使用 SMS 作为一种双重身份验证的形式一直受到加密爱好者的欢迎。 毕竟,许多用户已经在他们的手机上交易他们的加密货币或管理社交页面,那么在访问敏感的金融内容时为什么不简单地使用 SMS 进行验证呢?
不幸的是,骗子最近开始通过 SIM 交换来利用隐藏在这一安全层下的财富,或者将一个人的 SIM 卡重新路由到黑客拥有的手机的过程。 在全球许多司法管辖区,电信员工不会要求政府 ID、面部识别或社会安全号码来处理简单的移植请求。
结合快速搜索公开的个人信息(对于 Web 3.0 利益相关者来说很常见)和易于猜测的恢复问题,冒充者可以快速将帐户的 SMS 2FA 移植到他们的手机上,并开始将其用于邪恶手段。今年早些时候,许多加密 Youtuber 成为 SIM 卡交换攻击的受害者,黑客在该攻击中发布了 诈骗视频 在他们的频道上显示文字,引导观众将钱汇入黑客的钱包。今年 XNUMX 月,Solana NFT 项目 Duppies 的官方 Twitter 帐户通过 SIM-Swap 遭到破坏,黑客在推特上发布了虚假隐形铸币厂的链接。
关于此事,Cointelegraph 采访了 CertiK 的安全专家 Jesse Leclere。作为区块链安全领域的领导者,CertiK 自 3,600 年以来已帮助超过 360 个项目保护了价值 66,000 亿美元的数字资产,并检测到了超过 2018 个漏洞。以下是 Leclere 所说的:
“短信 2FA 总比没有好,但它是目前使用的最容易受到攻击的 2FA 形式。它的吸引力来自于它的易用性:大多数人在登录在线平台时要么使用手机,要么将其放在手边。但其对 SIM 卡互换的脆弱性不容低估。”
Leclerc 解释说,专用的身份验证器应用程序(例如 Google Authenticator、Authy 或 Duo)提供了 SMS 2FA 的几乎所有便利,同时消除了 SIM 交换的风险。当被问及虚拟卡或 eSIM 卡是否可以规避 SIM 交换相关的网络钓鱼攻击的风险时,Leclerc 的答案显然是否定的:
“必须记住,SIM 交换攻击依赖于身份欺诈和社会工程。 如果一个不良行为者可以欺骗电信公司的员工,让他们认为他们是物理 SIM 卡所附号码的合法所有者,那么他们也可以为 eSIM 这样做。
尽管可以通过将 SIM 卡锁定到手机上来阻止此类攻击(电信公司也可以解锁手机),但 Leclere 指出了使用物理安全密钥的黄金标准。 “这些按键可插入计算机的 USB 端口,有些按键还支持近场通信 (NFC),以便更轻松地与移动设备一起使用,”Leclere 解释道。 “攻击者不仅需要知道您的密码,还需要实际拥有此密钥才能进入您的帐户。”
Leclere 指出,自 2017 年强制员工使用安全密钥以来,谷歌经历了零次成功的网络钓鱼攻击。 “但是,它们非常有效,如果您丢失了与您的帐户绑定的一把密钥,您很可能无法重新获得对该帐户的访问权限。将多把钥匙放在安全的地方很重要,”他补充道。
最后,Leclere 表示,除了使用身份验证器应用程序或安全密钥之外,良好的密码管理器还可以轻松创建强密码,而无需在多个站点上重复使用它们。 “强大、独特的密码与非短信 2FA 相结合是帐户安全的最佳形式,”他表示。
