Използването на SMS като форма на двуфакторно удостоверяване винаги е било популярно сред крипто ентусиастите. В края на краищата, много потребители вече търгуват своите криптовалути или управляват социални страници на телефоните си, така че защо просто да не използвате SMS за проверка при достъп до чувствително финансово съдържание?
За съжаление, измамниците напоследък се хванаха да експлоатират богатството, заровено под този слой на сигурност, чрез размяна на SIM карти или процеса на пренасочване на SIM картата на човек към телефон, който е притежание на хакер. В много юрисдикции по света служителите на телекомуникациите няма да искат държавен документ за самоличност, лицева идентификация или социалноосигурителни номера, за да се справят с проста заявка за пренасяне.
В комбинация с бързо търсене на публично достъпна лична информация (доста обичайно за заинтересованите страни в Web3) и лесни за отгатване въпроси за възстановяване, имитаторите могат бързо да пренесат SMS 2FA на акаунт към своя телефон и да започнат да го използват за престъпни средства. По-рано тази година много крипто Youtubers станаха жертва на атака за размяна на SIM карта, където хакери публикуваха измамни видеоклипове на техния канал с текст, насочващ зрителите да изпратят пари в портфейла на хакера. През юни официалният акаунт в Twitter на проекта Duppies на Solana за незаменими токени (NFT) бе пробит чрез SIM-Swap с хакери, туитващи връзки към фалшив стелт монетен двор.
Имам отношение към този въпрос, Cointelegraph разговаря с експерта по сигурността на CertiK Джеси Леклер. Известен като лидер в пространството за сигурност на блокчейн, CertiK е помогнал на над 3,600 проекта да осигурят цифрови активи на стойност 360 милиарда долара и е открил над 66,000 2018 уязвимости от XNUMX г. насам. Ето какво каза Leclere:
„SMS 2FA е по-добре от нищо, но е най-уязвимата форма на 2FA, която се използва в момента. Неговата привлекателност идва от лекотата на използване: Повечето хора или са на телефона си, или го имат под ръка, когато влизат в онлайн платформи. Но неговата уязвимост към размяна на SIM карти не може да бъде подценявана.
Leclerc обясни, че специалните приложения за удостоверяване, като Google Authenticator, Authy или Duo, предлагат почти цялото удобство на SMS 2FA, като същевременно премахват риска от размяна на SIM. На въпроса дали виртуалните или eSIM карти могат да предотвратят риска от фишинг атаки, свързани със смяна на SIM карти, за Leclerc отговорът е категорично не:
„Трябва да се има предвид, че атаките със смяна на SIM разчитат на измама със самоличност и социално инженерство. Ако лош актьор може да подмами служител в телекомуникационна фирма да мисли, че е законен собственик на номер, прикрепен към физическа SIM карта, той може да направи това и за eSIM.
Въпреки че е възможно да се възпират подобни атаки чрез заключване на SIM картата към телефона (телекомуникационните компании също могат да отключват телефони), Leclere все пак посочва златния стандарт за използване на физически ключове за сигурност. „Тези ключове се включват в USB порта на вашия компютър, а някои са активирани за комуникация в близко поле (NFC) за по-лесна употреба с мобилни устройства“, обяснява Leclere. „Нападателят ще трябва не само да знае вашата парола, но и физически да завладее този ключ, за да влезе в акаунта ви.“
Leclere посочи, че след налагането на използването на ключове за сигурност за служителите през 2017 г., Google не е претърпяла нула успешни фишинг атаки. „Те обаче са толкова ефективни, че ако загубите единствения ключ, който е свързан с вашия акаунт, най-вероятно няма да можете да си възвърнете достъпа до него. Съхраняването на множество ключове на безопасни места е важно“, добави той.
И накрая, Leclere каза, че в допълнение към използването на приложение за удостоверяване или ключ за сигурност, добрият мениджър на пароли улеснява създаването на силни пароли, без да ги използвате повторно в множество сайтове. „Силната, уникална парола, съчетана с 2FA без SMS е най-добрата форма на сигурност на акаунта“, каза той.
Източник: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
Мнение навигация
