CertiK говорит, что SMS является «наиболее уязвимой» формой 2FA в использовании

Использование SMS как формы двухфакторной аутентификации всегда было популярно среди криптоэнтузиастов. В конце концов, многие пользователи уже торгуют своими криптовалютами или управляют социальными страницами на своих телефонах, так почему бы просто не использовать SMS для проверки при доступе к конфиденциальному финансовому контенту?

К сожалению, в последнее время мошенники научились использовать богатство, скрытое под этим уровнем безопасности, посредством замены SIM-карты или процесса перенаправления SIM-карты человека на телефон, который находится во владении хакера. Во многих юрисдикциях по всему миру сотрудники телекоммуникационных компаний не будут запрашивать государственное удостоверение личности, идентификацию лица или номера социального страхования для обработки простого запроса на перенос.

В сочетании с быстрым поиском общедоступной личной информации (довольно распространенным явлением для заинтересованных сторон Web 3.0) и легко угадываемыми вопросами восстановления мошенники могут быстро перенести двухфакторную аутентификацию SMS учетной записи на свой телефон и начать использовать ее в гнусных целях. Ранее в этом году многие крипто-ютуберы стали жертвами атаки с подменой SIM-карты, когда хакеры опубликовали мошеннические видео на своем канале с текстом, предлагающим зрителям отправить деньги на кошелек хакера. В июне у проекта Solana NFT Duppies была взломана официальная учетная запись Twitter с помощью SIM-Swap, когда хакеры разместили в Твиттере ссылки на поддельный стелс-монетный двор.

По этому поводу Cointelegraph поговорил с экспертом по безопасности CertiK Джесси Леклером. Компания CertiK, известная как лидер в области безопасности блокчейнов, помогла более чем 3,600 проектам защитить цифровые активы на сумму 360 миллиардов долларов и с 66,000 года обнаружила более 2018 XNUMX уязвимостей. Вот что сказал Леклер:

«SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время. Его привлекательность обусловлена ​​простотой использования: большинство людей либо разговаривают по телефону, либо держат его под рукой, когда входят на онлайн-платформы. Но его уязвимость к подмене SIM-карты нельзя недооценивать».

Леклерк объяснил, что специальные приложения для проверки подлинности, такие как Google Authenticator, Authy или Duo, предлагают почти все удобства SMS 2FA, устраняя при этом риск подмены SIM-карты. На вопрос, могут ли виртуальные карты или карты eSIM снизить риск фишинговых атак, связанных с подменой SIM-карт, Leclerc ответил однозначно: нет:

«Необходимо помнить, что атаки с подменой SIM-карты основаны на мошенничестве с идентификацией и социальной инженерии. Если злоумышленник может обмануть сотрудника телекоммуникационной фирмы, заставив его думать, что он является законным владельцем номера, прикрепленного к физической SIM-карте, он может сделать это и для eSIM.

Хотя такие атаки можно предотвратить, привязав SIM-карту к телефону (телекоммуникационные компании также могут разблокировать телефоны), Леклер, тем не менее, указывает на золотой стандарт использования физических ключей безопасности. «Эти ключи подключаются к USB-порту вашего компьютера, а некоторые поддерживают связь ближнего радиуса действия (NFC) для более удобного использования с мобильными устройствами», — объясняет Леклер. «Злоумышленнику нужно будет не только знать ваш пароль, но и физически завладеть этим ключом, чтобы получить доступ к вашей учетной записи».

Леклер отмечает, что после того, как в 2017 году Google обязала сотрудников использовать ключи безопасности, успешных фишинговых атак не было. «Однако они настолько эффективны, что если вы потеряете тот единственный ключ, который привязан к вашей учетной записи, вы, скорее всего, не сможете восстановить к нему доступ. Важно хранить несколько ключей в безопасных местах», — добавил он.

Наконец, Леклер сказал, что в дополнение к использованию приложения для проверки подлинности или ключа безопасности хороший менеджер паролей позволяет легко создавать надежные пароли без повторного использования их на нескольких сайтах. «Надежный уникальный пароль в сочетании с двухфакторной аутентификацией без SMS — лучшая форма безопасности учетной записи», — заявил он.