CertiK, SMS'in kullanımda olan 2FA'nın 'en savunmasız' biçimi olduğunu söylüyor

SMS'i iki faktörlü kimlik doğrulama biçimi olarak kullanmak, kripto meraklıları arasında her zaman popüler olmuştur. Sonuçta, birçok kullanıcı zaten kriptolarını alıp satıyor veya telefonlarında sosyal sayfaları yönetiyor, o halde neden hassas finansal içeriğe erişirken doğrulamak için sadece SMS kullanmıyorsunuz?

Ne yazık ki, dolandırıcılar son zamanlarda bu güvenlik katmanının altında gömülü olan serveti SIM değiştirme yoluyla veya bir kişinin SIM kartını bir bilgisayar korsanının sahip olduğu bir telefona yeniden yönlendirme işlemi yoluyla istismar etmeye başladılar. Dünya çapında birçok yargı bölgesinde, telekom çalışanları basit bir taşıma talebini işlemek için resmi kimlik, yüz kimliği veya sosyal güvenlik numaraları istemez.

Herkese açık kişisel bilgilere yönelik hızlı bir arama (Web 3.0 paydaşları için oldukça yaygındır) ve tahmin edilmesi kolay kurtarma sorularıyla birlikte, taklitçiler bir hesabın SMS 2FA'sını hızlı bir şekilde telefonlarına taşıyabilir ve bunu hain amaçlar için kullanmaya başlayabilirler. Bu yılın başlarında birçok kripto Youtuber, bilgisayar korsanlarının SIM değiştirme saldırısının kurbanı oldu. dolandırıcılık videoları kanallarında izleyicileri bilgisayar korsanının cüzdanına para göndermeye yönlendiren bir metin bulunur. Haziran ayında Solana NFT projesi Duppies'in resmi Twitter hesabı, bilgisayar korsanlarının sahte bir gizli darphanenin bağlantılarını tweetlemesiyle SIM Değiştirme yoluyla ihlal edildi.

Bu konuyla ilgili olarak Cointelegraph, CertiK'in güvenlik uzmanı Jesse Leclere ile görüştü. Blockchain güvenlik alanında lider olarak bilinen CertiK, 3,600'den bu yana 360'den fazla projenin 66,000 milyar dolar değerinde dijital varlığı güvence altına almasına yardımcı oldu ve 2018'den fazla güvenlik açığı tespit etti. Leclere şunları söyledi:

“SMS 2FA, hiç yoktan iyidir ancak şu anda kullanımda olan 2FA’nın en savunmasız şeklidir. Cazibesi kullanım kolaylığından kaynaklanmaktadır: çoğu kişi çevrimiçi platformlara giriş yaparken ya telefonundadır ya da elinin altında bulunur. Ancak SIM kart takaslarına karşı savunmasızlığı göz ardı edilemez."

Leclerc, Google Authenticator, Authy veya Duo gibi özel kimlik doğrulama uygulamalarının, SIM değiştirme riskini ortadan kaldırırken SMS 2FA'nın neredeyse tüm rahatlığını sunduğunu açıkladı. Leclerc, sanal kartların mı yoksa eSIM kartların SIM değişimiyle ilgili kimlik avı saldırıları riskini önleyip önleyemeyeceği sorulduğunda, yanıt net bir hayır:

“SIM takas saldırılarının kimlik sahtekarlığına ve sosyal mühendisliğe dayandığını akılda tutmak gerekir. Kötü bir oyuncu, bir telekom firmasındaki bir çalışanı, fiziksel bir SIM'e bağlı bir numaranın meşru sahibi olduğunu düşünmesi için kandırabilirse, bunu bir eSIM için de yapabilir.

SIM kartı kişinin telefonuna kilitleyerek bu tür saldırıları caydırmak mümkün olsa da (Telekom şirketleri de telefonların kilidini açabilir), Leclere yine de fiziksel güvenlik anahtarlarını kullanmanın altın standardına dikkat çekiyor. Leclere, "Bu anahtarlar bilgisayarınızın USB bağlantı noktasına takılır ve bazıları mobil cihazlarla daha kolay kullanım için yakın alan iletişimi (NFC) özelliğine sahiptir" diye açıklıyor. "Bir saldırganın hesabınıza girebilmesi için yalnızca şifrenizi bilmesi değil, aynı zamanda bu anahtarı fiziksel olarak ele geçirmesi gerekir."

Leclere, 2017 yılında çalışanlar için güvenlik anahtarlarının kullanılmasını zorunlu hale getirdikten sonra Google'ın sıfır başarılı kimlik avı saldırısıyla karşılaştığına dikkat çekiyor. “Ancak o kadar etkililer ki, hesabınıza bağlı olan anahtarı kaybederseniz, büyük olasılıkla ona tekrar erişim sağlayamayacaksınız. Birden fazla anahtarın güvenli yerlerde tutulması önemli” diye ekledi.

Son olarak Leclere, iyi bir şifre yöneticisinin, kimlik doğrulama uygulaması veya güvenlik anahtarı kullanmanın yanı sıra, bunları birden fazla sitede tekrar kullanmadan güçlü şifreler oluşturmayı kolaylaştırdığını söyledi. "SMS olmayan 2FA ile eşleştirilmiş güçlü, benzersiz bir şifre, hesap güvenliğinin en iyi biçimidir" dedi.