एक हालिया अध्ययन के अनुसार, ऑनलाइन सेवाओं द्वारा SMS-आधारित प्रमाणीकरण लिंक के बढ़ते उपयोग के कारण लाखों लोग खतरे में हैं। शोधकर्ताओं ने पाया कि ये लिंक, जिनका उद्देश्य लॉग इन प्रक्रिया को सरल बनाना है, उपयोगकर्ताओं को घोटालों, पहचान की चोरी और अन्य अपराधों के प्रति संवेदनशील बना रहे हैं।

पिछले सप्ताह प्रकाशित अध्ययन में 175 से अधिक सेवाओं की ओर से ऐसे टेक्स्ट भेजने वाले 700 से अधिक एंडपॉइंट्स की पहचान की गई। बीमा उद्धरण प्रदाताओं से लेकर नौकरी लिस्टिंग साइटों और पालतू जानवरों की देखभाल करने वालों और ट्यूटर्स के लिए रेफरल प्लेटफॉर्म तक, ये सेवाएं पारंपरिक उपयोगकर्ता नाम और पासवर्ड सिस्टम की जटिलताओं को दरकिनार करने के लिए तेजी से SMS प्रमाणीकरण पर निर्भर हैं। इसके बजाय, उपयोगकर्ता साइनअप के दौरान अपना सेल फोन नंबर प्रदान करते हैं और जब वे लॉग इन करना चाहते हैं तो टेक्स्ट संदेश के माध्यम से प्रमाणीकरण लिंक या पासकोड प्राप्त करते हैं।

अनुसंधान में पहचानी गई एक प्रमुख भेद्यता आसानी से गणना योग्य लिंक का उपयोग है। इसका मतलब है कि स्कैमर संभावित रूप से सुरक्षा टोकन को संशोधित करके वैध लिंक का अनुमान लगा सकते हैं, जो आमतौर पर URL के अंत में वर्णों की एक स्ट्रिंग होती है। इन टोकन को व्यवस्थित रूप से बदलकर, दुर्भावनापूर्ण अभिनेता उपयोगकर्ता खातों तक अनधिकृत पहुंच प्राप्त कर सकते हैं।

अध्ययन के प्रमुख लेखक ने कहा, "जिस आसानी से इन लिंक में हेरफेर किया जा सकता है, वह उपयोगकर्ता की गोपनीयता और सुरक्षा के लिए एक महत्वपूर्ण खतरा है।" "सेवाओं को अपने उपयोगकर्ताओं को संभावित नुकसान से बचाने के लिए अधिक मजबूत प्रमाणीकरण विधियों को अपनाने की आवश्यकता है।"

SMS-आधारित प्रमाणीकरण पर निर्भरता हाल के वर्षों में इसकी कथित सुविधा के कारण बढ़ी है। हालांकि, सुरक्षा विशेषज्ञों ने लंबे समय से इस पद्धति से जुड़े अंतर्निहित जोखिमों के बारे में चेतावनी दी है। SMS संदेश एन्क्रिप्टेड नहीं होते हैं और दुर्भावनापूर्ण अभिनेताओं द्वारा इंटरसेप्ट किए जा सकते हैं। इसके अतिरिक्त, फोन नंबरों को स्पूफ किया जा सकता है, जिससे हमलावरों को वैध सेवाओं के रूप में प्रतिरूपण करने और धोखाधड़ी वाले लिंक भेजने की अनुमति मिलती है।

अध्ययन के निष्कर्ष ऑनलाइन सेवाओं के लिए अपनी प्रमाणीकरण प्रथाओं का पुनर्मूल्यांकन करने और अधिक सुरक्षित विकल्पों को अपनाने की तत्काल आवश्यकता पर प्रकाश डालते हैं, जैसे कि प्रमाणीकरणकर्ता ऐप्स या हार्डवेयर सुरक्षा कुंजियों का उपयोग करके बहु-कारक प्रमाणीकरण। उपभोक्ताओं को टेक्स्ट संदेश के माध्यम से प्राप्त लिंक पर क्लिक करते समय सावधान रहने और कोई भी व्यक्तिगत जानकारी दर्ज करने से पहले प्रेषक की वैधता को सत्यापित करने की भी सलाह दी जाती है।