Sekarang kita tahu bahwa nama pengguna dan kata sandi tidak cukup untuk mengakses layanan online dengan aman. Sebuah studi baru-baru ini menyoroti lebih dari 80% dari semua pelanggaran terkait peretasan terjadi karena kredensial yang dikompromikan dan lemah, dengan tiga miliar kombinasi nama pengguna/kata sandi dicuri pada tahun 2016 saja.
Dengan demikian, penerapan otentikasi dua faktor (2FA) telah menjadi suatu keharusan. Secara umum, 2FA bertujuan untuk memberikan lapisan keamanan tambahan ke sistem nama pengguna/kata sandi yang relatif rentan.
Tetapi seperti halnya solusi keamanan siber yang baik, penyerang dapat dengan cepat menemukan cara untuk menghindarinya. Mereka dapat melewati 2FA melalui one time code (kode satu kali) yang dikirim melalui SMS ke ponsel cerdas pengguna.
Vendor besar seperti Microsoft telah mendesak pengguna untuk meninggalkan solusi 2FA yang memanfaatkan SMS dan panggilan suara. Ini karena SMS terkenal memiliki keamanan yang sangat buruk, membiarkannya terbuka untuk sejumlah serangan yang berbeda.
Kode satu kali berbasis SMS juga terbukti dikompromikan melalui alat yang tersedia seperti Modlishka dengan memanfaatkan teknik yang disebut reverse proxy. Ini memfasilitasi komunikasi antara korban dan layanan yang dipalsukan.
Selain kerentanan yang ada ini, tim The Next Web telah menemukan kerentanan tambahan di 2FA berbasis SMS. Satu serangan tertentu mengeksploitasi fitur yang disediakan di Google Play Store untuk menginstal aplikasi secara otomatis dari web ke perangkat android Anda.
Eksperimen The Next Web mengungkapkan aktor jahat dapat mengakses 2FA berbasis SMS pengguna dari jarak jauh dengan sedikit usaha, melalui penggunaan aplikasi populer (nama dan jenis dirahasiakan karena alasan keamanan) yang dirancang untuk menyinkronkan notifikasi pengguna di berbagai perangkat.
Secara khusus, penyerang dapat memanfaatkan kombinasi email/kata sandi yang disusupi yang terhubung ke akun Google untuk secara jahat memasang aplikasi message mirroring yang tersedia di smartphone korban melalui Google Play.
Setelah aplikasi diinstal, penyerang dapat menerapkan teknik rekayasa sosial sederhana untuk meyakinkan pengguna agar mengaktifkan izin yang diperlukan agar aplikasi berfungsi dengan baik.
Meskipun beberapa kondisi harus dipenuhi agar serangan yang disebutkan di atas berfungsi, itu masih menunjukkan sifat rapuh dari metode 2FA berbasis SMS.
Selengkapnya: The Next Web
