Einer aktuellen Studie zufolge sind Millionen von Menschen durch die zunehmende Verwendung von SMS-basierten Authentifizierungslinks durch Online-Dienste gefährdet. Forscher fanden heraus, dass diese Links, die den Anmeldeprozess vereinfachen sollen, Benutzer anfällig für Betrug, Identitätsdiebstahl und andere Straftaten machen.

Die letzte Woche veröffentlichte Studie identifizierte über 700 Endpunkte, die solche Texte im Namen von mehr als 175 Diensten liefern. Diese Dienste, die von Anbietern von Versicherungsangeboten über Jobbörsen bis hin zu Empfehlungsplattformen für Tierbetreuer und Tutoren reichen, verlassen sich zunehmend auf die SMS-Authentifizierung, um die Komplexität traditioneller Benutzername- und Passwortsysteme zu umgehen. Stattdessen geben Benutzer bei der Anmeldung ihre Handynummer an und erhalten Authentifizierungslinks oder Passcodes per SMS, wenn sie sich anmelden möchten.

Eine wichtige im Rahmen der Forschung identifizierte Schwachstelle ist die Verwendung von leicht aufzählbaren Links. Dies bedeutet, dass Betrüger potenziell gültige Links erraten können, indem sie einfach das Sicherheitstoken ändern, das typischerweise eine Zeichenfolge am Ende der URL ist. Durch systematisches Ändern dieser Token können böswillige Akteure unbefugten Zugriff auf Benutzerkonten erhalten.

"Die Leichtigkeit, mit der diese Links manipuliert werden können, stellt eine erhebliche Bedrohung für die Privatsphäre und Sicherheit der Benutzer dar", erklärte der Hauptautor der Studie. "Dienste müssen robustere Authentifizierungsmethoden einführen, um ihre Benutzer vor potenziellem Schaden zu schützen."

Die Abhängigkeit von SMS-basierter Authentifizierung hat in den letzten Jahren aufgrund ihrer vermeintlichen Bequemlichkeit zugenommen. Sicherheitsexperten warnen jedoch seit langem vor den inhärenten Risiken dieser Methode. SMS-Nachrichten sind nicht verschlüsselt und können von böswilligen Akteuren abgefangen werden. Darüber hinaus können Telefonnummern gefälscht werden, sodass Angreifer legitime Dienste imitieren und betrügerische Links versenden können.

Die Ergebnisse der Studie unterstreichen die dringende Notwendigkeit für Online-Dienste, ihre Authentifizierungspraktiken zu überdenken und sicherere Alternativen einzuführen, wie z. B. Multi-Faktor-Authentifizierung mit Authentifizierungs-Apps oder Hardware-Sicherheitsschlüsseln. Verbrauchern wird außerdem geraten, beim Anklicken von Links, die sie per SMS erhalten, vorsichtig zu sein und die Legitimität des Absenders zu überprüfen, bevor sie persönliche Daten eingeben.