน์จากช่องโหว่ในระบบรักษาความปลอดภัยเพื่อเข้าถึงข้อมูลได้อย่างง่ายดาย

รูปแบบการโจมตีแบบฟิชชิ่งที่พบบ่อยที่สุดรูปแบบหนึ่ง คือ การใช้ข้อความ อีเมล หรือเว็บไซต์ที่ดูน่าเชื่อถือ เพื่อหลอกผู้ใช้ให้ให้ข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้ รหัสผ่าน หรือรหัส OTP

ไม่เพียงเท่านั้น การเปลี่ยนซิมยังเป็นภัยคุกคามร้ายแรงอีกด้วย มิจฉาชีพสามารถขโมยหมายเลขโทรศัพท์ของเหยื่อ ซึ่งจะได้รับรหัสยืนยันตัวตนที่ส่งมาทาง SMS

นอกจากนี้ ผู้ใช้จำนวนมากยังคงมีนิสัยติดตั้งซอฟต์แวร์ที่ไม่ทราบแหล่งที่มา โดยเฉพาะในอุปกรณ์ Android ซึ่งทำให้เกิดสปายแวร์หรือคีย์ล็อกเกอร์ที่สามารถบันทึกการพิมพ์แป้นพิมพ์ได้อย่างลับๆ จึงสามารถขโมยข้อมูลการเข้าถึงได้

แม้ว่าการตรวจสอบสิทธิ์ผ่าน SMS ยังคงถือเป็นชั้นการป้องกันระดับหนึ่ง เมื่อเทียบกับวิธีการสมัยใหม่ เช่น Google Authenticator ซึ่งเป็นแอปพลิเคชันที่สร้างรหัสการตรวจสอบสิทธิ์แบบสุ่มที่เปลี่ยนแปลงทุก 30 วินาที และไม่ขึ้นอยู่กับเครือข่ายมือถือ แต่ SMS กลับมีจุดอ่อนเพิ่มมากขึ้นอย่างเห็นได้ชัด

ที่มา: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm