CertiK afferma che gli SMS sono la forma "più vulnerabile" di 2FA in uso

L'utilizzo degli SMS come forma di autenticazione a due fattori è sempre stato popolare tra gli appassionati di criptovalute. Dopotutto, molti utenti stanno già scambiando le loro criptovalute o gestiscono le pagine social sui loro telefoni, quindi perché non utilizzare semplicemente gli SMS per verificare quando accedono a contenuti finanziari sensibili?

Sfortunatamente, gli artisti della truffa ultimamente si sono resi conto di sfruttare la ricchezza sepolta sotto questo livello di sicurezza tramite lo scambio di SIM o il processo di reindirizzamento della scheda SIM di una persona a un telefono in possesso di un hacker. In molte giurisdizioni in tutto il mondo, i dipendenti delle telecomunicazioni non chiederanno un documento d'identità governativo, un'identificazione facciale o numeri di previdenza sociale per gestire una semplice richiesta di trasferimento.

In combinazione con una rapida ricerca di informazioni personali pubblicamente disponibili (abbastanza comune per le parti interessate del Web 3.0) e domande di ripristino facili da indovinare, gli imitatori possono trasferire rapidamente l'SMS 2FA di un account sul proprio telefono e iniziare a usarlo per mezzi nefasti. All'inizio di quest'anno, molti Youtuber crittografici sono stati vittime di un attacco SIM-swap in cui gli hacker hanno pubblicato video truffa sul proprio canale con messaggi che invitano gli spettatori a inviare denaro al portafoglio dell'hacker. A giugno, il progetto Duppies di Solana NFT ha subito una violazione del suo account Twitter ufficiale tramite uno scambio di SIM con gli hacker che twittano collegamenti a un falso conio invisibile.

In merito a questa questione, Cointelegraph ha parlato con l'esperto di sicurezza di CertiK, Jesse Leclere. Conosciuto come leader nello spazio di sicurezza blockchain, CertiK ha aiutato oltre 3,600 progetti a proteggere risorse digitali per un valore di 360 miliardi di dollari e ha rilevato oltre 66,000 vulnerabilità dal 2018. Ecco cosa ha detto Leclere:

“SMS 2FA è meglio di niente, ma è la forma più vulnerabile di 2FA attualmente in uso. Il suo fascino deriva dalla sua facilità d'uso: la maggior parte delle persone è al telefono o lo ha a portata di mano quando accede a piattaforme online. Ma la sua vulnerabilità agli scambi di schede SIM non può essere sottovalutata".

Leclerc ha spiegato che le app di autenticazione dedicate, come Google Authenticator, Authy o Duo, offrono quasi tutta la comodità di SMS 2FA eliminando il rischio di scambio di SIM. Alla domanda se le schede virtuali o eSIM possono coprire il rischio di attacchi di phishing legati allo scambio di SIM, per Leclerc, la risposta è un chiaro no:

“Bisogna tenere a mente che gli attacchi SIM-swap si basano su frodi di identità e ingegneria sociale. Se un cattivo attore può ingannare un dipendente di un'azienda di telecomunicazioni facendogli credere di essere il legittimo proprietario di un numero collegato a una SIM fisica, può farlo anche per una eSIM.

Sebbene sia possibile scoraggiare tali attacchi bloccando la scheda SIM al telefono (anche le società di telecomunicazioni possono sbloccare i telefoni), Leclere punta comunque al gold standard dell'utilizzo delle chiavi di sicurezza fisiche. "Queste chiavi si collegano alla porta USB del computer e alcune sono abilitate per la comunicazione Near Field Communication (NFC) per un utilizzo più semplice con i dispositivi mobili", spiega Leclere. "Un utente malintenzionato dovrebbe non solo conoscere la tua password, ma anche impossessarsi fisicamente di questa chiave per entrare nel tuo account".

Leclere sottolinea che dopo aver imposto l'uso delle chiavi di sicurezza per i dipendenti nel 2017, Google non ha subito attacchi di phishing riusciti. “Tuttavia, sono così efficaci che se perdi l'unica chiave legata al tuo account, molto probabilmente non sarai in grado di riottenerne l'accesso. Tenere più chiavi in ​​luoghi sicuri è importante", ha aggiunto.

Infine Leclere sa che oltre a utilizzare un'app di autenticazione o una chiave di sicurezza, un buon gestore di password semplifica la creazione di password complesse senza riutilizzarle su più siti. "Una password forte e univoca abbinata a 2FA non SMS è la migliore forma di sicurezza dell'account", ha affermato.