CertiK ütleb, et SMS on 2FA kõige haavatavam vorm

SMS-i kasutamine kahefaktorilise autentimise vormina on krüptoentusiastide seas alati populaarne olnud. Lõppude lõpuks kauplevad paljud kasutajad juba oma krüptodega või haldavad oma telefonis suhtluslehti, nii et miks mitte kasutada tundlikule finantssisule juurdepääsu kontrollimiseks lihtsalt SMS-i?

Kahjuks on petturid viimasel ajal tabanud selle turvakihi alla maetud rikkust SIM-kaardi vahetamise või inimese SIM-kaardi ümbermarsruutimise teel häkkeri valduses olevale telefonile. Paljudes jurisdiktsioonides üle maailma ei küsi telekommunikatsioonitöötajad lihtsa teisaldamistaotluse käsitlemiseks riiklikku isikutunnistust, näotuvastust ega sotsiaalkindlustuse numbreid.

Koos avalikult kättesaadava isikliku teabe kiire otsimisega (üsna tavaline Web 3.0 sidusrühmade jaoks) ja hõlpsasti äraarvatavate taastamisküsimustega saavad jäljendajad kiiresti oma telefonile teisaldada konto SMS 2FA ja hakata seda kasutama õelatel eesmärkidel. Selle aasta alguses langesid paljud krüpto Youtube'i kasutajad SIM-kaardi vahetamise rünnaku ohvriks, kus häkkerid postitasid kelmuse videod oma kanalil tekstiga, mis suunab vaatajaid häkkeri rahakotti raha saatma. Juunis rikuti Solana NFT projekti Duppies ametlikku Twitteri kontot SIM-kaardi vahetuse kaudu, kui häkkerid säutsusid linke võltsitud varjatud rahapajale.

Seoses sellega rääkis Cointelegraph CertiKi turvaeksperdi Jesse Leclere'iga. Plokiahela turvaruumi liidrina tuntud CertiK on aidanud enam kui 3,600 projektil kindlustada 360 miljardi dollari väärtuses digitaalseid varasid ja avastanud üle 66,000 2018 haavatavuse alates XNUMX. aastast. Leclere pidi ütlema järgmist:

"SMS 2FA on parem kui mitte midagi, kuid see on praegu kasutatava 2FA kõige haavatavam vorm. Selle atraktiivsus tuleneb kasutuslihtsusest: enamik inimesi on veebiplatvormidele sisselogimisel telefonis või käepärast. Kuid selle haavatavust SIM-kaardi vahetamise suhtes ei saa alahinnata.

Leclerc selgitas, et spetsiaalsed autentimisrakendused, nagu Google Authenticator, Authy või Duo, pakuvad peaaegu kogu SMS 2FA mugavust, kõrvaldades samas SIM-kaardi vahetamise ohu. Kui Leclercilt küsitakse, kas virtuaalsed või eSIM-kaardid võivad maandada SIM-kaardi vahetusega seotud andmepüügirünnakute riski, on Leclerci vastus selge ei.

"Tuleb meeles pidada, et SIM-i vahetusrünnakud põhinevad identiteedipettusel ja sotsiaalsel manipuleerimisel. Kui halb näitleja võib telekommunikatsiooniettevõtte töötajat petta ja arvata, et ta on füüsilise SIM-kaardiga kinnitatud numbri seaduslik omanik, saab ta seda teha ka eSIM-i puhul.

Kuigi selliseid rünnakuid on võimalik ära hoida ka SIM-kaardi telefonile lukustamisega (telekomifirmad saavad ka telefone lahti lukustada), viitab Leclere siiski füüsiliste turvavõtmete kasutamise kuldstandardile. "Need klahvid ühendatakse teie arvuti USB-porti ja mõned neist on mobiilseadmetega hõlpsamaks kasutamiseks lubatud lähiväljaside (NFC) abil," selgitab Leclere. "Ründaja ei pea mitte ainult teadma teie parooli, vaid ka selle võtme füüsiliselt enda valdusesse võtma, et teie kontole pääseda."

Leclere juhib tähelepanu, et pärast 2017. aastal töötajatele turvavõtmete kasutamise kohustamist ei ole Google kogenud ühtegi edukat andmepüügirünnakut. "Kuid need on nii tõhusad, et kui kaotate kontoga seotud ühe võtme, ei saa te tõenäoliselt sellele juurdepääsu tagasi. Mitme võtme turvalises kohas hoidmine on oluline,“ lisas ta.

Lõpuks ütles Leclere, et lisaks autentimisrakenduse või turvavõtme kasutamisele teeb hea paroolihaldur lihtsaks tugevate paroolide loomise ilma neid mitmel saidil uuesti kasutamata. "Tugev ja ainulaadne parool, mis on seotud mitte-SMS 2FA-ga, on parim konto turvalisuse vorm," märkis ta.