CertiK mengatakan SMS adalah bentuk 2FA 'paling rentan' yang digunakan

Menggunakan SMS sebagai bentuk otentikasi dua faktor selalu populer di kalangan penggemar kripto. Lagi pula, banyak pengguna sudah memperdagangkan kripto mereka atau mengelola halaman sosial di ponsel mereka, jadi mengapa tidak menggunakan SMS untuk memverifikasi saat mengakses konten keuangan yang sensitif?

Sayangnya, para penipu akhir-akhir ini ketahuan mengeksploitasi kekayaan yang terkubur di bawah lapisan keamanan ini melalui pertukaran SIM, atau proses pengalihan rute kartu SIM seseorang ke telepon yang dimiliki oleh peretas. Di banyak yurisdiksi di seluruh dunia, karyawan telekomunikasi tidak akan meminta ID pemerintah, identifikasi wajah, atau nomor jaminan sosial untuk menangani permintaan transfer sederhana.

Dikombinasikan dengan pencarian cepat untuk informasi pribadi yang tersedia untuk umum (cukup umum untuk pemangku kepentingan Web 3.0) dan pertanyaan pemulihan yang mudah ditebak, peniru identitas dapat dengan cepat mem-porting SMS 2FA akun ke ponsel mereka dan mulai menggunakannya untuk tujuan jahat. Awal tahun ini, banyak Youtuber crypto menjadi korban serangan SIM-swap tempat peretas memposting video penipuan di saluran mereka dengan teks yang mengarahkan pemirsa untuk mengirim uang ke dompet peretas. Pada bulan Juni, proyek Solana NFT, Duppies, akun Twitter resminya dibobol melalui SIM-Swap dengan tautan tweet peretas ke mint siluman palsu.

Sehubungan dengan masalah ini, Cointelegraph berbicara dengan pakar keamanan CertiK, Jesse Leclere. Dikenal sebagai pemimpin dalam ruang keamanan blockchain, CertiK telah membantu lebih dari 3,600 proyek mengamankan aset digital senilai $360 miliar dan mendeteksi lebih dari 66,000 kerentanan sejak 2018. Inilah yang dikatakan Leclere:

“SMS 2FA lebih baik daripada tidak sama sekali, tetapi ini adalah bentuk paling rentan dari 2FA yang saat ini digunakan. Daya tariknya berasal dari kemudahan penggunaannya: kebanyakan orang menggunakan ponsel mereka atau dekat saat mereka masuk ke platform online. Tetapi kerentanannya terhadap pertukaran kartu SIM tidak dapat diremehkan.”

Leclerc menjelaskan bahwa aplikasi autentikator khusus, seperti Google Authenticator, Authy, atau Duo, menawarkan hampir semua kenyamanan SMS 2FA sambil menghilangkan risiko pertukaran SIM. Ketika ditanya apakah kartu virtual atau eSIM dapat melindungi risiko serangan phishing terkait pertukaran SIM, untuk Leclerc, jawabannya jelas tidak:

“Kita harus ingat bahwa serangan SIM-swap bergantung pada penipuan identitas dan rekayasa sosial. Jika pelaku jahat dapat mengelabui karyawan di perusahaan telekomunikasi agar berpikir bahwa mereka adalah pemilik sah dari nomor yang dilampirkan pada SIM fisik, mereka juga dapat melakukannya untuk eSIM.

Meskipun dimungkinkan untuk mencegah serangan semacam itu dengan mengunci kartu SIM ke telepon seseorang (perusahaan telekomunikasi juga dapat membuka kunci telepon), Leclere tetap menunjukkan standar emas dalam menggunakan kunci keamanan fisik. “Tombol ini dicolokkan ke port USB komputer Anda, dan beberapa di antaranya mengaktifkan komunikasi jarak dekat (NFC) agar lebih mudah digunakan dengan perangkat seluler,” jelas Leclere. “Seorang penyerang tidak hanya perlu mengetahui kata sandi Anda, tetapi juga secara fisik memiliki kunci ini untuk masuk ke akun Anda.”

Leclere menunjukkan bahwa setelah mengamanatkan penggunaan kunci keamanan untuk karyawan pada tahun 2017, Google tidak mengalami serangan phishing yang berhasil. “Namun, mereka sangat efektif sehingga jika Anda kehilangan satu kunci yang terkait dengan akun Anda, kemungkinan besar Anda tidak akan bisa mendapatkan kembali akses ke sana. Menyimpan banyak kunci di lokasi yang aman itu penting, ”tambahnya.

Akhirnya Leclere mengatakan bahwa selain menggunakan aplikasi autentikator atau kunci keamanan, pengelola kata sandi yang baik memudahkan pembuatan kata sandi yang kuat tanpa menggunakannya kembali di beberapa situs. “Kata sandi yang kuat dan unik yang dipasangkan dengan 2FA non-SMS adalah bentuk keamanan akun terbaik,” katanya.