CertiK siger, at SMS er den 'mest sårbare' form for 2FA i brug

Brug af SMS som en form for to-faktor autentificering har altid været populært blandt krypto-entusiaster. Når alt kommer til alt, handler mange brugere allerede med deres kryptoer eller administrerer sociale sider på deres telefoner, så hvorfor ikke blot bruge SMS til at bekræfte, når de får adgang til følsomt finansielt indhold?

Desværre har svindlere på det seneste fået fat i at udnytte rigdommen begravet under dette sikkerhedslag via SIM-swapping eller processen med at omdirigere en persons SIM-kort til en telefon, der er i besiddelse af en hacker. I mange jurisdiktioner verden over vil telekommedarbejdere ikke bede om stats-id, ansigtsidentifikation eller cpr-numre for at håndtere en simpel porteringsanmodning.

Kombineret med en hurtig søgning efter offentligt tilgængelige personlige oplysninger (ganske almindeligt for Web 3.0-interessenter) og let at gætte gendannelsesspørgsmål, kan efterlignere hurtigt overføre en kontos SMS 2FA til deres telefon og begynde at bruge den til ondsindede midler. Tidligere i år blev mange krypto-youtubere ofre for et SIM-swap-angreb, hvor hackere postede svindel videoer på deres kanal med tekst, der leder seerne til at sende penge til hackerens pung. I juni fik Solana NFT-projektet Duppies sin officielle Twitter-konto brudt via en SIM-swap med hackere, der tweetede links til en falsk stealth-mynte.

Med hensyn til denne sag talte Cointelegraph med CertiKs sikkerhedsekspert Jesse Leclere. CertiK, der er kendt som en leder inden for blockchain-sikkerhedsområdet, har hjulpet over 3,600 projekter med at sikre digitale aktiver til en værdi af $360 milliarder og opdaget over 66,000 sårbarheder siden 2018. Her er, hvad Leclere havde at sige:

"SMS 2FA er bedre end ingenting, men det er den mest sårbare form for 2FA, der er i brug i øjeblikket. Dens tiltrækning kommer fra dens brugervenlighed: de fleste mennesker er enten på deres telefon eller har den lige ved hånden, når de logger ind på online platforme. Men dens sårbarhed over for SIM-kort-bytte kan ikke undervurderes."

Leclerc forklarede, at dedikerede autentificeringsapps, såsom Google Authenticator, Authy eller Duo, tilbyder næsten al bekvemmeligheden ved SMS 2FA og fjerner samtidig risikoen for SIM-bytning. På spørgsmålet om virtuelle kort eller eSIM-kort kan afdække risikoen for SIM-swap-relaterede phishing-angreb, for Leclerc, er svaret et klart nej:

"Man skal huske på, at SIM-swap-angreb er afhængige af identitetsbedrageri og social engineering. Hvis en dårlig skuespiller kan narre en ansat hos et teleselskab til at tro, at de er den legitime ejer af et nummer, der er knyttet til et fysisk SIM-kort, kan de også gøre det for et eSIM.

Selvom det er muligt at afskrække sådanne angreb ved at låse SIM-kortet til ens telefon (teleselskaber kan også låse telefoner op), peger Leclere ikke desto mindre på guldstandarden ved at bruge fysiske sikkerhedsnøgler. "Disse taster sættes i din computers USB-port, og nogle er aktiveret for nærfeltskommunikation (NFC) for lettere brug med mobile enheder," forklarer Leclere. "En angriber skal ikke kun kende din adgangskode, men fysisk tage denne nøgle i besiddelse for at komme ind på din konto."

Leclere påpeger, at efter at have givet mandat til brugen af ​​sikkerhedsnøgler for medarbejdere i 2017, har Google ikke oplevet nogen succesfulde phishing-angreb. "Men de er så effektive, at hvis du mister den ene nøgle, der er knyttet til din konto, vil du højst sandsynligt ikke kunne få adgang til den igen. Det er vigtigt at opbevare flere nøgler på sikre steder,” tilføjede han.

Endelig siger Leclere, at ud over at bruge en godkendelsesapp eller en sikkerhedsnøgle gør en god adgangskodeadministrator det nemt at skabe stærke adgangskoder uden at genbruge dem på tværs af flere websteder. "En stærk, unik adgangskode parret med ikke-SMS 2FA er den bedste form for kontosikkerhed," sagde han.