Согласно недавнему исследованию, миллионы людей подвергаются риску из-за растущего использования онлайн-сервисами ссылок для аутентификации на основе SMS. Исследователи обнаружили, что эти ссылки, предназначенные для упрощения процесса входа в систему, делают пользователей уязвимыми для мошенничества, кражи личных данных и других преступлений.

В исследовании, опубликованном на прошлой неделе, было выявлено более 700 конечных точек, отправляющих такие текстовые сообщения от имени более чем 175 сервисов. Эти сервисы, начиная от поставщиков страховых котировок и заканчивая сайтами с объявлениями о работе и реферальными платформами для сиделок и репетиторов, все чаще полагаются на SMS-аутентификацию, чтобы обойти сложности традиционных систем с использованием имени пользователя и пароля. Вместо этого пользователи указывают свой номер мобильного телефона при регистрации и получают ссылки для аутентификации или пароли в текстовом сообщении, когда хотят войти в систему.

Ключевой уязвимостью, выявленной в исследовании, является использование легко перечисляемых ссылок. Это означает, что мошенники потенциально могут угадать действительные ссылки, просто изменив токен безопасности, который обычно представляет собой строку символов в конце URL-адреса. Систематически изменяя эти токены, злоумышленники могут получить несанкционированный доступ к учетным записям пользователей.

"Легкость, с которой можно манипулировать этими ссылками, представляет значительную угрозу для конфиденциальности и безопасности пользователей", - заявил ведущий автор исследования. "Сервисам необходимо внедрить более надежные методы аутентификации, чтобы защитить своих пользователей от потенциального вреда".

В последние годы зависимость от SMS-аутентификации возросла из-за ее кажущегося удобства. Однако эксперты по безопасности давно предупреждали о неотъемлемых рисках, связанных с этим методом. SMS-сообщения не шифруются и могут быть перехвачены злоумышленниками. Кроме того, номера телефонов можно подделать, что позволяет злоумышленникам выдавать себя за законные сервисы и отправлять мошеннические ссылки.

Результаты исследования подчеркивают острую необходимость для онлайн-сервисов пересмотреть свои методы аутентификации и внедрить более безопасные альтернативы, такие как многофакторная аутентификация с использованием приложений-аутентификаторов или аппаратных ключей безопасности. Потребителям также рекомендуется проявлять осторожность при нажатии на ссылки, полученные в текстовом сообщении, и проверять подлинность отправителя, прежде чем вводить какую-либо личную информацию.