Tot mai mulți experți în securitate cibernetică trag un semnal de alarmă privind riscurile autentificării prin SMS, într-un context în care atacurile de tip SIM swap - în care escrocii preiau controlul unui număr de telefon pentru a intercepta codurile de autentificare - par să cunoască o recrudescență în 2025, inclusiv în țări dezvoltate, cum ar fi SUA și Marea Britanie. Discuția a fost readusă în prim-plan pe Reddit de un utilizator care a atras atenția asupra pericolului folosirii telefonului mobil pentru MFA (autentificare multifactor) și a recomandat în schimb metode mai sigure precum aplicațiile de autentificare (TOTP), cheile de securitate fizice, sau autentificarea biometrică (Passkeys, Face ID, Touch ID).
În replică, mai mulți utilizatori au contestat afirmația privind creșterea cazurilor de fraudă, susținând că, deși reale, aceste atacuri sunt în continuare statistic rare și implică un cost ridicat pentru atacatori, fiind aplicate mai ales țintit și în cazurile în care accesul poate aduce beneficii financiare substanțiale (ex: portofele crypto). Cu toate acestea, datele invocate de alți participanți la discuție sugerează contrariul - de exemplu, un raport citat din Marea Britanie indică o creștere de 1.055% a tentativelor de portare frauduloasă a SIM-ului în 2025.
Un utilizator a oferit un exemplu concret al riscurilor reale, povestind: „Un prieten de-al meu a pierdut câteva mii în criptomonede după ce a fost victima unui SIM swap. Nu s-a întâmplat într-o «ară bananieră», ci într-o țară occidentală, unde cineva a sunat la operator și a pretins că are un nou telefon.” - ThatOneDerpyDinosaur. Mărturia arată cât de simplu poate funcționa o astfel de escrocherie în lipsa unor mecanisme stricte de verificare din partea operatorilor de telefonie mobilă.
Care sunt metodele de protecție recomandate?
Pentru o securitate sporită, specialiștii și utilizatorii avansați recomandă următoarele:
- Activarea autentificării prin aplicație (TOTP) - ex: Google Authenticator, Authy.
- Utilizarea cheilor fizice de securitate
- Activarea autentificării fără parolă, acolo unde este disponibilă (ex: Passkeys, Face ID, Touch ID).
- Setarea unui PIN suplimentar la operatorul mobil, pentru a preveni cererile de portare neautorizate.
- Adăugarea unei adrese de e-mail și a unui număr de telefon de recuperare, preferabil diferit de cel principal.
- Salvarea codurilor de rezervă (backup codes) într-un loc sigur.
Un aspect semnalat de mai mulți utilizatori este faptul că, în ciuda riscurilor, unele instituții - în special din sectorul bancar - continuă să folosească exclusiv SMS-ul pentru autentificare. Această practică se regăsește inclusiv la operatorii de telefonie din România, care condiționează accesul la cont sau confirmarea anumitor acțiuni prin coduri trimise prin SMS, fără a oferi alternative moderne, cum ar fi autentificarea prin aplicație sau chei de securitate. Acest lucru lasă un segment important de utilizatori expuși riscurilor, în lipsa opțiunilor alternative.
Atacurile de tip SIM swap nu sunt larg răspândite, dar reprezintă o vulnerabilitate reală și exploatabilă. Soluția nu este panica, ci educația digitală și adoptarea unor practici de securitate mai robuste, adaptate riscurilor actuale. SMS-ul este mai bun decât nimic, dar e departe de a fi opțiunea ideală.
