CertiK säger att SMS är den "mest sårbara" formen av 2FA som används

Att använda SMS som en form av tvåfaktorsautentisering har alltid varit populärt bland kryptoentusiaster. När allt kommer omkring handlar många användare redan med sina kryptor eller hanterar sociala sidor på sina telefoner, så varför inte helt enkelt använda SMS för att verifiera när de kommer åt känsligt finansiellt innehåll?

Tyvärr har bedragare på sistone kommit på att utnyttja rikedomen som ligger begravd under detta säkerhetslager via SIM-byte, eller processen att omdirigera en persons SIM-kort till en telefon som är i besittning av en hackare. I många jurisdiktioner över hela världen kommer telekomanställda inte att be om statligt ID, ansiktsidentifikation eller personnummer för att hantera en enkel porteringsförfrågan.

I kombination med en snabb sökning efter allmänt tillgänglig personlig information (ganska vanligt för Web 3.0-intressenter) och lätta att gissa återställningsfrågor, kan imitatörer snabbt porta ett kontos SMS 2FA till sin telefon och börja använda det för skändliga medel. Tidigare i år föll många krypto-youtubers offer för en SIM-swap-attack där hackare postade bluffvideor på sin kanal med text som uppmanar tittarna att skicka pengar till hackarens plånbok. I juni fick Solana NFT-projektet Duppies sitt officiella Twitter-konto brutet via ett SIM-byte med hackare som twittrade länkar till en falsk smygmynta.

När det gäller denna fråga talade Cointelegraph med CertiK:s säkerhetsexpert Jesse Leclere. CertiK är känt som en ledare inom blockchain-säkerhetsområdet och har hjälpt över 3,600 360 projekt att säkra digitala tillgångar till ett värde av 66,000 miljarder dollar och upptäckt över 2018 XNUMX sårbarheter sedan XNUMX. Här är vad Leclere hade att säga:

"SMS 2FA är bättre än ingenting, men det är den mest sårbara formen av 2FA som används för närvarande. Dess tilltalande kommer från dess användarvänlighet: de flesta använder antingen sin telefon eller har den nära till hands när de loggar in på onlineplattformar. Men dess sårbarhet för SIM-kortsbyten kan inte underskattas.”

Leclerc förklarade att dedikerade autentiseringsappar, som Google Authenticator, Authy eller Duo, erbjuder nästan all bekvämlighet med SMS 2FA samtidigt som de tar bort risken för SIM-byte. På frågan om virtuella eller eSIM-kort kan skydda bort risken för SIM-swap-relaterade nätfiskeattacker, för Leclerc, är svaret ett klart nej:

"Man måste komma ihåg att SIM-bytesattacker bygger på identitetsbedrägerier och social ingenjörskonst. Om en dålig skådespelare kan lura en anställd på ett telekomföretag att tro att de är den legitima ägaren till ett nummer kopplat till ett fysiskt SIM-kort, kan de också göra det för ett eSIM.

Även om det är möjligt att avskräcka sådana attacker genom att låsa SIM-kortet till sin telefon (Telekombolag kan även låsa upp telefoner), pekar Leclere ändå på guldstandarden med att använda fysiska säkerhetsnycklar. "Dessa nycklar ansluts till din dators USB-port, och vissa är aktiverade för närfältskommunikation (NFC) för enklare användning med mobila enheter", förklarar Leclere. "En angripare behöver inte bara känna till ditt lösenord utan också fysiskt ta den här nyckeln i besittning för att komma in på ditt konto."

Leclere påpekar att efter att ha beordrat användningen av säkerhetsnycklar för anställda 2017, har Google upplevt noll framgångsrika nätfiskeattacker. "Men de är så effektiva att om du tappar den enda nyckeln som är kopplad till ditt konto, kommer du med största sannolikhet inte att kunna återfå åtkomst till den. Det är viktigt att ha flera nycklar på säkra platser”, tillade han.

Slutligen säger Leclere att förutom att använda en autentiseringsapp eller en säkerhetsnyckel, gör en bra lösenordshanterare det enkelt att skapa starka lösenord utan att återanvända dem på flera webbplatser. "Ett starkt, unikt lösenord parat med icke-SMS 2FA är den bästa formen av kontosäkerhet," sa han.