Google gaat stoppen met het versturen van zes-cijferige verificatiecodes via SMS voor de tweestapsverificatie van Gmail. In plaats daarvan wordt in de komende maanden een nieuw systeem met QR-codes uitgerold, zo meldt Forbes. Dit besluit is genomen om de impact van de wereldwijde misbruik van SMS-verificatie te verminderen, aldus Gmail-woordvoerder Ross Richendrfer.
Verificatiecodes
Google gebruikt SMS-codes om te bevestigen dat een gebruiker de rechtmatige eigenaar van een Gmail-account is. Daarnaast dienen deze codes als bescherming tegen kwaadwillenden die massaal valse accounts aanmaken om spam en malware te verspreiden.
Hoewel SMS-verificatie veiliger is dan helemaal geen tweestapsverificatie, kleven er aanzienlijke risico’s aan deze methode. Criminelen kunnen gebruikers verleiden of dwingen om hun code af te geven. Bovendien is deze methode afhankelijk van de beveiligingsmaatregelen van telecomproviders, die fraudeurs soms onbedoeld toegang geven tot andermans mobiele nummer, bijvoorbeeld via SIM-swapping.
Nieuw soort fraude
Daarnaast speelt een nieuw soort fraude, bekend als ‘traffic pumping’ of ‘toll fraud’, een rol in de overstap naar QR-codes. Bij deze fraude proberen criminelen online diensten zoals Gmail ertoe te brengen een groot aantal SMS-berichten naar door hen beheerde nummers te sturen. Hierdoor ontvangen zij telkens een betaling wanneer een bericht wordt afgeleverd.
QR-code verificatie
Zodra de wijziging is doorgevoerd, zullen gebruikers niet langer een SMS-code ontvangen om hun telefoonnummer te verifiëren. In plaats daarvan krijgen zij een QR-code te zien die zij kunnen scannen met de camera van hun smartphone. Dit maakt het onmogelijk om gebruikers te misleiden tot het delen van verificatiecodes, aangezien deze simpelweg niet meer bestaan.
Door deze stap worden ook de beveiligingsrisico’s door telecomproviders, zoals SIM-swapping, geëlimineerd. Google hoopt hiermee de beveiliging van Gmail-gebruikers aanzienlijk te verbeteren en tegelijkertijd misbruik door cybercriminelen te verminderen. Deze verandering onderstreept de voortdurende inspanningen van Google om accountbeveiliging te verbeteren en gebruikers beter te beschermen tegen digitale dreigingen.