Согласно недавно опубликованному исследованию, миллионы людей подвергаются риску мошенничества и кражи личных данных из-за веб-сайтов, которые аутентифицируют пользователей с помощью ссылок и кодов, отправляемых по SMS. Эта практика, призванная упростить процесс входа в систему, делает пользователей уязвимыми для целого ряда преступлений.

В исследовательской работе, опубликованной на прошлой неделе, было выявлено более 700 конечных точек, отправляющих такие текстовые сообщения от имени более чем 175 сервисов. Эти сервисы охватывают различные сектора, включая предложения страхования, списки вакансий и рекомендации для сиделок и репетиторов. Вместо того чтобы требовать от пользователей создания и запоминания имен пользователей и паролей, эти сервисы запрашивают номер мобильного телефона при регистрации, а затем отправляют ссылки для аутентификации или пароли по SMS, когда пользователь хочет войти в систему.

Ключевая уязвимость заключается в использовании легко перечисляемых ссылок, как говорится в исследовании. Мошенники могут потенциально угадать эти ссылки, изменив токен безопасности, который обычно находится в конце URL-адреса. Это позволяет им обойти предполагаемого пользователя и получить несанкционированный доступ к учетным записям.

"Легкость, с которой можно манипулировать этими ссылками, вызывает тревогу", - сказал [Expert Name], ведущий автор исследования и исследователь в области кибербезопасности. "Это открывает злоумышленникам возможность взломать учетные записи пользователей в большом масштабе".

В последние годы возросла зависимость от SMS-аутентификации, поскольку компании стремятся упростить взаимодействие с пользователем. Однако эксперты по безопасности давно предупреждали о неотъемлемых рисках использования номеров телефонов в качестве основного фактора аутентификации. SMS-сообщения не шифруются и могут быть перехвачены или подделаны.

В исследовании подчеркивается необходимость использования более надежных методов аутентификации, таких как многофакторная аутентификация (MFA), которая использует комбинацию факторов, включая то, что пользователь знает (пароль), то, что у пользователя есть (телефон), и то, чем пользователь является (биометрия).

Хотя в исследовании не были названы конкретные затронутые сервисы, в нем настоятельно рекомендуется пользователям проявлять осторожность при нажатии на ссылки, полученные по SMS, и включать MFA, когда это возможно. Исследователи также призвали компании внедрять более безопасные методы аутентификации для защиты своих пользователей от потенциального вреда.