השימוש ב-SMS כצורה של אימות דו-גורמי תמיד היה פופולרי בקרב חובבי קריפטו. אחרי הכל, משתמשים רבים כבר סוחרים בקריפטו שלהם או מנהלים דפים חברתיים בטלפונים שלהם, אז למה לא פשוט להשתמש ב-SMS כדי לאמת בעת גישה לתוכן פיננסי רגיש?
לרוע המזל, רמאים תפסו לאחרונה לנצל את העושר הקבור מתחת לשכבת האבטחה הזו באמצעות החלפת SIM, או תהליך של ניתוב מחדש של כרטיס ה-SIM של אדם לטלפון שנמצא ברשותו של האקר. בתחומי שיפוט רבים ברחבי העולם, עובדי טלקום לא יבקשו תעודה מזהה ממשלתית, זיהוי פנים או מספרי תעודת זהות כדי לטפל בבקשת העברה פשוטה.
בשילוב עם חיפוש מהיר אחר מידע אישי זמין לציבור (די נפוץ עבור בעלי עניין ב-Web 3.0) ושאלות שחזור קלות לניחוש, מתחזים יכולים להעביר במהירות את ה-SMS 2FA של חשבון לטלפון שלהם ולהתחיל להשתמש בו באמצעים מרושעים. מוקדם יותר השנה, יוטיוברים קריפטו רבים נפלו קורבן למתקפת החלפת SIM שבה האקרים פרסמו סרטוני הונאה בערוץ שלהם עם טקסט המורה לצופים לשלוח כסף לארנק של ההאקר. ביוני, פרויקט Solana NFT Duppies נפרץ חשבון הטוויטר הרשמי שלו באמצעות SIM-Swap עם האקרים שצייצים קישורים למנטה חמקנית מזויפת.
בנוגע לעניין זה, קוינטלגרף שוחח עם מומחה האבטחה של CertiK, ג'סי לקלר. CertiK, הידועה כמובילה בתחום אבטחת הבלוקצ'יין, סייעה ליותר מ-3,600 פרויקטים להבטיח נכסים דיגיטליים בשווי 360 מיליארד דולר וזיהתה למעלה מ-66,000 נקודות תורפה מאז 2018. הנה מה שהיה ללקלר לומר:
"SMS 2FA עדיף מכלום, אבל זו הצורה הפגיעה ביותר של 2FA שנמצאת כיום בשימוש. המשיכה שלו נובעת מקלות השימוש שלו: רוב האנשים נמצאים בטלפון שלהם או שיש לו אותו בהישג יד כשהם נכנסים לפלטפורמות מקוונות. אבל אי אפשר לזלזל בפגיעות שלו להחלפת כרטיסי SIM".
Leclerc הסביר כי אפליקציות אימות ייעודיות, כגון Google Authenticator, Authy או Duo, מציעות כמעט את כל הנוחות של SMS 2FA תוך הסרת הסיכון של החלפת SIM. כשנשאל האם כרטיסים וירטואליים או eSIM יכולים להגן על הסיכון להתקפות פישינג הקשורות להחלפת SIM, עבור Leclerc, התשובה היא לא ברור:
"צריך לזכור שהתקפות החלפת SIM מסתמכות על הונאת זהות והנדסה חברתית. אם שחקן גרוע יכול להערים על עובד בחברת טלקום לחשוב שהוא הבעלים הלגיטימי של מספר המחובר ל-SIM פיזי, הוא יכול לעשות זאת גם עבור eSIM.
למרות שניתן להרתיע התקפות כאלה על ידי נעילת כרטיס ה-SIM לטלפון (חברות טלקום יכולות גם לפתוח טלפונים), בכל זאת Leclere מצביע על תקן הזהב של שימוש במפתחות אבטחה פיזיים. "מפתחות אלה מתחברים ליציאת ה-USB של המחשב שלך, וחלקם מופעלים בתקשורת בשדה קרוב (NFC) לשימוש קל יותר עם מכשירים ניידים", מסביר לקלר. "תוקף יצטרך לא רק לדעת את הסיסמה שלך אלא גם להשתלט על המפתח הזה פיזית כדי להיכנס לחשבון שלך."
Leclere מציינת כי לאחר שהורתה שימוש במפתחות אבטחה לעובדים ב-2017, גוגל חוותה אפס התקפות פישינג מוצלחות. "עם זאת, הם כל כך יעילים שאם תאבד את המפתח האחד שקשור לחשבון שלך, סביר להניח שלא תוכל לקבל בחזרה גישה אליו. שמירה על מספר מפתחות במקומות בטוחים היא חשובה", הוסיף.
לבסוף Leclere אמר כי בנוסף לשימוש באפליקציית אימות או מפתח אבטחה, מנהל סיסמאות טוב מקל על יצירת סיסמאות חזקות מבלי לעשות בהן שימוש חוזר במספר אתרים. "סיסמה חזקה וייחודית בשילוב עם 2FA שאינה SMS היא הצורה הטובה ביותר של אבטחת חשבון", הוא הצהיר.
