CertiK cho biết SMS là hình thức 2FA 'dễ bị tấn công nhất' đang được sử dụng

Sử dụng SMS như một hình thức xác thực hai yếu tố luôn phổ biến đối với những người đam mê tiền điện tử. Rốt cuộc, nhiều người dùng đã giao dịch tiền điện tử của họ hoặc quản lý các trang xã hội trên điện thoại của họ, vậy tại sao không chỉ đơn giản sử dụng SMS để xác minh khi truy cập nội dung tài chính nhạy cảm?

Thật không may, những kẻ lừa đảo gần đây đã bị bắt quả tang khai thác sự giàu có được chôn giấu dưới lớp bảo mật này thông qua hoán đổi SIM hoặc quá trình định tuyến lại thẻ SIM của một người đến một điện thoại đang bị tin tặc sở hữu. Ở nhiều khu vực pháp lý trên toàn thế giới, nhân viên viễn thông sẽ không yêu cầu ID chính phủ, nhận dạng khuôn mặt hoặc số an sinh xã hội để xử lý một yêu cầu chuyển đơn giản.

Kết hợp với tính năng tìm kiếm nhanh thông tin cá nhân có sẵn công khai (khá phổ biến đối với các bên liên quan của Web 3.0) và các câu hỏi khôi phục dễ đoán, những kẻ mạo danh có thể nhanh chóng chuyển SMS 2FA của tài khoản sang điện thoại của họ và bắt đầu sử dụng nó cho các mục đích bất chính. Đầu năm nay, nhiều Youtuber về tiền điện tử đã trở thành nạn nhân của một cuộc tấn công hoán đổi SIM do tin tặc đăng video lừa đảo trên kênh của họ có văn bản hướng dẫn người xem gửi tiền vào ví của hacker. Vào tháng 6, dự án Solana NFT Duppies đã bị tấn công tài khoản Twitter chính thức thông qua Hoán đổi SIM với việc tin tặc tweet các liên kết đến một xưởng đúc tiền tàng hình giả mạo.

Liên quan đến vấn đề này, Cointelegraph đã nói chuyện với chuyên gia bảo mật Jesse Leclere của CertiK. Được biết đến như một công ty đi đầu trong lĩnh vực bảo mật blockchain, CertiK đã giúp hơn 3,600 dự án bảo đảm tài sản kỹ thuật số trị giá 360 tỷ USD và phát hiện hơn 66,000 lỗ hổng kể từ năm 2018. Đây là những gì Leclere đã nói:

“SMS 2FA còn tốt hơn là không có gì, nhưng đây là dạng 2FA dễ bị tổn thương nhất hiện đang được sử dụng. Sự hấp dẫn của nó đến từ tính dễ sử dụng: hầu hết mọi người đều sử dụng điện thoại hoặc mang theo điện thoại trong tay khi họ đăng nhập vào các nền tảng trực tuyến. Nhưng không thể đánh giá thấp tính dễ bị tổn thương của nó đối với việc hoán đổi thẻ SIM.”

Leclerc giải thích rằng các ứng dụng xác thực chuyên dụng, chẳng hạn như Google Authenticator, Authy hoặc Duo, cung cấp gần như tất cả sự tiện lợi của SMS 2FA trong khi loại bỏ nguy cơ tráo SIM. Khi được hỏi liệu thẻ ảo hoặc eSIM có thể tránh được nguy cơ tấn công lừa đảo liên quan đến hoán đổi SIM hay không, đối với Leclerc, câu trả lời rõ ràng là không:

“Người ta phải nhớ rằng các cuộc tấn công hoán đổi SIM dựa trên gian lận danh tính và kỹ thuật xã hội. Nếu một kẻ xấu có thể lừa nhân viên tại một công ty viễn thông nghĩ rằng họ là chủ sở hữu hợp pháp của một số được gắn với SIM vật lý, thì họ cũng có thể làm như vậy đối với eSIM.

Mặc dù có thể ngăn chặn các cuộc tấn công như vậy bằng cách khóa thẻ SIM vào điện thoại của một người (Các công ty viễn thông cũng có thể mở khóa điện thoại), tuy nhiên Leclere vẫn chỉ ra tiêu chuẩn vàng về việc sử dụng khóa bảo mật vật lý. Leclere giải thích: “Các phím này cắm vào cổng USB của máy tính của bạn và một số phím được kích hoạt giao tiếp trường gần (NFC) để sử dụng dễ dàng hơn với các thiết bị di động”. “Kẻ tấn công không chỉ cần biết mật khẩu của bạn mà còn cần chiếm hữu khóa này để xâm nhập vào tài khoản của bạn.”

Leclere chỉ ra rằng sau khi bắt buộc sử dụng khóa bảo mật cho nhân viên vào năm 2017, Google chưa hề gặp phải cuộc tấn công lừa đảo nào thành công. “Tuy nhiên, chúng hiệu quả đến mức nếu bạn đánh mất một khóa liên kết với tài khoản của mình, rất có thể bạn sẽ không thể lấy lại quyền truy cập vào tài khoản đó. Việc giữ nhiều chìa khóa ở những vị trí an toàn là điều quan trọng”, ông nói thêm.

Cuối cùng Leclere nói rằng ngoài việc sử dụng ứng dụng xác thực hoặc khóa bảo mật, trình quản lý mật khẩu tốt còn giúp bạn dễ dàng tạo mật khẩu mạnh mà không cần sử dụng lại chúng trên nhiều trang web. Ông nói: “Mật khẩu mạnh, duy nhất được kết hợp với 2FA không phải SMS là hình thức bảo mật tài khoản tốt nhất”.