Η CertiK λέει ότι το SMS είναι η «πιο ευάλωτη» μορφή 2FA που χρησιμοποιείται

Η χρήση SMS ως μορφή ελέγχου ταυτότητας δύο παραγόντων ήταν πάντα δημοφιλής στους λάτρεις της κρυπτογράφησης. Σε τελική ανάλυση, πολλοί χρήστες διαπραγματεύονται ήδη τα κρυπτογραφικά τους στοιχεία ή διαχειρίζονται σελίδες κοινωνικής δικτύωσης στα τηλέφωνά τους, οπότε γιατί να μην χρησιμοποιούν απλώς SMS για επαλήθευση όταν έχουν πρόσβαση σε ευαίσθητο οικονομικό περιεχόμενο;

Δυστυχώς, οι απατεώνες έχουν πιάσει πρόσφατα να εκμεταλλεύονται τον πλούτο που είναι θαμμένος κάτω από αυτό το επίπεδο ασφάλειας μέσω της ανταλλαγής SIM ή της διαδικασίας αλλαγής δρομολόγησης της κάρτας SIM ενός ατόμου σε ένα τηλέφωνο που έχει στην κατοχή του ένας χάκερ. Σε πολλές δικαιοδοσίες σε όλο τον κόσμο, οι υπάλληλοι των τηλεπικοινωνιών δεν θα ζητούν κρατική ταυτότητα, αναγνωριστικό προσώπου ή αριθμούς κοινωνικής ασφάλισης για να χειριστούν ένα απλό αίτημα μεταφοράς.

Σε συνδυασμό με μια γρήγορη αναζήτηση δημοσίως διαθέσιμων προσωπικών πληροφοριών (αρκετά σύνηθες για τους ενδιαφερόμενους φορείς του Web 3.0) και τις εύκολες μαντέψεις ερωτήσεις ανάκτησης, οι μιμητές μπορούν να μεταφέρουν γρήγορα το SMS 2FA ενός λογαριασμού στο τηλέφωνό τους και να αρχίσουν να το χρησιμοποιούν για κακόβουλα μέσα. Νωρίτερα αυτό το έτος, πολλοί χρήστες κρυπτογράφησης στο Youtube έπεσαν θύματα μιας επίθεσης ανταλλαγής SIM όπου οι χάκερ δημοσίευσαν βίντεο απάτης στο κανάλι τους με κείμενο που κατευθύνει τους θεατές να στείλουν χρήματα στο πορτοφόλι του χάκερ. Τον Ιούνιο, το έργο Solana NFT Duppies παραβίασε τον επίσημο λογαριασμό του στο Twitter μέσω SIM-Swap με χάκερ να στέλνουν στο Twitter συνδέσμους προς ένα ψεύτικο stealth νομισματοκοπείο.

Σε σχέση με αυτό το θέμα, η Cointelegraph μίλησε με τον ειδικό σε θέματα ασφάλειας της CertiK, Jesse Leclere. Γνωστή ως ηγέτης στον χώρο της ασφάλειας του blockchain, η CertiK έχει βοηθήσει πάνω από 3,600 έργα να εξασφαλίσουν ψηφιακά περιουσιακά στοιχεία αξίας 360 δισεκατομμυρίων δολαρίων και εντόπισε πάνω από 66,000 τρωτά σημεία από το 2018. Δείτε τι είχε να πει ο Leclere:

«Το SMS 2FA είναι καλύτερο από το τίποτα, αλλά είναι η πιο ευάλωτη μορφή 2FA που χρησιμοποιείται αυτή τη στιγμή. Η ελκυστικότητά του προέρχεται από την ευκολία χρήσης του: οι περισσότεροι άνθρωποι είτε χρησιμοποιούν το τηλέφωνό τους είτε το έχουν κοντά τους όταν συνδέονται σε διαδικτυακές πλατφόρμες. Αλλά η ευπάθειά του στις ανταλλαγές καρτών SIM δεν μπορεί να υποτιμηθεί».

Ο Leclerc εξήγησε ότι οι αποκλειστικές εφαρμογές ελέγχου ταυτότητας, όπως το Google Authenticator, το Authy ή το Duo, προσφέρουν σχεδόν όλη την ευκολία του SMS 2FA, ενώ εξαλείφουν τον κίνδυνο αλλαγής SIM. Όταν ρωτήθηκε εάν οι εικονικές κάρτες ή οι κάρτες eSIM μπορούν να αντισταθμίσουν τον κίνδυνο επιθέσεων phishing που σχετίζονται με την ανταλλαγή SIM, για τον Leclerc, η απάντηση είναι σαφές όχι:

«Πρέπει να έχουμε κατά νου ότι οι επιθέσεις ανταλλαγής SIM βασίζονται στην απάτη ταυτότητας και στην κοινωνική μηχανική. Εάν ένας κακός ηθοποιός μπορεί να ξεγελάσει έναν υπάλληλο σε μια εταιρεία τηλεπικοινωνιών ώστε να πιστεύει ότι είναι ο νόμιμος κάτοχος ενός αριθμού που είναι συνδεδεμένος σε μια φυσική SIM, μπορεί να το κάνει και για μια eSIM.

Αν και είναι δυνατό να αποτραπούν τέτοιες επιθέσεις κλειδώνοντας την κάρτα SIM στο τηλέφωνό κάποιου (οι εταιρείες τηλεπικοινωνιών μπορούν επίσης να ξεκλειδώσουν τηλέφωνα), η Leclere ωστόσο επισημαίνει το χρυσό πρότυπο της χρήσης φυσικών κλειδιών ασφαλείας. «Αυτά τα κλειδιά συνδέονται στη θύρα USB του υπολογιστή σας και ορισμένα είναι ενεργοποιημένη για επικοινωνία κοντινού πεδίου (NFC) για ευκολότερη χρήση με κινητές συσκευές», εξηγεί ο Leclere. "Ένας εισβολέας θα πρέπει όχι μόνο να γνωρίζει τον κωδικό πρόσβασής σας, αλλά και να έχει φυσικά στην κατοχή του αυτό το κλειδί για να εισέλθει στον λογαριασμό σας."

Ο Leclere επισημαίνει ότι μετά την επιβολή της χρήσης κλειδιών ασφαλείας για τους υπαλλήλους το 2017, η Google δεν γνώρισε επιτυχείς επιθέσεις phishing. «Ωστόσο, είναι τόσο αποτελεσματικά που αν χάσετε το ένα κλειδί που είναι συνδεδεμένο με τον λογαριασμό σας, πιθανότατα δεν θα μπορέσετε να αποκτήσετε ξανά πρόσβαση σε αυτό. Η διατήρηση πολλών κλειδιών σε ασφαλείς τοποθεσίες είναι σημαντική», πρόσθεσε.

Τέλος, η Leclere είπε ότι εκτός από τη χρήση μιας εφαρμογής ελέγχου ταυτότητας ή ενός κλειδιού ασφαλείας, ένας καλός διαχειριστής κωδικών πρόσβασης διευκολύνει τη δημιουργία ισχυρών κωδικών πρόσβασης χωρίς την επαναχρησιμοποίησή τους σε πολλούς ιστότοπους. "Ένας ισχυρός, μοναδικός κωδικός πρόσβασης σε συνδυασμό με το μη SMS 2FA είναι η καλύτερη μορφή ασφάλειας λογαριασμού", δήλωσε.