CertiK می گوید SMS آسیب پذیرترین شکل 2FA در حال استفاده است

استفاده از اس ام اس به عنوان نوعی احراز هویت دو مرحله ای همیشه در بین علاقه مندان به ارزهای دیجیتال محبوب بوده است. به هر حال، بسیاری از کاربران در حال حاضر در حال معامله ارزهای دیجیتال خود یا مدیریت صفحات اجتماعی در تلفن های خود هستند، پس چرا هنگام دسترسی به محتوای حساس مالی به سادگی از پیامک برای تأیید استفاده نکنید؟

متأسفانه، اخیراً کلاهبرداران به سوء استفاده از ثروت مدفون شده در زیر این لایه امنیتی از طریق تعویض سیم‌کارت یا فرآیند تغییر مسیر سیم کارت یک شخص به تلفنی که در اختیار یک هکر است، افتاده‌اند. در بسیاری از حوزه‌های قضایی در سراسر جهان، کارمندان مخابرات برای رسیدگی به یک درخواست انتقال ساده، شناسه دولتی، شناسه چهره یا شماره تامین اجتماعی را درخواست نمی‌کنند.

همراه با جستجوی سریع برای اطلاعات شخصی در دسترس عموم (که برای سهامداران وب 3.0 کاملاً رایج است) و سؤالات بازیابی آسان قابل حدس زدن، جعل‌کنندگان می‌توانند به سرعت پیامک 2FA یک حساب را به تلفن خود منتقل کنند و شروع به استفاده از آن برای وسایل شرور کنند. در اوایل سال جاری، بسیاری از یوتیوب‌کنندگان کریپتو قربانی یک حمله تعویض سیم‌کارت شدند که در آن هکرها پست‌هایی را منتشر کردند. ویدئوهای کلاهبرداری در کانال خود با متنی که بینندگان را به ارسال پول به کیف پول هکر هدایت می کند. در ژوئن پروژه Solana NFT Duppies حساب رسمی توییتر خود را از طریق یک SIM-Swap با هکرهایی که لینک‌های یک ضرابخانه مخفیانه جعلی را توییت می‌کردند، نقض شد.

با توجه به این موضوع، کوین تلگراف با جسی لکلر، کارشناس امنیتی CertiK صحبت کرد. CertiK که به عنوان پیشرو در فضای امنیت بلاک چین شناخته می شود، از سال 3,600 به بیش از 360 پروژه کمک کرده است تا دارایی های دیجیتالی به ارزش 66,000 میلیارد دلار را ایمن کنند و بیش از 2018 آسیب پذیری را شناسایی کرده است.

"SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود. جذابیت آن ناشی از سهولت استفاده از آن است: اکثر مردم یا در تلفن خود هستند یا هنگام ورود به سیستم عامل های آنلاین آن را در دسترس دارند. اما آسیب پذیری آن در برابر تعویض سیم کارت را نمی توان دست کم گرفت.

Leclerc توضیح داد که برنامه‌های احراز هویت اختصاصی، مانند Google Authenticator، Authy یا Duo، تقریباً تمام راحتی SMS 2FA را ارائه می‌کنند و در عین حال خطر تعویض سیم‌کارت را از بین می‌برند. وقتی از Leclerc پرسیده شد که آیا کارت‌های مجازی یا eSIM می‌توانند خطر حملات فیشینگ مربوط به تعویض سیم‌کارت را از بین ببرند، برای Leclerc، پاسخ واضح است:

"باید در نظر داشت که حملات تعویض سیم کارت به تقلب هویت و مهندسی اجتماعی متکی است. اگر یک بازیگر بد بتواند کارمند یک شرکت مخابراتی را فریب دهد و فکر کند که آنها مالک قانونی شماره ای هستند که به سیم کارت فیزیکی متصل است، می توانند این کار را برای یک سیم کارت الکترونیکی نیز انجام دهند.

اگرچه می‌توان با قفل کردن سیم‌کارت روی تلفن، از چنین حملاتی جلوگیری کرد (شرکت‌های مخابراتی همچنین می‌توانند قفل تلفن‌ها را باز کنند)، اما Leclere به استاندارد طلایی استفاده از کلیدهای امنیتی فیزیکی اشاره می‌کند. Leclere توضیح می‌دهد: «این کلیدها به پورت USB رایانه شما وصل می‌شوند و برخی از آنها برای استفاده آسان‌تر با دستگاه‌های تلفن همراه، ارتباطات میدان نزدیک (NFC) را فعال می‌کنند. "یک مهاجم نه تنها باید رمز عبور شما را بداند، بلکه باید به صورت فیزیکی این کلید را در اختیار بگیرد تا وارد حساب شما شود."

Leclere اشاره می کند که پس از اجباری کردن استفاده از کلیدهای امنیتی برای کارمندان در سال 2017، گوگل حملات فیشینگ موفقیت آمیز را تجربه نکرده است. با این حال، آنها به قدری مؤثر هستند که اگر کلیدی را که به حساب شما متصل است گم کنید، به احتمال زیاد نمی توانید دوباره به آن دسترسی پیدا کنید. نگه داشتن کلیدهای متعدد در مکان های امن مهم است.»

در نهایت Leclere گفت که علاوه بر استفاده از یک برنامه احراز هویت یا یک کلید امنیتی، یک مدیر رمز عبور خوب ایجاد رمزهای عبور قوی را بدون استفاده مجدد از آنها در چندین سایت آسان می کند. او اظهار داشت: «یک رمز عبور قوی و منحصر به فرد جفت شده با غیر پیام کوتاه 2FA بهترین شکل امنیت حساب است.