چطور یک واسطه گمنام می‌تواند به کدهای ورود دو مرحله‌ای شما دسترسی پیدا کند؟

هر روز میلیون‌ها نفر برای ورود به ایمیل، حساب بانکی یا شبکه‌های اجتماعی، علاوه بر رمز عبور، یک کد یک‌بار مصرف از طریق پیامک دریافت می‌کنند. این کدها معمولاً با این هشدار همراهند: «این کد را با کسی به اشتراک نگذارید.» اما واقعیت این است که نه فرستنده و نه گیرنده نمی‌دانند چند نفر یا چه شرکت‌هایی قبل از رسیدن پیامک به مقصد، آن را دیده‌اند یا می‌توانند ببینند.

زنجیره طولانی واسطه‌ها

زمانی که یک شرکت مثل گوگل یا فیسبوک کد ورود دو مرحله‌ای تولید می‌کند، این پیام مستقیماً از سرورهای شرکت به گوشی شما ارسال نمی‌شود. معمولاً شرکت‌ها این وظیفه را به شرکت‌های ارسال پیامک می‌سپارند؛ شرکت‌هایی که به عنوان واسطه عمل می‌کنند و پیام‌ها را از طریق چندین شبکه و سرویس مختلف تا مقصد هدایت می‌کنند. پیچیدگی این زنجیره آن‌قدر زیاد است که عملاً کسی نمی‌داند چه شرکت‌هایی در این مسیر قرار گرفته‌اند یا چه کسی دستش به متن پیام‌ها می‌رسد.

یک افشاگر صنعت مخابرات اخیراً داده‌هایی را در اختیار خبرگزاری بلومبرگ و موسسه تحقیقاتی Lighthouse Reports قرار داده که نشان می‌دهد در ماه ژوئن ۲۰۲۳، حدود یک میلیون پیامک حاوی کد ورود دو مرحله‌ای از طریق یک شرکت سوئیسی به نام فینک تلکام Services عبور کرده‌اند. این شرکت و بنیان‌گذارش، سابقه همکاری با سرویس‌های جاسوسی و شرکت‌های فعال در نظارت و ردیابی موبایل را دارند. بر اساس اسناد و تحقیقات خبرنگاران و کارشناسان امنیت، فینک تلکام چندین بار به عنوان بازیگر در نفوذ به حساب‌های خصوصی کاربران مطرح شده است.

چه شرکت‌هایی درگیر ماجرا هستند؟

داده‌های افشا شده شامل پیام‌هایی با کدهای ورود از شرکت‌هایی مانند گوگل، متا (فیسبوک و اینستاگرام)، آمازون، چندین بانک اروپایی، اپلیکیشن‌هایی مثل تیندر و اسنپ‌چت، صرافی بایننس و حتی پلتفرم‌های پیام‌رسان رمزنگاری شده مثل سیگنال و واتساپ است. این پیام‌ها به کاربران بیش از ۱۰۰ کشور و پنج قاره ارسال شده‌اند.

اما نکته اینجاست که هیچ‌کدام از این شرکت‌ها مستقیماً با فینک تلکام قرارداد ندارند و اصولاً نمی‌دانند پیام‌هایشان در نهایت از چه مسیرهایی عبور می‌کند. همه این مسیرها پشت قراردادهای متعدد و زیرپیمان‌کاری‌های پنهان است.

ضعف ساختاری SMS

SMS یا همان پیامک، یک فناوری قدیمی و ساده است که برای انتقال پیام طراحی شده بود و هیچ فکر جدی برای رمزنگاری یا امنیت آن نشده است. هر واسطه‌ای که پیام را پردازش می‌کند، می‌تواند به راحتی محتوای آن را ببیند. این یعنی اگر یک شرکت واسطه (یا حتی یکی از پیمانکارهای آن) اراده کند، دسترسی کامل به کدهای حساس کاربران دارد.

یک مشکل اساسی دیگر این صنعت، نبود قانون‌گذاری و نظارت کافی است. هر کسی می‌تواند وارد این بازار شود و با چند قرارداد ساده، روزانه میلیاردها پیامک را مدیریت کند؛ بدون آنکه نیاز به مجوز یا کنترل جدی از سوی دولت‌ها داشته باشد.

کارشناسان می‌گویند همین خلأ قانونی و ضعف امنیتی باعث شده بازار واسطه‌ها برای ارسال پیامک به بازاری چند ده میلیارد دلاری تبدیل شود. شرکت‌های بزرگ به‌دنبال صرفه‌جویی و سرعت، فرایند ارسال پیامک را به پیمانکارها و پیمانکارهای کوچک‌تر می‌سپارند و همین مسئله راه را برای نفوذ و سوءاستفاده باز گذاشته است.

چه کسانی پشت ماجرا هستند؟

شرکت فینک تلکام و موسس آن، آندریاس فینک، حتی با وجود تعداد کم پرسنل (کمتر از ده نفر)، موفق شده‌اند با اپراتورهای مخابراتی در کشورهای مختلف قرارداد ببندند و از امتیازاتی به نام «Global Title» استفاده کنند؛ نوعی شماره شناسایی بین‌المللی که اجازه می‌دهد پیامک‌ها را در سراسر دنیا جابه‌جا کنند.

هرچند آندریاس فینک در پاسخ به خبرنگاران مدعی شده شرکتش دیگر فعالیت نظارتی ندارد و اساساً پیام‌ها را نمی‌بیند، اما شواهد و تحقیقات مختلف چیز دیگری را نشان می‌دهد. حتی سازمان‌های صنفی صنعت مخابرات هشدار داده‌اند که اجاره دادن این امتیازات به شرکت‌های ثالث، ریسک امنیتی بزرگی ایجاد می‌کند. اخیراً هم رگولاتوری بریتانیا این کار را ممنوع کرده است.

نمونه‌هایی از نفوذ

گزارش‌ها و تحقیقات مختلف نشان می‌دهد که از سال ۲۰۲۰ تاکنون، چندین بار هکرها با استفاده از شرکت‌هایی مثل فینک تلکام یا زیرمجموعه‌هایش (مثل SMSRelay) موفق به دسترسی به کدهای ورود دو مرحله‌ای کاربران شده‌اند. یکی از این موارد مربوط به نفوذ به حساب ایمیل و رمزارز حدود ۲۰ سرمایه‌گذار اسرائیلی بوده که هکر با سوءاستفاده از زیرساخت یک شرکت مرتبط با فینک، کد ورودها را دریافت کرده و وارد حساب کاربران شده است.

حتی گروه‌های هکری معروفی مثل Team Jorge هم طبق گزارش‌ها، از خدمات شرکت‌های واسطه برای نفوذ به شبکه‌های اجتماعی و پیام‌رسان‌ها استفاده کرده‌اند.

چرا همچنان SMS استفاده می‌شود؟

با وجود تمام این تهدیدها، هنوز بسیاری از شرکت‌های بزرگ دنیا برای احراز هویت و افزایش امنیت کاربران به SMS وابسته‌اند. دلیل اصلی، سادگی و دسترسی همگانی این فناوری است. اما حالا شرکت‌هایی مثل گوگل صراحتاً اعلام کرده‌اند که به سمت روش‌های امن‌تر مثل اپلیکیشن‌های احراز هویت (Authenticator) یا استفاده از QR Code حرکت می‌کنند.

کارشناسان امنیتی همواره تاکید می‌کنند که کاربران بهتر است از اپلیکیشن‌های احراز هویت یا روش‌های بیومتریک (مثل اثر انگشت یا تشخیص چهره) استفاده کنند؛ چون این روش‌ها به جای پیامک، کد را مستقیماً داخل گوشی کاربر تولید می‌کنند و دیگر خبری از واسطه‌های متعدد در انتقال پیام نیست.

کلام آخر

صنعت ارسال پیامک برای احراز هویت، با وجود ظاهر ساده و قابل اعتماد، در بطن خود پر از نقاط ضعف و گلوگاه‌های امنیتی است. وقتی چند واسطه ناشناس می‌توانند به ساده‌ترین شکل به اطلاعات حساس کاربران دسترسی پیدا کنند، دیگر هشدار «این کد را با کسی به اشتراک نگذارید» معنای خاصی ندارد. راه‌حل نهایی، عبور از SMS و استفاده از روش‌های مدرن‌تر برای حفاظت حساب‌های کاربری است؛ هم از سمت شرکت‌های بزرگ فناوری و هم توسط خود کاربران.

اگر شرکت‌ها به خاطر هزینه کمتر یا سادگی فرایند، همچنان بر SMS اصرار کنند، مسئولیت این ریسک متوجه خود آنهاست. در نهایت، امنیت یک زنجیره است که ضعف در هر حلقه‌ای می‌تواند کل سیستم را به خطر بیندازد.