Die Verwendung von SMS als Form der Zwei-Faktor-Authentifizierung war bei Krypto-Enthusiasten schon immer beliebt. Schließlich handeln viele Benutzer bereits mit ihren Kryptos oder verwalten soziale Seiten auf ihren Telefonen. Warum also nicht einfach SMS verwenden, um sich zu verifizieren, wenn sie auf sensible Finanzinhalte zugreifen?
Leider haben Betrüger in letzter Zeit den Reichtum, der unter dieser Sicherheitsebene verborgen ist, durch SIM-Swapping oder den Prozess der Umleitung der SIM-Karte einer Person auf ein Telefon, das sich im Besitz eines Hackers befindet, ausgenutzt. In vielen Gerichtsbarkeiten weltweit fragen Telekommunikationsmitarbeiter nicht nach amtlichen Ausweisen, Gesichtserkennungs- oder Sozialversicherungsnummern, um eine einfache Portierungsanfrage zu bearbeiten.
In Kombination mit einer schnellen Suche nach öffentlich zugänglichen persönlichen Informationen (was bei Web 3.0-Akteuren durchaus üblich ist) und leicht zu erratenden Wiederherstellungsfragen können Betrüger die SMS 2FA eines Kontos schnell auf ihr Telefon übertragen und damit beginnen, sie für schändliche Zwecke zu nutzen. Anfang des Jahres wurden viele Krypto-Youtuber Opfer eines SIM-Swap-Angriffs, bei dem Hacker Beiträge posteten Betrugsvideos auf ihrem Kanal mit einem Text, der die Zuschauer anweist, Geld an die Brieftasche des Hackers zu senden. Im Juni wurde der offizielle Twitter-Account des Solana-NFT-Projekts Duppies über einen SIM-Swap gehackt, wobei Hacker Links zu einer gefälschten Stealth-Minze twitterten.
Zu diesem Thema sprach Cointelegraph mit dem Sicherheitsexperten von CertiK, Jesse Leclere. CertiK ist als führendes Unternehmen im Bereich Blockchain-Sicherheit bekannt und hat seit 3,600 über 360 Projekten dabei geholfen, digitale Vermögenswerte im Wert von 66,000 Milliarden US-Dollar zu sichern, und über 2018 Schwachstellen entdeckt. Hier ist, was Leclere zu sagen hatte:
„SMS 2FA ist besser als nichts, aber es ist die anfälligste Form von 2FA, die derzeit verwendet wird. Seine Attraktivität liegt in seiner Benutzerfreundlichkeit: Die meisten Menschen sind entweder am Telefon oder haben es griffbereit, wenn sie sich bei Online-Plattformen anmelden. Aber seine Anfälligkeit für SIM-Kartenwechsel darf nicht unterschätzt werden.“
Leclerc erklärte, dass dedizierte Authentifizierungs-Apps wie Google Authenticator, Authy oder Duo fast den gesamten Komfort von SMS 2FA bieten und gleichzeitig das Risiko des SIM-Tauschs beseitigen. Auf die Frage, ob virtuelle oder eSIM-Karten das Risiko von Phishing-Angriffen im Zusammenhang mit SIM-Swaps abwehren können, ist die Antwort für Leclerc ein klares Nein:
„Man muss bedenken, dass SIM-Swap-Angriffe auf Identitätsbetrug und Social Engineering beruhen. Wenn ein Angreifer einem Mitarbeiter eines Telekommunikationsunternehmens vorgaukeln kann, dass er der legitime Besitzer einer Nummer ist, die mit einer physischen SIM-Karte verbunden ist, kann er dies auch für eine eSIM tun.
Obwohl es möglich ist, solche Angriffe abzuwehren, indem man die SIM-Karte an das Telefon sperrt (Telekommunikationsunternehmen können Telefone auch entsperren), weist Leclere dennoch auf den Goldstandard hin, physische Sicherheitsschlüssel zu verwenden. „Diese Schlüssel werden in den USB-Anschluss Ihres Computers gesteckt, und einige sind NFC-fähig (Near Field Communication), um die Verwendung mit Mobilgeräten zu erleichtern“, erklärt Leclere. „Ein Angreifer müsste nicht nur Ihr Passwort kennen, sondern auch diesen Schlüssel physisch in Besitz nehmen, um in Ihr Konto zu gelangen.“
Leclere weist darauf hin, dass Google nach der Verpflichtung zur Verwendung von Sicherheitsschlüsseln für Mitarbeiter im Jahr 2017 keine erfolgreichen Phishing-Angriffe erlebt hat. „Sie sind jedoch so effektiv, dass Sie, wenn Sie den einen Schlüssel verlieren, der mit Ihrem Konto verknüpft ist, höchstwahrscheinlich nicht mehr darauf zugreifen können. Es ist wichtig, mehrere Schlüssel an sicheren Orten aufzubewahren“, fügte er hinzu.
Schließlich sagt Leclere, dass es ein guter Passwort-Manager neben der Verwendung einer Authentifizierungs-App oder eines Sicherheitsschlüssels einfach macht, sichere Passwörter zu erstellen, ohne sie auf mehreren Websites wiederzuverwenden. „Ein starkes, eindeutiges Passwort, gepaart mit Nicht-SMS-2FA, ist die beste Form der Kontosicherheit“, erklärte er.
- Bitcoin
- Blockchain
- Blockchain-Konformität
- Blockchain Konferenz
- CertiK
- coinbase
- Einfallsreichtum
- Cointelegraph
- Konsens
- Krypto-Konferenz
- Kryptoabbau
- Kryptowährungen
- kryptowährung
- dezentralisiert
- DeFi
- Digitale Assets
- Astraleum
- Maschinelles Lernen
- nicht fungibler Token
- Plato
- platon ai
- Datenintelligenz von Plato
- Platoblockkette
- PlatoData
- Platogaming
- Vieleck
- Nachweis der Beteiligung
- JA
- W3
- Zephyrnet
