Používanie SMS ako formy dvojfaktorovej autentifikácie bolo medzi nadšencami kryptomien vždy obľúbené. Koniec koncov, mnohí používatelia už obchodujú so svojimi kryptomenami alebo spravujú sociálne stránky na svojich telefónoch, tak prečo jednoducho nepoužiť SMS na overenie pri prístupe k citlivému finančnému obsahu?
Bohužiaľ, podvodníci sa v poslednej dobe chytili zneužívania bohatstva ukrytého pod touto vrstvou zabezpečenia prostredníctvom výmeny SIM kariet alebo procesu presmerovania SIM karty osoby do telefónu, ktorý vlastní hacker. V mnohých jurisdikciách po celom svete nebudú zamestnanci telekomunikácií žiadať vládne identifikačné čísla, identifikačné čísla tváre alebo čísla sociálneho zabezpečenia, aby mohli vybaviť jednoduchú žiadosť o prenos.
V kombinácii s rýchlym vyhľadávaním verejne dostupných osobných informácií (celkom bežné pre zainteresované strany Web3) a ľahko uhádnuteľnými otázkami na obnovenie môžu imitátori rýchlo preniesť SMS 2FA účtu do svojho telefónu a začať ju používať na hanebné prostriedky. Začiatkom tohto roka sa mnoho krypto Youtuberov stalo obeťou útoku výmeny SIM kariet hackeri zverejnili podvodné videá na svojom kanáli s textom, ktorý divákov nasmeruje, aby poslali peniaze do hackerovej peňaženky. V júni projektu Solana nonfungible token (NFT) Duppies bol narušený jeho oficiálny účet na Twitteri prostredníctvom výmeny SIM kariet s hackermi, ktorí tweetovali odkazy na falošnú stealth mincovňu.
Pokiaľ ide o túto záležitosť, Cointelegraph hovoril s bezpečnostným expertom CertiK Jesse Leclere. CertiK, známy ako líder v bezpečnostnom priestore blockchainu, pomohol od roku 3,600 viac ako 360 66,000 projektom zabezpečiť digitálne aktíva v hodnote 2018 miliárd USD a odhalil viac ako XNUMX XNUMX zraniteľností. Tu je to, čo povedal Leclere:
„SMS 2FA je lepšia ako nič, ale je to najzraniteľnejšia forma 2FA, ktorá sa v súčasnosti používa. Jeho príťažlivosť spočíva v jednoduchosti používania: Väčšina ľudí používa telefón alebo ho má po ruke, keď sa prihlasujú na online platformy. Ale jeho zraniteľnosť voči výmene SIM kariet nemožno podceňovať.“
Leclerc vysvetlil, že špecializované autentifikačné aplikácie, ako napríklad Google Authenticator, Authy alebo Duo, ponúkajú takmer všetky výhody SMS 2FA a zároveň odstraňujú riziko výmeny SIM kariet. Na otázku, či virtuálne alebo eSIM karty dokážu pokryť riziko phishingových útokov súvisiacich s výmenou SIM kariet, je pre Leclerca odpoveď jasné nie:
„Je potrebné mať na pamäti, že útoky na výmenu SIM kariet sa spoliehajú na podvody s identitou a sociálne inžinierstvo. Ak zlý herec dokáže oklamať zamestnanca telekomunikačnej firmy, aby si myslel, že je legitímnym vlastníkom čísla pripojeného k fyzickej SIM karte, môže to urobiť aj pre eSIM.
Aj keď je možné odradiť takéto útoky uzamknutím SIM karty v telefóne (telekomunikačné spoločnosti môžu tiež odomknúť telefóny), Leclere napriek tomu poukazuje na zlatý štandard používania fyzických bezpečnostných kľúčov. „Tieto kľúče sa zapájajú do USB portu vášho počítača a niektoré sú aktivované pre komunikáciu na blízkom poli (NFC) pre jednoduchšie použitie s mobilnými zariadeniami,“ vysvetľuje Leclere. „Útočník by musel nielen poznať vaše heslo, ale aj fyzicky získať tento kľúč, aby sa mohol dostať do vášho účtu.“
Leclere poukázal na to, že po nariadení používania bezpečnostných kľúčov pre zamestnancov v roku 2017 spoločnosť Google nezaznamenala žiadne úspešné phishingové útoky. „Sú však také účinné, že ak stratíte jeden kľúč, ktorý je viazaný na váš účet, s najväčšou pravdepodobnosťou k nemu nebudete môcť znova získať prístup. Uchovávanie viacerých kľúčov na bezpečných miestach je dôležité,“ dodal.
Nakoniec Leclere povedal, že okrem použitia autentifikačnej aplikácie alebo bezpečnostného kľúča, dobrý správca hesiel uľahčuje vytváranie silných hesiel bez ich opätovného použitia na viacerých stránkach. „Silné, jedinečné heslo spárované s nie SMS 2FA je najlepšou formou zabezpečenia účtu,“ uviedol.
Zdroj: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
príspevok navigáciu
