CertiK каже, що SMS є «найбільш вразливою» формою 2FA, яка використовується

Використання SMS як форми двофакторної аутентифікації завжди було популярним серед криптоентузіастів. Зрештою, багато користувачів уже торгують своїми криптовалютами або керують соціальними сторінками на своїх телефонах, то чому б просто не використати SMS для перевірки під час доступу до конфіденційного фінансового вмісту?

На жаль, останнім часом шахраї почали використовувати багатство, приховане під цим рівнем безпеки, шляхом заміни SIM-карти або процесу перенаправлення SIM-карти людини на телефон, який знаходиться у власності хакера. У багатьох юрисдикціях по всьому світу співробітники телекомунікацій не просять надати державне посвідчення особи, ідентифікаційний номер обличчя чи номер соціального страхування, щоб виконати простий запит на перенесення.

У поєднанні зі швидким пошуком загальнодоступної особистої інформації (досить поширеним для зацікавлених сторін Web 3.0) і простими для вгадування питаннями для відновлення зловмисники можуть швидко перенести SMS 2FA облікового запису на свій телефон і почати використовувати його в нечесних цілях. На початку цього року багато криптоютуберів стали жертвами атаки на заміну SIM-карти, під час якої хакери опублікували шахрайські відео на своєму каналі з текстом, який закликав глядачів надіслати гроші на гаманець хакера. У червні офіційний обліковий запис проекту Solana NFT Duppies було зламано через SIM-Swap, коли хакери надіслали посилання на підроблений стелс-монетний двір.

Щодо цього питання Cointelegraph поспілкувався з експертом із безпеки CertiK Джессі Леклером. CertiK, відомий як лідер у сфері безпеки блокчейнів, допоміг понад 3,600 проектам захистити цифрові активи на суму 360 мільярдів доларів і виявив понад 66,000 2018 вразливостей з XNUMX року. Ось що сказав Леклер:

«SMS 2FA краще, ніж нічого, але це найбільш вразлива форма 2FA, яка зараз використовується. Його привабливість пояснюється простотою використання: більшість людей або користуються телефоном, або тримають його під рукою, коли входять на онлайн-платформи. Але його вразливість до заміни SIM-карт не можна недооцінювати».

Леклерк пояснив, що спеціальні програми автентифікації, такі як Google Authenticator, Authy або Duo, пропонують майже всі зручності SMS 2FA, усуваючи ризик заміни SIM-карти. Коли його запитали, чи можуть віртуальні чи eSIM-карти захистити від ризику фішингових атак, пов’язаних із заміною SIM-карт, Леклер відповів однозначно ні:

«Потрібно пам’ятати, що атаки на заміну SIM-картки базуються на шахрайстві з особистими даними та соціальної інженерії. Якщо зловмисник може обманом змусити співробітника телекомунікаційної компанії подумати, що він є законним власником номера, прикріпленого до фізичної SIM-карти, він також може зробити це для eSIM-карти.

Хоча такі атаки можна запобігти, заблокувавши SIM-карту на телефоні (телекомунікаційні компанії також можуть розблокувати телефони), Leclere все ж вказує на золотий стандарт використання фізичних ключів безпеки. «Ці ключі підключаються до USB-порту вашого комп’ютера, а деякі з них підтримують зв’язок ближнього поля (NFC), що полегшує використання з мобільними пристроями», — пояснює Леклер. «Зловмиснику потрібно буде не тільки знати ваш пароль, але й фізично заволодіти цим ключем, щоб потрапити у ваш обліковий запис».

Леклер зазначає, що після обов’язкового використання ключів безпеки для співробітників у 2017 році Google не зазнала жодної успішної фішингової атаки. «Однак вони настільки ефективні, що якщо ви втратите єдиний ключ, прив’язаний до вашого облікового запису, ви, швидше за все, не зможете відновити до нього доступ. Важливо зберігати кілька ключів у безпечних місцях», – додав він.

Нарешті Леклер каже, що окрім використання програми автентифікації чи ключа безпеки, хороший менеджер паролів дозволяє легко створювати надійні паролі, не використовуючи їх повторно на кількох сайтах. «Надійний, унікальний пароль у поєднанні з 2FA без SMS є найкращою формою безпеки облікового запису», — заявив він.