Zašto autorizacija SMS porukom nije više sigurna?

Question

Nedavno je i Microsoft najavio svim svojim partnerima da prestanu koristiti SMS autorizacije (kada Vam na SMS pošalju neki kod koji morate prepisati) te da se okrenu token generatorima (2FA) na mobitelima (posebne aplikacije koje generiraju vremenski ograničene kodove; Microsoft ima jednu, Google drugu, ...).

Čak je i Erste banka rekla da više online plaćanje karticama neće biti autorizirano SMS porukom već mToken-om u George internet banking aplikaciji.

Zašto više nije sigurno autorizirati se kodom u SMS poruci???

Comments

Inače, i SMS autorizacija je oblik 2FA autorizacije. No, kako sam objasnio niže u odgovoru - nije dovoljno siguran za današnje potrebe u svijetu.‌

Answer 1

Tako je! Ovjera tj . autorizacija SMS porukom se više nigdje u svijetu ne smatra sigurnom!!! Prošli su dani kada se smatrala. Evo i zašto kroz jednu priču iz povijesti....

Sredinom 2016. godine sigurnosno je bio ugrožen Twitter račun jednog korisnika. Na društvenoj mreži Twitter korisnik je napisao kako je haker nazvao Verizon (op.aut. američki telekom operater) te uspješno promijenivši SIM karticu njegovog telefona zaobišao dvo-faktorsku autentifikaciju (2FA) koju je taj korisnik imao na svim svojim računima. To se naziva "prijevara SIM zamjene" (eng. SIM swap scam). Kao što vidite, prevara SIM zamjene postoji već neko vrijeme. Ali i duže! Prema američkoj instituciji "U.S. Fair Trade Commission" prijavljeni slučajevi prevara sa zamjenom SIM-a povećavaju se od 2013. godine (od kada ih statistički bilježe), narastavši te 2016. godine na 2.658 slučajeva. Tada je to i potaknulo državu New York da izda upozorenje o prevari SIM zamjene.

Navedena prevara SIM zamjene fokusirane se na prikupljanje što više podataka o žrtvi napada. U današnje vrijeme nije teško pronaći nečije pravo ime i prezime, datum rođenja, adresu i brojeve telefona budući da većina ljudi te podatke daje na društvenim mrežama dobrovoljno. Nakon što hakeri dobiju dovoljno podataka o žrtvi, nazvat će žrtvinog telekom operatera (mobilnog operatera; kod nas T-Mobile, A1, Tele2/Telemach, ...) i zamoliti korisničku službu da aktivira drugu SIM karticu koju haker ima u svom posjedu. Korisnička služba postavit će sigurnosna pitanja hakeru, a haker će odgovoriti agentu korisničke službe koristeći se podacima koje je pribavio. Kad imaju pristup telefonskom broju žrtve, mogu ugroziti sve račune koji koriste autentifikaciju putem SMS poruka.

Stoga je veliki Microsoft odlučio postepeno prestati koristiti autorizaciju putem SMS poruka i to objavio svim svojim korisnicima te putem mnogih medija krajem 2020. godine.

U svakom slučaju, ovo je početak kraja autentifikacije putem SMS poruka, te će ju najvjerojatnije zamijeniti autentifikacija korisnika putem popularnih autentifikacijskih mobilnih aplikacija (isto 2FA ali na drugačiji način) koje besplatno nude npr. i Google i Microsoft, ali i mnogi manje poznati proizvođači. Iz ove slike saznajte kako rade takvi sustavi autorizacije pomoću mobilne aplikacije:

A ovdje ih možete i preuzeti na svoj mobitel:

• Google Authenticator: DOWNLOAD (za Android)
• Microsoft Authenticator: DOWNLOAD (za Android)

Zanimljivo je da upravo Google-ovu mobilnu aplikaciju za 2FA koriste skoro sve kripto mjenjačnice koje su poznate po velikoj fleksibilnosti, a najvišim razinama sigurnosti s obzirom da rade s kripto-valutama i novčanim vrijednostima. Također, zanimljivo je da su do nedavno sve banke u Hrvatskoj koristile SMS autentifikaciju za 2FA provjeru, dok ju čak i danas neke koriste kod kartičnog plaćanja. Normalno da plaćanje karticama nije sigurno na internetu - ali samo zbog nazadne tehnologije koje neke naše banke koriste. U svijetu je sigurnost na internetu itekako napredovala.

Za kraj - zaboravite ubuduće na SMS autoriziranje ako želite ostati sigurni na internetu.

Comments

Da, čitao sam o ovome. Malo se piše o ovome jer nije u interesu kompanijama koje zasnivaju svoje poslovanje na SMS-ovima da se ovo zna. Npr. domaći Infobip.‌

---

Šta? Onda više da ne koristim sms za banku i te autorizacije?!??? Zašto to nitko ne govori???‌

---

Darija, ne trebate paničariti jer bez obzira što ova metoda autorizacije korisnika putem kratkih poruka nije sigurna, to u konačnici ne znači da će bas Vas hakeri odabrati kao vektor napada. Zbog toga je najčešće ta usluga i dalje dostupna i nudi se korisnicima koji statistički gledano nisu izloženi ovakvim napadima. No, činjenica i dalje stoji da SMS autorizacija nije sigurna kada je i ovdje na Znatku objašnjeno kako se može s njom manipulirati.‌

Answer 2

Živimo u vremenu kada tehnologija iz ''momenta u momenat'' raste, s tim Cyber terorizam jača. Naši bankovni računi, e-mail, facebook, i ostali društveni računi i platforme su postale velika meta za kriminalce tj. cyber teroriste, te nažalost on jača. Mnogo država, vlada i velikih kompanija je napadnuto od strane Cyber terorista, te upravo zbog toga je došlo do stvaranja 2FA generatora, to je odgovor na pitanje zasto autorizacija kodom u SMS poruci više nije jaka i dovoljna,

Ako stranica traži samo lozinku a nema opciju 2FA generatora, postoji vrlo dobra sansa da ona moze biti napadnuta tj. hakirana od strane hakera. Ima vise vrsta 2FA generatora kao sto su:

• 2FA generator s tokenima (svakih 30 sekunda dolazi novi kod)
• SMS bazirana vrsta 2FA generatora (nakon pisanja korisnickog imena i lozinke, kod dolazi na mobitel)
• 2FA generator baziran na glasa (dobijete poziv gdje vam se kod javi verbalno)
• 2FA aplikacija (logiranje u aplikaciju sa korisnickim imenom i lozinkom koja nam izbaci jedno minutni kod)

Iskreno, 2FA generator mi se cini kao vrlo dobar ''štit'' protiv bilo kakvih cyber napada i hakera te bi ga iskreno preporucio svakom, također ovdje je jedan video koji se isplati pogledati.
 

Comments

2FA je rješenje. Pa i onaj najnoviji Passkey od gugla radi na taj način.‌

Answer 3

Evo sada je i Erste banka kod nas objavila nedavno da od 23.11.2020. kupnje na internetu potvrđujemo samo mTokenom koji je dio mobilnih aplikacija mBanking i George. 

Prije su sve autorizacije transakcija radili putem SMS poruka...

Dobro je to Web Ninja objasnio ovdje

Evo što kaže Erste banka na svom webu:

Dosad ste vjerodostojnost online kupnje potvrđivali SMS kôdom koji bi vam stigao na broj mobitela naveden prilikom ugovaranja usluga Erste banke. No od 23.11.2020. taj se način autentifikacije ukida i uvodi se jednokratna zaporka kroz mToken kao novo sredstvo potvrde. Internetske kupnje odsad ćete potvrđivati mTokenom, a pronaći ćete ga u aplikaciji George ili mBanking.

 

Comments

Eto, oni su se pobrinuli za svoje korisnike za razliku od nekih drugih banaka koje i dalje koriste SMS autorizacije koje već odavno nisu sigurne. Google je nedavno uveo Passkey opciju i to je nešto čemu bi trebalo težiti i u bankarskom sektoru.‌

---

Roberte, nego... hmmm... zašto ga zovete Web Ninja kad se čovjek zove Darko Međimurec?‌