Używanie SMS-ów jako formy uwierzytelniania dwuskładnikowego zawsze było popularne wśród entuzjastów kryptowalut. W końcu wielu użytkowników już handluje swoimi kryptowalutami lub zarządza stronami społecznościowymi na swoich telefonach, więc dlaczego nie po prostu użyć SMS-ów do weryfikacji podczas uzyskiwania dostępu do poufnych treści finansowych?
Niestety, oszuści ostatnio przyłapali się na wykorzystywaniu bogactwa ukrytego pod tą warstwą zabezpieczeń poprzez zamianę kart SIM lub proces przekierowywania karty SIM danej osoby na telefon będący w posiadaniu hakera. W wielu jurysdykcjach na całym świecie pracownicy telekomunikacji nie proszą o podanie urzędowego dowodu tożsamości, identyfikacji twarzy lub numeru ubezpieczenia społecznego, aby obsłużyć proste żądanie przeniesienia.
W połączeniu z szybkim wyszukiwaniem publicznie dostępnych informacji osobistych (co jest dość powszechne wśród interesariuszy Web 3.0) i łatwymi do odgadnięcia pytaniami umożliwiającymi odzyskanie konta, osoby podszywające się mogą szybko przenieść SMS-a 2FA konta na swój telefon i zacząć go używać do niecnych celów. Na początku tego roku wielu krypto-youtuberów padło ofiarą ataku typu SIM-swap, w którym publikowali hakerzy oszukańcze filmy na swoim kanale z tekstem kierującym widzów do przesłania pieniędzy do portfela hakera. W czerwcu włamano się na oficjalne konto projektu Solana NFT Duppies na Twitterze za pośrednictwem wymiany karty SIM, a hakerzy tweetowali linki do fałszywej mennicy stealth.
W tej sprawie Cointelegraph rozmawiał z ekspertem ds. bezpieczeństwa firmy CertiK, Jesse Leclere. Znany jako lider w dziedzinie bezpieczeństwa blockchain, CertiK pomógł ponad 3,600 projektom zabezpieczyć zasoby cyfrowe o wartości 360 miliardów dolarów i wykrył ponad 66,000 2018 luk w zabezpieczeniach od XNUMX roku. Oto, co Leclere miał do powiedzenia:
„SMS 2FA jest lepszy niż nic, ale jest to najbardziej wrażliwa obecnie używana forma 2FA. Jego atrakcyjność wynika z łatwości użytkowania: większość ludzi korzysta z telefonu lub ma go pod ręką, logując się do platform internetowych. Ale nie można lekceważyć jego podatności na zamianę kart SIM”.
Leclerc wyjaśnił, że dedykowane aplikacje uwierzytelniające, takie jak Google Authenticator, Authy lub Duo, oferują prawie całą wygodę SMS 2FA, jednocześnie eliminując ryzyko zamiany karty SIM. Na pytanie, czy karty wirtualne lub karty eSIM mogą zabezpieczyć się przed atakami phishingowymi związanymi z wymianą karty SIM, dla Leclerca odpowiedź jest jednoznaczna:
„Należy pamiętać, że ataki polegające na zamianie karty SIM opierają się na oszustwach związanych z tożsamością i inżynierii społecznej. Jeśli zły aktor może oszukać pracownika firmy telekomunikacyjnej, by pomyślał, że jest prawowitym właścicielem numeru dołączonego do fizycznej karty SIM, może to zrobić również dla eSIM.
Chociaż możliwe jest powstrzymanie takich ataków poprzez zablokowanie karty SIM w telefonie (firmy telekomunikacyjne mogą również odblokowywać telefony), Leclere wskazuje jednak na złoty standard korzystania z fizycznych kluczy bezpieczeństwa. „Klawisze te podłącza się do portu USB komputera, a niektóre obsługują komunikację bliskiego zasięgu (NFC), co ułatwia korzystanie z urządzeń mobilnych” — wyjaśnia Leclere. „Atakujący musiałby nie tylko znać Twoje hasło, ale także fizycznie przejąć ten klucz, aby dostać się na Twoje konto”.
Leclere zwraca uwagę, że po narzuceniu pracownikom kluczy bezpieczeństwa w 2017 r. firma Google nie doświadczyła żadnych udanych ataków phishingowych. „Są jednak tak skuteczne, że jeśli zgubisz jeden klucz powiązany z Twoim kontem, najprawdopodobniej nie będziesz w stanie odzyskać do niego dostępu. Przechowywanie wielu kluczy w bezpiecznych miejscach jest ważne – dodał.
Wreszcie Leclere twierdzi, że oprócz korzystania z aplikacji uwierzytelniającej lub klucza bezpieczeństwa, dobry menedżer haseł ułatwia tworzenie silnych haseł bez ponownego wykorzystywania ich w wielu witrynach. „Silne, niepowtarzalne hasło w połączeniu z 2FA bez SMS-ów to najlepsza forma zabezpieczenia konta” – stwierdził.
- Bitcoin
- blockchain
- zgodność z technologią blockchain
- konferencja blockchain
- CertiK
- coinbase
- pomysłowość
- Cointelegraph
- Zgoda
- konferencja kryptograficzna
- wydobycie kryptograficzne
- cryptocurrencies
- kryptowaluta
- Zdecentralizowane
- DeFi
- Zasoby cyfrowe
- ethereum
- uczenie maszynowe
- niezamienny żeton
- plato
- Platon Ai
- Analiza danych Platona
- Platoblockchain
- PlatoDane
- platogaming
- Wielokąt
- dowód stawki
- TAK
- W3
- zefirnet
