SMS Based One Time Password: Risks and Safeguarding Tips

[ad_1]

डिजिटल दुनिया के विकास के साथ, ग्राहक पहचान को सुरक्षित करने की आवश्यकता भी विकसित हुई है। आज के ग्राहक संगठनों से सुरक्षित अनुभव की उम्मीद कर रहे हैं। क्लाउड आधारित सेवाओं और मोबाइल उपकरणों के बढ़ते उपयोग ने भी डेटा उल्लंघनों के जोखिम को बढ़ा दिया है। क्या आप जानते हैं कि कुल खाता हैकिंग घाटा ६१% बढ़कर २.३ अरब डॉलर हो गया और २०१४ की तुलना में घटनाएं ३१% तक बढ़ गईं?

एसएमएस आधारित वन-टाइम पासवर्ड वेब दुनिया में काउंटर फ़िशिंग और अन्य प्रमाणीकरण संबंधी सुरक्षा जोखिम से निपटने के लिए आविष्कार की गई एक तकनीक है। सामान्य तौर पर, एसएमएस आधारित ओटीपी का उपयोग दो कारक प्रमाणीकरण समाधानों में दूसरे कारक के रूप में किया जाता है। इसके लिए उपयोगकर्ताओं को वेबसाइट पर खुद को सत्यापित करने के लिए क्रेडेंशियल दर्ज करने के बाद एक अद्वितीय ओटीपी जमा करना होगा। 2FA हैकिंग की घटनाओं को कम करने और पहचान संबंधी धोखाधड़ी को रोकने का एक प्रभावी तरीका बन गया है।

लेकिन दुर्भाग्य से आजकल एसएमएस आधारित ओटीपी सुरक्षित नहीं है। इसके पीछे दो मुख्य कारण हैं:

  • सबसे पहले, एसएमएस आधारित ओटीपी की प्रमुख सुरक्षा टेक्स्ट संदेश की गोपनीयता पर निर्भर करती है। लेकिन यह एसएमएस सेलुलर नेटवर्क की सुरक्षा पर निर्भर करता है और हाल ही में, कई जीएसएम और 3 जी नेटवर्क ने निहित किया है कि इन एसएमएस की गोपनीयता अनिवार्य रूप से प्रदान नहीं की जा सकती है।
  • दूसरा, हैकर्स ग्राहकों के डेटा में घुसपैठ करने की पूरी कोशिश कर रहे हैं और इसलिए ग्राहकों के डेटा में शामिल होने के लिए कई विशेष मोबाइल फोन ट्रोजन विकसित किए हैं।

आइए उनके बारे में विस्तार से बात करते हैं!

एसएमएस आधारित ओटीपी से जुड़े प्रमुख जोखिम:

हमलावर का मुख्य लक्ष्य इस वन टाइम पासवर्ड को हासिल करना है और इसे संभव बनाने के लिए मोबाइल फोन ट्रोजन, वायरलेस इंटरसेप्शन, सिम स्वैप अटैक जैसे कई विकल्प विकसित किए गए हैं। आइए उन पर विस्तार से चर्चा करें:

1. वायरलेस अवरोधन:

ऐसे कई कारक हैं जो जीएसएम तकनीक को कम सुरक्षित बनाते हैं जैसे आपसी प्रमाणीकरण की कमी, मजबूत एन्क्रिप्शन एल्गोरिदम की कमी, आदि। यह भी पाया गया है कि मोबाइल फोन या बेस स्टेशनों के बीच संचार को छुपाया जा सकता है और कुछ प्रोटोकॉल कमजोरियों की मदद से, कर सकते हैं डिक्रिप्ट भी हो। इसके अलावा, यह पाया गया है कि स्त्री-कोशिकाओं का दुरुपयोग करके भी 3जी संचार को बाधित किया जा सकता है। इस हमले में, femtocell पर एक संशोधित फर्मवेयर स्थापित किया गया है। इस फर्मवेयर में सूँघने और अवरोधन की क्षमताएँ हैं। साथ ही इन उपकरणों का उपयोग मोबाइल फोन के खिलाफ बढ़ते हमलों के लिए किया जा सकता है।

2. मोबाइल फोन ट्रोजन:

मोबाइल उपकरणों के लिए नवीनतम बढ़ते खतरे मोबाइल फोन मैलवेयर, विशेष रूप से ट्रोजन हैं। इन मैलवेयर को विशेष रूप से वन टाइम पासवर्ड वाले एसएमएस को इंटरसेप्ट करने के लिए डिज़ाइन किया गया है। ऐसे मालवेयर बनाने के पीछे मुख्य लक्ष्य पैसा कमाना है। आइए विभिन्न प्रकार के ट्रोजन को समझते हैं जो एसएमएस आधारित ओटीपी चोरी करने में सक्षम हैं।

ट्रोजन का पहला ज्ञात टुकड़ा सिम्बियन OS के लिए ZITMO (Zeus In The Mobile) था। इस ट्रोजन को mTAN को इंटरसेप्ट करने के लिए विकसित किया गया था। ट्रोजन में खुद को सिम्बियन ओएस में पंजीकृत करने की क्षमता है ताकि जब वे एसएमएस को इंटरसेप्ट किया जा सके। इसमें संदेश अग्रेषण, संदेश हटाना आदि जैसी अधिक विशेषताएं शामिल हैं। हटाने की क्षमता इस तथ्य को पूरी तरह से छुपाती है कि संदेश कभी आया है।

फरवरी 2011 में विंडोज मोबाइल के लिए इसी तरह के ट्रोजन की पहचान की गई थी, जिसका नाम ट्रोजन-स्पाई.विनसी.ज़ोट.ए रखा गया था।

Android और RIM के ब्लैक बेरी के लिए ट्रोजन भी मौजूद हैं। ये सभी ज्ञात ट्रोजन उपयोगकर्ता द्वारा स्थापित सॉफ़्टवेयर हैं, यही कारण है कि वे प्रभावित प्लेटफ़ॉर्म की किसी भी सुरक्षा भेद्यता का लाभ नहीं उठाते हैं। इसके अलावा, वे उपयोगकर्ता को बाइनरी स्थापित करने के लिए मनाने के लिए सोशल इंजीनियरिंग का उपयोग करते हैं।

3. मुफ्त सार्वजनिक वाई-फाई और हॉटस्पॉट:

आजकल, मैलवेयर वितरित करने के लिए हैकर्स के लिए असुरक्षित वाईफाई नेटवर्क का उपयोग करना मुश्किल नहीं रह गया है। यदि आप पूरे नेटवर्क में फ़ाइल साझा करने की अनुमति दे रहे हैं, तो अपने मोबाइल डिवाइस पर एक संक्रमित सॉफ़्टवेयर लगाना कोई कठिन कार्य नहीं है। साथ ही, कुछ अपराधियों के पास कनेक्शन पॉइंट्स हैक करने की क्षमता भी है। इस प्रकार वे कनेक्शन प्रक्रिया के दौरान एक पॉप-अप विंडो प्रस्तुत करते हैं जो उनसे कुछ लोकप्रिय सॉफ़्टवेयर को अपग्रेड करने का अनुरोध करती है।

4. एसएमएस एन्क्रिप्शन और दोहराव:

संस्थान से ग्राहक को एसएमएस का प्रसारण सादे पाठ प्रारूप में होता है। और मेरे कहने की जरूरत है, यह एसएमएस एग्रीगेटर, मोबाइल विक्रेता, एप्लिकेशन प्रबंधन विक्रेता, आदि जैसे कई बिचौलियों से होकर गुजरता है और कमजोर सुरक्षा नियंत्रण वाले हैकर की कोई भी मिलीभगत एक बड़ा जोखिम पैदा कर सकती है। इसके अलावा कई बार हैकर फर्जी आईडी प्रूफ देकर सिम को ब्लॉक करवा देते हैं और मोबाइल ऑपरेटरों के रिटेल आउटलेट पर जाकर डुप्लीकेट सिम हासिल कर लेते हैं। अब हैकर अगर फ्री में सभी ओटीपी एक्सेस कर लेता है तो उस नंबर पर आ जाता है।

5. मैडवेयर:

मैडवेयर एक प्रकार का आक्रामक विज्ञापन है जो मुफ्त मोबाइल एप्लिकेशन प्रदान करके स्मार्टफोन के डेटा और स्थान के माध्यम से लक्षित विज्ञापन प्रदान करने में मदद करता है। लेकिन कुछ मैडवेयर में स्पाइवेयर की तरह काम करने की क्षमता होती है जिससे व्यक्तिगत डेटा को कैप्चर करने और उन्हें ऐप के मालिक को स्थानांतरित करने में सक्षम होता है।

उपाय क्या है?

एसएमएस आधारित भेद्यता के खिलाफ सुरक्षा सुनिश्चित करने के लिए कुछ रोकथाम उपायों को नियोजित करना आवश्यक है वन टाइम पासवर्ड. यहां कई समाधान हैं जैसे हार्डवेयर टोकन पेश करना। इस दृष्टिकोण में, लेन-देन करते समय, टोकन एक बार का पासवर्ड उत्पन्न करेगा। एक अन्य विकल्प एक स्पर्श प्रमाणीकरण प्रक्रिया का उपयोग कर रहा है। इसके अतिरिक्त, ओटीपी जनरेट करने के लिए मोबाइल फोन पर इंस्टॉल करने के लिए एक एप्लिकेशन की भी आवश्यकता हो सकती है। एसएमएस आधारित ओटीपी सुरक्षित करने के लिए नीचे दो और युक्तियां दी गई हैं:

1. एसएमएस एंड टू एंड एन्क्रिप्शन:

इस दृष्टिकोण में, एक बार के पासवर्ड की सुरक्षा के लिए एंड-टू-एंड एन्क्रिप्शन ताकि एसएमएस पर ध्यान दिए जाने पर इसकी उपयोगिता को दूर किया जा सके। यह आजकल अधिकांश मोबाइल फोन में उपलब्ध “एप्लिकेशन प्राइवेट स्टोरेज” का उपयोग करता है। यह स्थायी भंडारण क्षेत्र प्रत्येक एप्लिकेशन के लिए निजी है। इस डेटा को केवल उस ऐप द्वारा एक्सेस किया जा सकता है जो डेटा स्टोर कर रहा है। इस प्रक्रिया में पहले चरण में ओटीपी जनरेट करने की समान प्रक्रिया होती है, लेकिन दूसरे चरण में इस ओटीपी को ग्राहक केंद्रित कुंजी से एन्क्रिप्ट किया जाता है और ओटीपी ग्राहक के मोबाइल पर भेजा जाता है। रिसीवर के फोन पर, एक समर्पित एप्लिकेशन इस ओटीपी को डिक्रिप्ट करने के बाद प्रदर्शित करता है। इसका मतलब यह है कि भले ही ट्रोजन एसएमएस तक पहुंच प्राप्त करने में सक्षम हो, यह आवश्यक कुंजी के अभाव में ओटीपी को डिक्रिप्ट नहीं कर पाएगा।

2. मोबाइल के लिए वर्चुअल समर्पित चैनल:

चूंकि फोन ट्रोजन एसएमएस आधारित ओटीपी के लिए सबसे बड़ा खतरा हैं, चूंकि बड़े पैमाने पर ट्रोजन हमला करना अब मुश्किल नहीं है, इस प्रक्रिया के लिए ओएस से न्यूनतम समर्थन और मोबाइल नेटवर्क प्रदाताओं से न्यूनतम-से-कोई समर्थन की आवश्यकता नहीं है। इस समाधान में, कुछ एसएमएस को केवल एक विशेष चैनल या ऐप पर डिलीवर करके छिपकर बात करने से बचाया जाता है। प्रक्रिया के लिए मोबाइल फोन ओएस में एक समर्पित वर्चुअल चैनल की आवश्यकता होती है। यह चैनल कुछ संदेशों को एक विशिष्ट ओटीपी एप्लिकेशन पर पुनर्निर्देशित करता है जिससे वे छिपकर बातें करने से सुरक्षित हो जाते हैं। एप्लिकेशन निजी भंडारण का उपयोग इस सुरक्षा के लिए सुरक्षा सुनिश्चित करता है।

अंत में, कोई फर्क नहीं पड़ता कि आप कौन सी प्रक्रिया चुनते हैं, कोई भी तकनीक आपको 100% सुरक्षा सुनिश्चित नहीं कर सकती है। यहां मुख्य बात यह है कि तकनीक में हो रहे तेजी से हो रहे परिवर्तनों के प्रति चौकस और अद्यतन रहें।

[ad_2]

Leave a Reply

Your email address will not be published. Required fields are marked *