SMS를 이중 인증의 한 형태로 사용하는 것은 암호화폐 애호가들 사이에서 항상 인기가 있었습니다. 결국 많은 사용자가 이미 암호화폐를 거래하거나 휴대폰에서 소셜 페이지를 관리하고 있으므로 민감한 금융 콘텐츠에 액세스할 때 SMS를 사용하여 확인하는 것이 어떻습니까?
불행히도 사기꾼들은 최근 SIM 스와핑을 통해 이 보안 계층 아래에 묻혀 있는 부를 악용하거나 해커가 소유한 전화로 사람의 SIM 카드를 다시 라우팅하는 과정을 포착했습니다. 전 세계의 많은 관할 구역에서 통신 직원은 간단한 이전 요청을 처리하기 위해 정부 ID, 얼굴 식별 또는 사회 보장 번호를 요구하지 않습니다.
공개적으로 사용 가능한 개인 정보(Web 3.0 이해관계자에게 매우 일반적임)에 대한 빠른 검색과 추측하기 쉬운 복구 질문을 결합하여 사칭자는 계정의 SMS 2FA를 자신의 휴대폰으로 신속하게 포팅하고 이를 사악한 수단으로 사용할 수 있습니다. 올해 초, 많은 암호화폐 유튜버들이 해커들이 게시한 SIM 스왑 공격의 희생양이 되었습니다. 사기 동영상 시청자에게 해커의 지갑으로 돈을 보내도록 안내하는 텍스트를 채널에 게시합니다. 6월에 Solana NFT 프로젝트 Duppies는 해커들이 가짜 스텔스 민트에 대한 링크를 트윗하면서 SIM-Swap을 통해 공식 트위터 계정을 침해했습니다.
이 문제와 관련하여 Cointelegraph는 CertiK의 보안 전문가 Jesse Leclere와 이야기를 나눴습니다. 블록체인 보안 분야의 선두주자로 알려진 CertiK는 3,600년부터 360개 이상의 프로젝트에서 66,000억 달러 상당의 디지털 자산을 보호하고 2018개 이상의 취약점을 발견하도록 도왔습니다. Leclere는 다음과 같이 말했습니다.
“SMS 2FA는 없는 것보다는 낫지만 현재 사용 중인 2FA 중 가장 취약한 형태입니다. 그 매력은 사용 편의성에서 비롯됩니다. 대부분의 사람들은 휴대전화를 사용하거나 온라인 플랫폼에 로그인할 때 휴대전화를 가까이에 두고 있습니다. 그러나 SIM 카드 스왑에 대한 취약성은 과소평가될 수 없습니다.”
Leclerc는 Google Authenticator, Authy 또는 Duo와 같은 전용 인증 앱이 SIM 스와핑의 위험을 제거하면서 SMS 2FA의 거의 모든 편의를 제공한다고 설명했습니다. 가상 또는 eSIM 카드가 SIM 스왑 관련 피싱 공격의 위험을 방지할 수 있는지 묻는 질문에 Leclerc의 대답은 다음과 같이 명확합니다.
“SIM 스왑 공격은 신원 사기와 사회 공학에 의존한다는 점을 명심해야 합니다. 악의적인 행위자가 통신 회사의 직원을 속여 실제 SIM에 연결된 번호의 합법적인 소유자라고 생각하게 할 수 있는 경우 eSIM에 대해서도 그렇게 할 수 있습니다.
SIM 카드를 전화기에 잠그면 그러한 공격을 막을 수 있지만(통신 회사도 전화기의 잠금을 해제할 수 있음) Leclere는 그럼에도 불구하고 물리적 보안 키를 사용하는 표준을 지적합니다. "이 키는 컴퓨터의 USB 포트에 연결되며 일부는 모바일 장치에서 더 쉽게 사용할 수 있도록 NFC(근거리 통신)가 활성화되어 있습니다."라고 Leclere가 설명합니다. "공격자는 귀하의 비밀번호를 알아야 할 뿐만 아니라 귀하의 계정에 액세스하기 위해 이 키를 물리적으로 소유해야 합니다."
Leclere는 2017년 직원에게 보안 키 사용을 의무화한 후 Google에서 성공적인 피싱 공격을 경험하지 못했다고 지적합니다. “하지만 매우 효과적이어서 계정에 연결된 키 하나를 잃어버리면 해당 키에 다시 액세스할 수 없을 가능성이 큽니다. 여러 개의 키를 안전한 위치에 보관하는 것이 중요하다”고 덧붙였다.
마지막으로 Leclere는 인증 앱이나 보안 키를 사용하는 것 외에도 좋은 암호 관리자를 사용하면 여러 사이트에서 암호를 재사용하지 않고도 강력한 암호를 쉽게 만들 수 있다고 말합니다. “비 SMS 2FA와 결합된 강력하고 고유한 비밀번호는 계정 보안의 가장 좋은 형태입니다.”라고 그는 말했습니다.
