हाल ही में प्रकाशित शोध के अनुसार, लाखों लोग उन वेबसाइटों के कारण धोखाधड़ी और पहचान की चोरी के जोखिम में हैं जो एसएमएस के माध्यम से भेजे गए लिंक और कोड के माध्यम से उपयोगकर्ताओं को प्रमाणित करती हैं। लॉग इन प्रक्रिया को सरल बनाने के इरादे से की गई यह प्रथा, उपयोगकर्ताओं को कई तरह के अपराधों के प्रति संवेदनशील बनाती है।
पिछले सप्ताह जारी किए गए शोध पत्र में 175 से अधिक सेवाओं की ओर से ऐसे टेक्स्ट भेजने वाले 700 से अधिक एंडपॉइंट्स की पहचान की गई। ये सेवाएं बीमा उद्धरण, नौकरी लिस्टिंग और पालतू जानवरों की देखभाल करने वालों और ट्यूटर्स के लिए रेफरल सहित विभिन्न क्षेत्रों में फैली हुई हैं। उपयोगकर्ताओं को उपयोगकर्ता नाम और पासवर्ड बनाने और याद रखने की आवश्यकता के बजाय, ये सेवाएं साइनअप के दौरान एक सेल फोन नंबर मांगती हैं और फिर जब उपयोगकर्ता लॉग इन करना चाहता है तो एसएमएस के माध्यम से प्रमाणीकरण लिंक या पासकोड भेजती हैं।
पेपर में पाया गया कि एक प्रमुख भेद्यता आसानी से गणना किए जा सकने वाले लिंक के उपयोग में निहित है। स्कैमर्स संभावित रूप से सुरक्षा टोकन को संशोधित करके इन लिंक का अनुमान लगा सकते हैं, जो आमतौर पर यूआरएल के अंत में पाया जाता है। यह उन्हें इच्छित उपयोगकर्ता को बायपास करने और खातों तक अनधिकृत पहुंच प्राप्त करने की अनुमति देता है।
अध्ययन के प्रमुख लेखक और साइबर सुरक्षा शोधकर्ता [Expert Name] ने कहा, "जिस आसानी से इन लिंक में हेरफेर किया जा सकता है वह चिंताजनक है।" "यह दुर्भावनापूर्ण अभिनेताओं के लिए बड़े पैमाने पर उपयोगकर्ता खातों से समझौता करने का द्वार खोलता है।"
कंपनियों द्वारा उपयोगकर्ता अनुभव को सुव्यवस्थित करने की कोशिश के कारण हाल के वर्षों में एसएमएस-आधारित प्रमाणीकरण पर निर्भरता बढ़ी है। हालांकि, सुरक्षा विशेषज्ञों ने लंबे समय से फोन नंबरों को प्राथमिक प्रमाणीकरण कारक के रूप में उपयोग करने के अंतर्निहित जोखिमों के बारे में चेतावनी दी है। एसएमएस संदेश एन्क्रिप्टेड नहीं होते हैं और इन्हें इंटरसेप्ट या स्पूफ किया जा सकता है।
शोध मजबूत प्रमाणीकरण विधियों की आवश्यकता पर प्रकाश डालता है, जैसे कि मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) जो कारकों के संयोजन का उपयोग करता है, जिसमें वह चीज शामिल है जो उपयोगकर्ता जानता है (पासवर्ड), वह चीज जो उपयोगकर्ता के पास है (फोन), और वह चीज जो उपयोगकर्ता है (बायोमेट्रिक्स)।
हालांकि पेपर में प्रभावित विशिष्ट सेवाओं का नाम नहीं बताया गया, लेकिन इसने उपयोगकर्ताओं से एसएमएस के माध्यम से प्राप्त लिंक पर क्लिक करते समय सावधान रहने और जब भी संभव हो एमएफए को सक्षम करने का आग्रह किया। शोधकर्ताओं ने कंपनियों से अपने उपयोगकर्ताओं को संभावित नुकसान से बचाने के लिए अधिक सुरक्षित प्रमाणीकरण प्रथाओं को अपनाने का भी आह्वान किया।
Discussion
Join the conversation
Be the first to comment