Laut einer kürzlich veröffentlichten Studie sind Millionen von Menschen durch Websites, die Nutzer über Links und Codes authentifizieren, die per SMS versendet werden, von Betrug und Identitätsdiebstahl bedroht. Diese Praxis, die den Anmeldeprozess vereinfachen soll, macht Nutzer anfällig für eine Reihe von Straftaten.

Die Forschungsarbeit, die letzte Woche veröffentlicht wurde, identifizierte mehr als 700 Endpunkte, die solche Texte im Namen von über 175 Diensten versenden. Diese Dienste erstrecken sich über verschiedene Sektoren, darunter Versicherungsangebote, Stellenangebote und Vermittlungen für Tierbetreuer und Nachhilfelehrer. Anstatt von den Nutzern zu verlangen, Benutzernamen und Passwörter zu erstellen und sich zu merken, fragen diese Dienste bei der Anmeldung nach einer Handynummer und senden dann Authentifizierungslinks oder Passwörter per SMS, wenn sich der Nutzer anmelden möchte.

Eine Hauptschwachstelle liegt in der Verwendung von leicht aufzählbaren Links, so die Studie. Betrüger können diese Links möglicherweise erraten, indem sie das Sicherheitstoken ändern, das sich typischerweise am Ende der URL befindet. Dies ermöglicht es ihnen, den beabsichtigten Nutzer zu umgehen und sich unbefugten Zugriff auf Konten zu verschaffen.

"Die Leichtigkeit, mit der diese Links manipuliert werden können, ist alarmierend", sagte [Expert Name], Hauptautor der Studie und Cybersicherheitsforscher. "Es öffnet böswilligen Akteuren Tür und Tor, um Benutzerkonten in großem Umfang zu kompromittieren."

Die Abhängigkeit von der SMS-basierten Authentifizierung hat in den letzten Jahren zugenommen, da Unternehmen bestrebt sind, die Benutzerfreundlichkeit zu verbessern. Sicherheitsexperten warnen jedoch seit langem vor den inhärenten Risiken der Verwendung von Telefonnummern als primären Authentifizierungsfaktor. SMS-Nachrichten sind nicht verschlüsselt und können abgefangen oder gefälscht werden.

Die Studie unterstreicht die Notwendigkeit stärkerer Authentifizierungsmethoden, wie z. B. die Multi-Faktor-Authentifizierung (MFA), die eine Kombination von Faktoren verwendet, darunter etwas, das der Benutzer weiß (Passwort), etwas, das der Benutzer hat (Telefon) und etwas, das der Benutzer ist (Biometrie).

Obwohl die Studie die betroffenen Dienste nicht namentlich nannte, forderte sie die Nutzer auf, beim Anklicken von Links, die sie per SMS erhalten, vorsichtig zu sein und MFA nach Möglichkeit zu aktivieren. Die Forscher forderten die Unternehmen außerdem auf, sicherere Authentifizierungsverfahren einzuführen, um ihre Nutzer vor potenziellen Schäden zu schützen.