אימות זהות בהודעות SMS? ההאקרים לא מתרשמים

האקרים החלו להשתמש בשיטות שמאפשרות לעקוף שיטות אימות דו-שלבי. חוקרים מחברת RSA גילו שהשימוש בשיטות הללו, שנשענות על משלוח SMS כדי לאשר את זהות המשתמש, ניתנות לעקיפה על ידי זיוף כרטיסי SIM.

השיטה עובדת כך: ההאקרים משיגים את פרטי ההתחברות של הקורבן על ידי משלוח של מייל פישינג. לאחר מכן הם מנצלים פרצת אבטחה ידועה במערך SS7 של ספקיות התקשורת שמשמש לניתוב וחיבור שיחות ומשלוח הודעות SMS. דרכה, הם מתחזים לטלפון של הקורבן ומקבלים את קוד האישור.

על פי דיווח של הפייננשל טיימס, ממשלת ארה"ב הזהירה את ספקית הסלולר T-Mobile, שחוותה ניסיון פריצה שלפי הערכת גורמי סייבר ממשלתיים, נועדה להשיג גישה לפרטי כרטיסי SIM. הודעות ה-SMS אינן מוצפנות, מה שמאפשר קריאה שלהן לאחר שיורטו, ומקל על תוקפים מתקדמים. שליחת הודעות SMS אינה טכניקת האימות הדו-שלבי היחידה בשוק, אם כי זו השיטה הנפוצה ביותר. בין היתר, ישנן שכבות אימות אחרות כסריקת טביעת אצבע או קוד מתחלף שמופק מאפליקציה מוצפנת. ואולם, שיטות אלה בטוחות בהרבה מהשימוש בהודעת טקסט פשוטה.

לאחרונה החלו כמה חברות טכנולוגיה להקשיח את האבטחה בשירותיהן. למשל, גוגל מציעה לעיתונאים, אנשי עסקים ואקטיביסטים להוסיף שכבת אימות נוספת שתקשה על פריצה למכשירים שלהם. ואולם, נראה שהפורצים אינם מתעניינים בעיתונאים ואקטיביסטים; לפי RSA רוב הקורבנות שזוהו היו בעלי ארנקי ביטקוין.

על אף היכולת לעקוף את אימות הזהות מבוסס ה-SMS, עדיין מומלץ להפעיל תכונה זו, שכן לא כל האקר יודע כיצד לנצל את הפרצות הרלוונטיות לעקיפת ההגנה. השימוש באימות כפול הוא עדיין הדרך הטובה ביותר להתמודד עם שורה ארוכה של ניסיונות פריצה.