CertiK sier SMS er den 'mest sårbare' formen for 2FA som er i bruk

Å bruke SMS som en form for tofaktorautentisering har alltid vært populært blant kryptoentusiaster. Tross alt handler mange brukere allerede kryptoene sine eller administrerer sosiale sider på telefonene sine, så hvorfor ikke bare bruke SMS for å bekrefte når de får tilgang til sensitivt økonomisk innhold?

Dessverre har svindlere i det siste tatt på seg å utnytte rikdommen begravd under dette sikkerhetslaget via SIM-bytte, eller prosessen med å omdirigere en persons SIM-kort til en telefon som er i besittelse av en hacker. I mange jurisdiksjoner over hele verden vil ikke telekomansatte be om offentlig ID, ansiktsidentifikasjon eller personnummer for å håndtere en enkel porteringsforespørsel.

Kombinert med et raskt søk etter offentlig tilgjengelig personlig informasjon (ganske vanlig for Web 3.0-interessenter) og enkle å gjette gjenopprettingsspørsmål, kan etterlignere raskt overføre en kontos SMS 2FA til telefonen og begynne å bruke den for ondsinnede midler. Tidligere i år ble mange krypto-youtubere ofre for et SIM-bytteangrep der hackere postet svindelvideoer på kanalen deres med tekst som ber seerne sende penger til hackerens lommebok. I juni fikk Solana NFT-prosjektet Duppies sin offisielle Twitter-konto brutt via en SIM-bytte med hackere som twitret lenker til en falsk stealth mynte.

Med hensyn til denne saken snakket Cointelegraph med CertiKs sikkerhetsekspert Jesse Leclere. CertiK er kjent som en leder innen blokkjedesikkerhetsområdet, og har hjulpet over 3,600 prosjekter med å sikre digitale eiendeler verdt 360 milliarder dollar og oppdaget over 66,000 2018 sårbarheter siden XNUMX. Her er hva Leclere hadde å si:

"SMS 2FA er bedre enn ingenting, men det er den mest sårbare formen for 2FA som er i bruk. Appellen kommer fra dens brukervennlighet: de fleste er enten på telefonen eller har den for hånden når de logger på nettplattformer. Men sårbarheten for SIM-kortbytte kan ikke undervurderes.»

Leclerc forklarte at dedikerte autentiseringsapper, som Google Authenticator, Authy eller Duo, tilbyr nesten all bekvemmeligheten til SMS 2FA samtidig som de fjerner risikoen for SIM-bytte. På spørsmål om virtuelle eller eSIM-kort kan dekke bort risikoen for SIM-bytte-relaterte phishing-angrep, for Leclerc, er svaret et klart nei:

"Man må huske på at SIM-bytteangrep er avhengige av identitetssvindel og sosial konstruksjon. Hvis en dårlig skuespiller kan lure en ansatt i et telekomfirma til å tro at de er den legitime eieren av et nummer knyttet til et fysisk SIM-kort, kan de også gjøre det for et eSIM.

Selv om det er mulig å avskrekke slike angrep ved å låse SIM-kortet til telefonen (teleselskaper kan også låse opp telefoner), peker Leclere likevel på gullstandarden med å bruke fysiske sikkerhetsnøkler. "Disse tastene kobles til datamaskinens USB-port, og noen er nærfeltskommunikasjon (NFC) aktivert for enklere bruk med mobile enheter," forklarer Leclere. "En angriper må ikke bare kjenne passordet ditt, men fysisk ta denne nøkkelen i besittelse for å komme inn på kontoen din."

Leclere påpeker at etter å ha gitt mandat til bruk av sikkerhetsnøkler for ansatte i 2017, har Google opplevd null vellykkede phishing-angrep. "Men de er så effektive at hvis du mister den ene nøkkelen som er knyttet til kontoen din, vil du mest sannsynlig ikke kunne få tilgang til den igjen. Det er viktig å oppbevare flere nøkler på trygge steder," la han til.

Til slutt sa Leclere at i tillegg til å bruke en autentiseringsapp eller en sikkerhetsnøkkel, gjør en god passordbehandler det enkelt å lage sterke passord uten å gjenbruke dem på flere nettsteder. "Et sterkt, unikt passord sammen med ikke-SMS 2FA er den beste formen for kontosikkerhet," sa han.