CertiK говорит, что SMS является «наиболее уязвимой» формой 2FA в использовании

Использование SMS как формы двухфакторной аутентификации всегда было популярно среди энтузиастов криптовалют. В конце концов, многие пользователи уже торгуют своими криптовалютами или управляют социальными страницами на своих телефонах, так почему бы просто не использовать SMS для проверки при доступе к конфиденциальному финансовому контенту?

К сожалению, в последнее время мошенники научились использовать богатство, скрытое под этим уровнем безопасности, посредством замены SIM-карты или процесса перенаправления SIM-карты человека на телефон, который находится во владении хакера. Во многих юрисдикциях по всему миру сотрудники телекоммуникационных компаний не будут запрашивать государственное удостоверение личности, идентификацию лица или номера социального страхования для обработки простого запроса на перенос.

В сочетании с быстрым поиском общедоступной личной информации (довольно распространенным явлением для заинтересованных сторон Web 3.0) и легко угадываемыми вопросами восстановления мошенники могут быстро перенести двухфакторную аутентификацию SMS учетной записи на свой телефон и начать использовать ее в гнусных целях. Ранее в этом году многие криптовалютные ютуберы стали жертвами атаки с подменой SIM-карты, когда хакеры разместили мошеннические видеоролики на своем канале с текстом, предписывающим зрителям отправить деньги на кошелек хакера. В июне у проекта Solana NFT Duppies была взломана официальная учетная запись Twitter с помощью SIM-Swap, когда хакеры разместили в Твиттере ссылки на поддельный стелс-монетный двор.

По этому поводу Cointelegraph поговорил с экспертом по безопасности CertiK Джесси Леклером. Компания CertiK, известная как лидер в области безопасности блокчейн, с 2018 года помогла более чем 3600 проектам защитить цифровые активы на сумму 360 миллиардов долларов и обнаружила более 66 000 уязвимостей. Вот что сказал Леклер:

«SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время. Его привлекательность заключается в простоте использования: большинство людей либо используют свой телефон, либо держат его под рукой, когда входят в систему. онлайн-платформы. Но его уязвимость к обмену SIM-картами нельзя недооценивать».

Леклерк объяснил, что специальные приложения для проверки подлинности, такие как Google Authenticator, Authy или Duo, предлагают почти все удобства SMS 2FA, устраняя при этом риск подмены SIM-карты. На вопрос, могут ли виртуальные карты или карты eSIM снизить риск фишинговых атак, связанных с подменой SIM-карт, Leclerc ответил однозначно: нет:

«Необходимо помнить, что атаки с подменой SIM-карты основаны на мошенничестве с идентификацией и социальной инженерии. можно сделать это и для eSIM.

Хотя такие атаки можно предотвратить, привязав SIM-карту к телефону (телекоммуникационные компании также могут разблокировать телефоны), Леклер, тем не менее, указывает на золотой стандарт использования физических ключей безопасности. «Эти ключи подключаются к USB-порту вашего компьютера, а некоторые поддерживают связь ближнего радиуса действия (NFC) для более удобного использования с мобильными устройствами», — объясняет Леклер. «Злоумышленнику потребуется не только знать ваш пароль, но и физически завладеть этим ключом, чтобы получить доступ к вашей учетной записи».

Леклер отмечает, что после того, как в 2017 году Google обязала сотрудников использовать ключи безопасности, успешных фишинговых атак не было. «Однако они настолько эффективны, что если вы потеряете один ключ, привязанный к вашей учетной записи, вы, скорее всего, не сможете восстановить к нему доступ. Важно хранить несколько ключей в безопасных местах», — добавил он.

Наконец, Леклер сказал, что в дополнение к использованию приложения для проверки подлинности или ключа безопасности хороший менеджер паролей позволяет легко создавать надежные пароли без повторного использования их на нескольких сайтах. «Надежный уникальный пароль в сочетании с двухфакторной аутентификацией без SMS — лучшая форма безопасности учетной записи», — заявил он.