CertiK sanoo, että SMS on "haavoittuvin" käytössä oleva 2FA-muoto

Tekstiviestin käyttäminen kaksivaiheisena todennuksena on aina ollut suosittu krypto-harrastajien keskuudessa. Loppujen lopuksi monet käyttäjät käyvät jo kauppaa kryptokirjoillaan tai hallitsevat sosiaalisia sivuja puhelimissaan, joten miksi ei yksinkertaisesti käyttäisi tekstiviestejä varmistaakseen, kun he käyttävät arkaluonteista taloudellista sisältöä?

Valitettavasti huijarit ovat viime aikoina kiinnittyneet siihen, että he käyttävät hyväkseen tämän suojakerroksen alle hautautuneita rikkauksia vaihtamalla SIM-korttia tai reitittämällä henkilön SIM-kortti uudelleen puhelimeen, joka on hakkerin hallussa. Monilla lainkäyttöalueilla maailmanlaajuisesti telealan työntekijät eivät pyydä virallista henkilötodistusta, kasvotunnusta tai sosiaaliturvatunnusta käsitelläkseen yksinkertaisia ​​siirtopyyntöjä.

Yhdessä julkisesti saatavilla olevien henkilökohtaisten tietojen nopeaan hakuun (melko yleistä Web 3.0:n sidosryhmillä) ja helposti arvattaviin palautuskysymyksiin, matkijat voivat nopeasti siirtää tilin SMS 2FA:n puhelimeensa ja alkaa käyttää sitä ilkeisiin tarkoituksiin. Aiemmin tänä vuonna monet krypto-youtuberit joutuivat SIM-vaihtohyökkäyksen uhriksi, jossa hakkerit julkaisivat huijausvideoita kanavallaan tekstillä, joka ohjaa katsojia lähettämään rahaa hakkerin lompakkoon. Kesäkuussa Solana NFT -projektin Duppiesin virallinen Twitter-tili rikottiin SIM-vaihdon kautta, kun hakkerit twiittasivat linkkejä väärennetylle varkain rahapajalle.

Cointelegraph keskusteli tästä asiasta CertiK:n tietoturvaasiantuntijan Jesse Lecleren kanssa. Blockchain-tietoturvatilan johtajana tunnettu CertiK on auttanut yli 3,600 360 projektia turvaamaan 66,000 miljardin dollarin arvosta digitaalista omaisuutta ja havainnut yli 2018 XNUMX haavoittuvuutta vuodesta XNUMX lähtien. Lecleren oli sanottava seuraavasti:

"SMS 2FA on parempi kuin ei mitään, mutta se on tällä hetkellä käytössä olevan 2FA:n haavoittuvin muoto. Sen viehätys johtuu sen helppokäyttöisyydestä: useimmat ihmiset ovat joko puhelimella tai käden ulottuvilla, kun he kirjautuvat sisään verkkoalustoille. Mutta sen haavoittuvuutta SIM-kortin vaihtoon ei voida aliarvioida.

Leclerc selitti, että omistetut autentikointisovellukset, kuten Google Authenticator, Authy tai Duo, tarjoavat lähes kaiken SMS 2FA:n mukavuuden ja poistavat samalla SIM-kortin vaihdon riskin. Kun Leclerciltä kysytään, voivatko virtuaaliset tai eSIM-kortit suojata SIM-vaihtoon liittyvien tietojenkalasteluhyökkäysten riskin, vastaus on selkeä ei:

"On pidettävä mielessä, että SIM-swap-hyökkäykset perustuvat identiteettipetokseen ja sosiaaliseen manipulointiin. Jos huono toimija voi huijata tietoliikenneyrityksen työntekijän ajattelemaan, että hän on fyysiseen SIM-korttiin liitetyn numeron laillinen omistaja, hän voi tehdä niin myös eSIM-kortilla.

Vaikka tällaiset hyökkäykset on mahdollista estää lukitsemalla SIM-kortti puhelimeen (teleyritykset voivat myös avata puhelimia), Leclere kuitenkin viittaa fyysisten suoja-avainten käytön kultaiseen standardiin. "Nämä näppäimet liitetään tietokoneesi USB-porttiin, ja jotkin niistä ovat lähellä kenttäviestintää (NFC) mahdollistavat helpomman käytön mobiililaitteiden kanssa", Leclere selittää. "Hyökkääjän tulee paitsi tietää salasanasi myös ottaa tämä avain fyysisesti haltuunsa päästäkseen tilillesi."

Leclere huomauttaa, että sen jälkeen kun Google velvoitti vuonna 2017 työntekijöiden käyttämään suojausavaimia, Google ei ole kokenut yhtään onnistunutta tietojenkalasteluhyökkäystä. "Ne ovat kuitenkin niin tehokkaita, että jos kadotat yhden tiliisi sidotun avaimen, et todennäköisesti saa sitä takaisin. Useiden avainten säilyttäminen turvallisissa paikoissa on tärkeää”, hän lisäsi.

Lopuksi Leclere toteaa, että todennussovelluksen tai suojausavaimen käytön lisäksi hyvä salasanojen hallinta helpottaa vahvojen salasanojen luomista käyttämättä niitä uudelleen useissa sivustoissa. "Vahva, ainutlaatuinen salasana yhdistettynä ei-SMS 2FA:han on paras tapa suojata tiliä", hän totesi.