Het gebruik van sms als een vorm van tweefactorauthenticatie is altijd populair geweest onder crypto-enthousiastelingen. Veel gebruikers verhandelen immers al hun crypto's of beheren sociale pagina's op hun telefoons, dus waarom niet gewoon sms gebruiken om te verifiëren bij toegang tot gevoelige financiële inhoud?
Helaas zijn oplichters de laatste tijd betrapt op het exploiteren van de rijkdom die verborgen ligt onder deze beveiligingslaag via sim-swapping, of het proces waarbij iemands simkaart wordt omgeleid naar een telefoon die in het bezit is van een hacker. In veel rechtsgebieden over de hele wereld vragen telecommedewerkers niet om een identiteitsbewijs van de overheid, gezichtsherkenning of burgerservicenummers om een eenvoudig overdrachtsverzoek te behandelen.
Gecombineerd met een snelle zoektocht naar openbaar beschikbare persoonlijke informatie (vrij gebruikelijk voor Web 3.0-belanghebbenden) en gemakkelijk te raden herstelvragen, kunnen imitators snel de SMS 2FA van een account naar hun telefoon porteren en deze voor snode middelen gaan gebruiken. Eerder dit jaar werden veel crypto Youtubers het slachtoffer van een SIM-swap-aanval waarbij hackers plaatsten zwendel video's op hun kanaal met tekst die kijkers opdraagt geld naar de portemonnee van de hacker te sturen. In juni werd het officiële Twitter-account van het Solana NFT-project Duppies geschonden via een SIM-Swap met hackers die links tweeten naar een nep-stealth-munt.
Met betrekking tot deze kwestie sprak Cointelegraph met CertiK's beveiligingsexpert Jesse Leclere. CertiK staat bekend als een leider op het gebied van blockchain-beveiliging en heeft sinds 3,600 meer dan 360 projecten geholpen met het beveiligen van $ 66,000 miljard aan digitale activa en meer dan 2018 kwetsbaarheden gedetecteerd. Dit is wat Leclere te zeggen had:
“SMS 2FA is beter dan niets, maar het is de meest kwetsbare vorm van 2FA die momenteel in gebruik is. De aantrekkingskracht komt van het gebruiksgemak: de meeste mensen zitten op hun telefoon of hebben deze bij de hand als ze inloggen op online platforms. Maar de kwetsbaarheid ervan voor het wisselen van simkaarten kan niet worden onderschat.”
Leclerc legde uit dat speciale authenticator-apps, zoals Google Authenticator, Authy of Duo, bijna al het gemak van SMS 2FA bieden en tegelijkertijd het risico van SIM-swapping wegnemen. Op de vraag of virtuele of eSIM-kaarten het risico van SIM-swap-gerelateerde phishing-aanvallen kunnen afdekken, is het antwoord voor Leclerc een duidelijk nee:
“Je moet er rekening mee houden dat sim-swap-aanvallen afhankelijk zijn van identiteitsfraude en social engineering. Als een slechte acteur een medewerker van een telecombedrijf kan laten denken dat hij de legitieme eigenaar is van een nummer dat aan een fysieke simkaart is gekoppeld, kan hij dat ook doen voor een eSIM.
Hoewel het mogelijk is om dergelijke aanvallen af te schrikken door de simkaart op de telefoon te vergrendelen (telecombedrijven kunnen telefoons ook ontgrendelen), wijst Leclere niettemin op de gouden standaard van het gebruik van fysieke beveiligingssleutels. "Deze sleutels worden aangesloten op de USB-poort van uw computer en sommige zijn geschikt voor Near Field Communication (NFC) voor eenvoudiger gebruik met mobiele apparaten", legt Leclere uit. "Een aanvaller zou niet alleen uw wachtwoord moeten kennen, maar ook fysiek deze sleutel in bezit moeten krijgen om toegang te krijgen tot uw account."
Leclere wijst erop dat na het verplicht stellen van het gebruik van beveiligingssleutels voor werknemers in 2017, Google geen succesvolle phishing-aanvallen heeft gehad. “Ze zijn echter zo effectief dat als je die ene sleutel verliest die aan je account is gekoppeld, je er hoogstwaarschijnlijk niet meer toegang toe kunt krijgen. Het is belangrijk om meerdere sleutels op veilige locaties te bewaren", voegde hij eraan toe.
Tot slot zegt Leclere dat naast het gebruik van een authenticator-app of een beveiligingssleutel, een goede wachtwoordmanager het gemakkelijk maakt om sterke wachtwoorden te maken zonder ze op meerdere sites te hergebruiken. "Een sterk, uniek wachtwoord in combinatie met niet-sms 2FA is de beste vorm van accountbeveiliging", zei hij.
- Bitcoin
- blockchain
- blockchain-naleving
- blockchain-conferentie
- CertiK
- coinbase
- vindingrijk
- Cointelegraph
- Overeenstemming
- cryptoconferentie
- crypto mijnbouw
- cryptocurrencies
- cryptogeld
- gedecentraliseerde
- Defi
- Digitale activa
- ethereum
- machine learning
- niet-vervangbare token
- Plato
- plato ai
- Plato gegevensintelligentie
- Platoblockchain
- PlatoData
- platogamen
- Veelhoek
- Bewijs van het belang
- SIM
- W3
- zephyrnet
