SMS を XNUMX 要素認証の形式として使用することは、暗号愛好家の間で常に人気があります。 結局のところ、多くのユーザーはすでに仮想通貨を取引したり、携帯電話でソーシャル ページを管理したりしているのですから、機密性の高い金融コンテンツにアクセスするときに SMS を使用して確認しないのはなぜでしょうか?
残念なことに、詐欺師は最近、SIM スワッピング、またはハッカーが所有する電話に人の SIM カードを再ルーティングするプロセスを介して、このセキュリティ層の下に埋もれている富を悪用することに気付きました. 世界中の多くの法域で、通信会社の従業員は、単純な移植要求を処理するために政府 ID、顔識別番号、または社会保障番号を要求することはありません。
公開されている個人情報 (Web 3.0 の利害関係者にとっては非常に一般的) のクイック検索と推測しやすい回復用の質問を組み合わせることで、なりすましはアカウントの SMS 2FA を自分の電話にすばやく移植し、悪意のある手段に使用し始めることができます。 今年の初め、多くの仮想通貨ユーチューバーが、ハッカーが投稿した SIM スワップ攻撃の犠牲になりました。 詐欺ビデオ ハッカーのウォレットに送金するように視聴者に指示するテキストをチャンネルに表示します。 XNUMX 月、Solana NFT プロジェクトの Duppies は、ハッカーが偽のステルス ミントへのリンクをツイートする SIM-Swap を介して公式 Twitter アカウントを侵害しました。
この問題に関して、コインテレグラフは CertiK のセキュリティ専門家である Jesse Leclere に話を聞いた。 ブロックチェーン セキュリティ分野のリーダーとして知られる CertiK は、3,600 年以来、360 以上のプロジェクトが 66,000 億ドル相当のデジタル資産を保護するのを支援し、2018 以上の脆弱性を検出してきました。
「SMS 2FA は何もないよりはましですが、現在使用されている 2FA の中で最も脆弱な形式です。 その魅力は、その使いやすさにあります。ほとんどの人は、オンライン プラットフォームにログインするときに携帯電話を使用しているか、携帯電話を手元に置いています。 しかし、SIM カードのスワップに対する脆弱性を過小評価することはできません。」
Leclerc 氏は、Google Authenticator、Authy、Duo などの専用の認証アプリは、SIM スワップのリスクを排除しながら、SMS 2FA のほぼすべての利便性を提供すると説明しました。 仮想または eSIM カードが SIM スワップ関連のフィッシング攻撃のリスクを回避できるかどうかを尋ねられたとき、Leclerc 氏の答えは明確にノーです。
「SIM スワップ攻撃は ID 詐欺とソーシャル エンジニアリングに依存していることに留意する必要があります。 悪意のある人物が通信会社の従業員をだまして物理的な SIM に添付された番号の正当な所有者であると思わせることができる場合、eSIM についてもそうすることができます。
SIM カードを自分の電話にロックすることでこのような攻撃を阻止することは可能ですが (通信会社は電話のロックを解除することもできます)、それでも Leclere は物理的なセキュリティ キーを使用するというゴールド スタンダードを指摘しています。 「これらのキーはコンピュータの USB ポートに接続します。一部のキーは、モバイル デバイスで簡単に使用できるように近距離通信 (NFC) に対応しています」と Leclere 氏は説明します。 「攻撃者がアカウントに侵入するには、パスワードを知るだけでなく、このキーを物理的に取得する必要があります。」
Leclere 氏は、2017 年に従業員にセキュリティ キーの使用を義務付けて以来、Google はフィッシング攻撃の成功を経験していないと指摘しています。 「しかし、それらは非常に効果的であるため、アカウントに関連付けられているキーを XNUMX つ失うと、そのキーに再びアクセスできなくなる可能性が高くなります。 複数のキーを安全な場所に保管することが重要です」と彼は付け加えました。
最後に、認証アプリやセキュリティ キーを使用することに加えて、優れたパスワード マネージャーを使用すると、複数のサイトでパスワードを再利用することなく、強力なパスワードを簡単に作成できます。 「非 SMS 2FA と組み合わせた強力で一意のパスワードは、アカウント セキュリティの最良の形態です」と彼は述べています。
