Согласно недавнему исследованию, миллионы людей подвергаются риску из-за все более широкого использования онлайн-сервисами ссылок для аутентификации на основе SMS. Эти ссылки, призванные упростить процесс входа в систему, делают пользователей уязвимыми для мошенничества, кражи личных данных и других преступлений.

Исследование, опубликованное на прошлой неделе, выявило более 700 конечных точек, отправляющих такие текстовые сообщения от имени более чем 175 сервисов. Эти сервисы охватывают широкий спектр секторов, включая страховые котировки, списки вакансий и рекомендации для сиделок и репетиторов. Вместо того чтобы требовать от пользователей создания и запоминания имен пользователей и паролей, эти сервисы часто запрашивают номер мобильного телефона при регистрации, а затем отправляют ссылки для аутентификации или пароли через SMS, когда пользователь хочет войти в систему.

Одной из ключевых уязвимостей, выявленных в исследовании, является использование легко перечисляемых ссылок. Это означает, что мошенники могут потенциально угадать ссылки, просто изменив токен безопасности, который обычно находится в конце URL-адреса. Манипулируя этими токенами, злоумышленники могут получить несанкционированный доступ к учетным записям пользователей.

Исследователи подчеркнули легкость, с которой эти атаки могут быть выполнены в масштабе. Автоматизированный характер доставки SMS и простота манипулирования токенами позволяют мошенникам относительно легко нацеливаться на большое количество пользователей одновременно.

Эксперты по безопасности советуют пользователям проявлять осторожность при переходе по ссылкам, полученным по SMS, особенно если они не были запрошены явно. Они также рекомендуют по возможности включать двухфакторную аутентификацию, используя более безопасные методы, такие как приложения-аутентификаторы, которые обеспечивают более высокий уровень защиты от фишинга и захвата учетных записей.

Результаты этого исследования подчеркивают растущую потребность в более надежных методах аутентификации, которые ставят во главу угла безопасность и конфиденциальность пользователей. Хотя аутентификация на основе SMS может предложить удобство, связанные с ней риски становятся все более очевидными, что вызывает призывы к более надежным и безопасным альтернативам.