CertiK pravi, da je SMS 'najbolj ranljiva' oblika 2FA v uporabi

Uporaba SMS-a kot oblike dvofaktorske avtentikacije je bila vedno priljubljena med kripto navdušenci. Navsezadnje mnogi uporabniki že trgujejo s svojimi kriptovalutami ali upravljajo družbene strani na svojih telefonih, zakaj torej ne bi preprosto uporabili SMS za preverjanje pri dostopu do občutljive finančne vsebine?

Na žalost so se prevaranti v zadnjem času lotili izkoriščanja bogastva, zakopanega pod to plastjo varnosti, prek zamenjave kartice SIM ali postopka preusmeritve kartice SIM osebe na telefon, ki ga ima heker. V številnih jurisdikcijah po vsem svetu zaposleni v telekomunikacijah ne bodo zahtevali državne osebne izkaznice, identifikacije obraza ali številke socialnega zavarovanja za obravnavo preproste zahteve za prenos.

V kombinaciji s hitrim iskanjem javno dostopnih osebnih podatkov (precej običajno za zainteresirane strani spleta 3.0) in vprašanji za obnovitev, ki jih je enostavno uganiti, lahko imitatorji hitro prenesejo SMS 2FA računa na svoj telefon in ga začnejo uporabljati za nečedne namene. V začetku tega leta je veliko kripto Youtuberjev postalo žrtev napada zamenjave kartice SIM, kjer so hekerji objavili prevarantski videoposnetki na njihovem kanalu z besedilom, ki gledalce usmerja, naj pošljejo denar v hekerjevo denarnico. Junija je bil uradni račun projekta Solana NFT Duppies vdrt prek SIM-Swap, pri čemer so hekerji tvitali povezave do lažne prikrite kovnice.

V zvezi s to zadevo se je Cointelegraph pogovarjal s strokovnjakom za varnost pri CertiK Jessejem Leclerejem. CertiK, znan kot vodilni v varnostnem prostoru verige blokov, je od leta 3,600 pomagal več kot 360 projektom zavarovati digitalna sredstva v vrednosti 66,000 milijard dolarjev in zaznal več kot 2018 ranljivosti. Leclere je povedal:

»SMS 2FA je boljši kot nič, vendar je najbolj ranljiva oblika 2FA, ki se trenutno uporablja. Njegova privlačnost izvira iz enostavne uporabe: večina ljudi uporablja svoj telefon ali pa ga ima pri roki, ko se prijavljajo v spletne platforme. Toda njene ranljivosti za zamenjavo kartic SIM ne gre podcenjevati.«

Leclerc je pojasnil, da namenske aplikacije za preverjanje pristnosti, kot so Google Authenticator, Authy ali Duo, ponujajo skoraj vse udobje SMS 2FA, hkrati pa odpravljajo tveganje zamenjave kartice SIM. Na vprašanje, ali lahko virtualne kartice ali kartice eSIM zavarujejo tveganje napadov lažnega predstavljanja, povezanih z zamenjavo kartice SIM, je za Leclerca odgovor jasen ne:

»Upoštevati je treba, da se napadi z zamenjavo SIM zanašajo na goljufije z identiteto in socialni inženiring. Če lahko slab igralec pretenta zaposlenega v telekomunikacijskem podjetju, da misli, da je zakoniti lastnik številke, povezane s fizično kartico SIM, lahko to stori tudi za eSIM.

Čeprav je mogoče takšne napade odvrniti z zaklepanjem kartice SIM na telefon (telekomunikacijska podjetja lahko tudi odklepajo telefone), Leclere kljub temu opozarja na zlati standard uporabe fizičnih varnostnih ključev. »Ti ključi se priključijo na vrata USB vašega računalnika in nekateri imajo omogočeno komunikacijo bližnjega polja (NFC) za lažjo uporabo z mobilnimi napravami,« pojasnjuje Leclere. "Napadalec bi moral ne le poznati vaše geslo, ampak bi se fizično polastil tega ključa, da bi prišel do vašega računa."

Leclere poudarja, da po predpisu uporabe varnostnih ključev za zaposlene leta 2017 Google ni doživel nobenega uspešnega lažnega predstavljanja. »Vendar so tako učinkoviti, da če izgubite en sam ključ, ki je vezan na vaš račun, najverjetneje ne boste mogli znova pridobiti dostopa do njega. Hranjenje več ključev na varnih lokacijah je pomembno,« je dodal.

Končno je Leclere dejal, da dober upravitelj gesel poleg uporabe aplikacije za preverjanje pristnosti ali varnostnega ključa olajša ustvarjanje močnih gesel, ne da bi jih ponovno uporabili na več spletnih mestih. "Močno, edinstveno geslo v kombinaciji z 2FA brez SMS-a je najboljša oblika varnosti računa," je izjavil.