A CertiK szerint az SMS a 2FA „legsebezhetőbb” formája

Az SMS-ek használata a kétfaktoros hitelesítés egyik formájaként mindig is népszerű volt a kriptográfiai rajongók körében. Végtére is, sok felhasználó már most kereskedik kriptoval vagy kezel közösségi oldalakat a telefonján, miért ne használna egyszerűen SMS-t az érzékeny pénzügyi tartalomhoz való hozzáféréskor?

Sajnos a szélhámosok az utóbbi időben rákaptak arra, hogy kihasználják az e biztonsági réteg alá temetett vagyont SIM-csere révén, vagy egy személy SIM-kártyáját egy hacker birtokában lévő telefonra irányítják át. A világ számos joghatóságában a távközlési alkalmazottak nem kérnek állami azonosítót, arcazonosítót vagy társadalombiztosítási számot egy egyszerű hordozási kérés kezeléséhez.

A nyilvánosan elérhető személyes adatok gyors keresésével (amely meglehetősen gyakori a Web 3.0 érdekelt feleinél) és könnyen kitalálható helyreállítási kérdésekkel kombinálva a megszemélyesítők gyorsan átmásolhatják a fiókjuk SMS 2FA-ját telefonjukra, és elkezdhetik aljas célokra használni. Az év elején sok kripto-youtuber esett áldozatul egy SIM-csere támadásnak, ahol hackerek posztoltak átverő videók csatornájukon szöveggel, amely arra utasítja a nézőket, hogy küldjenek pénzt a hacker pénztárcájába. Júniusban a Solana NFT projekt Duppies hivatalos Twitter-fiókját feltörték egy SIM-csere révén, amikor a hackerek egy hamis lopakodó pénzverdére mutató linkeket tweeteltek.

Ezzel kapcsolatban a Cointelegraph a CertiK biztonsági szakértőjével, Jesse Leclere-rel beszélgetett. A blokklánc-biztonsági területen vezető szerepet betöltő CertiK több mint 3,600 projektnek segített 360 milliárd dollár értékű digitális eszköz biztosításában, és több mint 66,000 2018 sebezhetőséget fedezett fel XNUMX óta. Leclere a következőket mondta:

„Az SMS 2FA jobb a semminél, de ez a 2FA jelenleg használt legsebezhetőbb formája. A vonzerejét az egyszerű használat adja: a legtöbb ember vagy a telefonját használja, vagy kéznél van, amikor bejelentkezik az online platformokra. De a SIM-kártya cserével szembeni sebezhetőségét nem lehet alábecsülni.”

Leclerc kifejtette, hogy a dedikált hitelesítő alkalmazások, mint például a Google Authenticator, az Authy vagy a Duo, az SMS 2FA szinte minden kényelmét kínálják, miközben eltávolítják a SIM-csere kockázatát. Arra a kérdésre, hogy a virtuális vagy eSIM-kártyák kivédhetik-e a SIM-cserével kapcsolatos adathalász támadások kockázatát, Leclerc számára a válasz egyértelmű nem:

„Ne feledje, hogy a SIM-csere támadások személyazonosság-csaláson és társadalmi manipuláción alapulnak. Ha egy rossz színész becsaphatja egy távközlési cég alkalmazottját, és azt hiheti, hogy a fizikai SIM-kártyához csatolt szám törvényes tulajdonosa, akkor ezt megteheti egy eSIM esetében is.

Bár az ilyen támadások megakadályozhatók a SIM-kártya telefonba zárásával (a távközlési cégek is feloldhatják a telefonokat), Leclere ennek ellenére rámutat a fizikai biztonsági kulcsok használatának aranyszabványára. „Ezek a gombok a számítógép USB-portjához csatlakoznak, és néhányuk közeli hatótávolságú kommunikációt (NFC) is lehetővé tesz a mobileszközökkel való könnyebb használat érdekében” – magyarázza Leclere. „A támadónak nemcsak a jelszavát kell tudnia, hanem fizikailag is birtokba kell vennie ezt a kulcsot, hogy bejusson a fiókjába.”

Leclere rámutat, hogy miután 2017-ben kötelezővé tette a biztonsági kulcsok használatát az alkalmazottak számára, a Google nulla sikeres adathalász támadást tapasztalt. „Annyira hatékonyak azonban, hogy ha elveszíti a fiókjához kötött egyetlen kulcsot, nagy valószínűséggel nem fogja tudni visszaszerezni a hozzáférést. Fontos, hogy több kulcsot biztonságos helyen tartsunk” – tette hozzá.

Végül Leclere azt állítja, hogy a hitelesítő alkalmazás vagy a biztonsági kulcs használata mellett egy jó jelszókezelő egyszerűvé teszi erős jelszavak létrehozását anélkül, hogy azokat több webhelyen újra felhasználnák. „Az erős, egyedi jelszó a nem SMS 2FA-val párosítva a fiókbiztonság legjobb formája” – szögezte le.