การใช้ SMS เป็นรูปแบบการตรวจสอบสิทธิ์แบบสองปัจจัยได้รับความนิยมในหมู่ผู้ที่ชื่นชอบการเข้ารหัสลับมาโดยตลอด ท้ายที่สุดแล้ว ผู้ใช้จำนวนมากซื้อขาย cryptos หรือจัดการหน้าโซเชียลบนโทรศัพท์อยู่แล้ว ทำไมไม่ลองใช้ SMS เพื่อยืนยันเมื่อเข้าถึงเนื้อหาทางการเงินที่ละเอียดอ่อนล่ะ
น่าเสียดายที่เมื่อเร็ว ๆ นี้นักต้มตุ๋นได้ใช้ประโยชน์จากความมั่งคั่งที่ฝังอยู่ใต้ชั้นความปลอดภัยนี้ผ่านการสลับซิมหรือกระบวนการเปลี่ยนเส้นทางซิมการ์ดของบุคคลไปยังโทรศัพท์ที่แฮ็กเกอร์ครอบครอง ในเขตอำนาจศาลหลายแห่งทั่วโลก พนักงานโทรคมนาคมจะไม่ขอบัตรประจำตัวประชาชน บัตรประจำตัวใบหน้า หรือหมายเลขประกันสังคมเพื่อจัดการกับคำขอย้ายข้อมูลง่ายๆ
เมื่อรวมกับการค้นหาข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะอย่างรวดเร็ว (ซึ่งเป็นเรื่องปกติสำหรับผู้มีส่วนได้ส่วนเสียของ Web 3.0) และคำถามการกู้คืนที่คาดเดาได้ง่าย ผู้แอบอ้างสามารถย้าย SMS 2FA ของบัญชีไปยังโทรศัพท์ของตนได้อย่างรวดเร็ว และเริ่มใช้เพื่อวัตถุประสงค์ที่ชั่วร้าย เมื่อต้นปีที่ผ่านมา ผู้ใช้ Youtube ที่ใช้ crypto จำนวนมากตกเป็นเหยื่อของการโจมตีแบบ SIM-swap ซึ่งแฮกเกอร์โพสต์ไว้ วิดีโอหลอกลวง ในช่องของพวกเขาพร้อมข้อความที่แนะนำให้ผู้ดูส่งเงินเข้ากระเป๋าเงินของแฮ็กเกอร์ ในเดือนมิถุนายน โครงการ Solana NFT Duppies มีบัญชี Twitter อย่างเป็นทางการถูกละเมิดผ่าน SIM-Swap โดยมีแฮกเกอร์ทวีตลิงก์ไปยังเหรียญกษาปณ์ปลอม
เกี่ยวกับเรื่องนี้ Cointelegraph ได้พูดคุยกับ Jesse Leclere ผู้เชี่ยวชาญด้านความปลอดภัยของ CertiK CertiK เป็นที่รู้จักในฐานะผู้นำด้านความปลอดภัยบล็อกเชน โดยได้ช่วยเหลือโครงการกว่า 3,600 โครงการให้รักษาความปลอดภัยของสินทรัพย์ดิจิทัลมูลค่า 360 พันล้านดอลลาร์ และตรวจพบช่องโหว่มากกว่า 66,000 รายการตั้งแต่ปี 2018 นี่คือสิ่งที่ Leclere พูด:
“SMS 2FA นั้นดีกว่าไม่มีเลย แต่มันเป็นรูปแบบที่เปราะบางที่สุดของ 2FA ที่ใช้งานอยู่ในปัจจุบัน ความน่าดึงดูดใจมาจากการใช้งานง่าย: คนส่วนใหญ่ใช้โทรศัพท์หรือพกโทรศัพท์ไว้ใกล้มือเมื่อลงชื่อเข้าใช้แพลตฟอร์มออนไลน์ แต่จุดอ่อนของการแลกเปลี่ยนซิมการ์ดนั้นไม่สามารถประเมินได้”
Leclerc อธิบายว่าแอปรับรองความถูกต้องโดยเฉพาะ เช่น Google Authenticator, Authy หรือ Duo มอบความสะดวกสบายเกือบทั้งหมดของ SMS 2FA ในขณะที่ลดความเสี่ยงในการเปลี่ยนซิม เมื่อถูกถามว่าการ์ดเสมือนหรือ eSIM สามารถป้องกันความเสี่ยงของการโจมตีฟิชชิ่งที่เกี่ยวข้องกับ SIM Swap ได้หรือไม่ สำหรับ Leclerc คำตอบคือไม่ชัดเจนว่า:
“เราต้องจำไว้ว่าการโจมตี SIM-swap นั้นอาศัยการปลอมแปลงข้อมูลประจำตัวและวิศวกรรมสังคม หากผู้ไม่หวังดีสามารถหลอกให้พนักงานในบริษัทโทรคมนาคมคิดว่าตนเป็นเจ้าของหมายเลขที่แนบกับซิมจริงที่ถูกต้อง พวกเขาก็สามารถทำได้สำหรับ eSIM เช่นกัน
แม้ว่าจะสามารถยับยั้งการโจมตีดังกล่าวได้โดยการล็อกซิมการ์ดลงในโทรศัพท์ของตน (บริษัทโทรคมนาคมสามารถปลดล็อกโทรศัพท์ได้) Leclere ยังชี้ให้เห็นถึงมาตรฐานทองคำของการใช้คีย์ความปลอดภัยทางกายภาพ “ปุ่มเหล่านี้เสียบเข้ากับพอร์ต USB ของคอมพิวเตอร์ของคุณ และบางปุ่มก็เปิดใช้งานการสื่อสารระยะใกล้ (NFC) เพื่อให้ใช้งานกับอุปกรณ์มือถือได้ง่ายขึ้น” Leclere อธิบาย “ผู้โจมตีไม่เพียงต้องรู้รหัสผ่านของคุณเท่านั้น แต่ยังต้องครอบครองคีย์นี้ด้วยทางกายภาพเพื่อเข้าสู่บัญชีของคุณ”
Leclere ชี้ให้เห็นว่าหลังจากมอบอำนาจให้ใช้คีย์ความปลอดภัยสำหรับพนักงานในปี 2017 Google ก็ประสบกับการโจมตีแบบฟิชชิ่งที่ประสบความสำเร็จเป็นศูนย์ “อย่างไรก็ตาม มันมีประสิทธิภาพมากจนหากคุณทำกุญแจหนึ่งตัวที่ผูกกับบัญชีของคุณหาย คุณมักจะไม่สามารถเข้าถึงมันได้อีก การเก็บกุญแจหลายดอกไว้ในที่ปลอดภัยเป็นสิ่งสำคัญ” เขากล่าวเสริม
สุดท้าย Leclere กล่าวว่านอกเหนือจากการใช้แอปรับรองความถูกต้องหรือคีย์ความปลอดภัยแล้ว ผู้จัดการรหัสผ่านที่ดียังช่วยให้สร้างรหัสผ่านที่รัดกุมได้ง่ายโดยไม่ต้องนำกลับมาใช้ซ้ำในหลายไซต์ “รหัสผ่านที่รัดกุมและไม่ซ้ำใครที่จับคู่กับที่ไม่ใช่ SMS 2FA คือรูปแบบการรักษาความปลอดภัยบัญชีที่ดีที่สุด” เขากล่าว
- Bitcoin
- blockchain
- การปฏิบัติตามบล็อคเชน
- การประชุม blockchain
- CertiK
- coinbase
- เหรียญอัจฉริยะ
- Cointelegraph
- เอกฉันท์
- การประชุม crypto
- การทำเหมือง crypto
- คริปโตเคอร์เรนซี่
- cryptocurrency
- ซึ่งกระจายอำนาจ
- Defi
- สินทรัพย์ดิจิทัล
- ethereum
- เรียนรู้เครื่อง
- โทเค็นที่ไม่สามารถทำซ้ำได้
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- Platoblockchain
- เพลโตดาต้า
- เพลโตเกม
- รูปหลายเหลี่ยม
- หลักฐานการเดิมพัน
- YES
- W3
- ลมทะเล
