Использование SMS как формы двухфакторной аутентификации всегда было популярно среди криптоэнтузиастов. В конце концов, многие пользователи уже торгуют своими криптовалютами или управляют социальными страницами на своих телефонах, так почему бы просто не использовать SMS для проверки при доступе к конфиденциальному финансовому контенту?
К сожалению, в последнее время мошенники научились использовать богатство, скрытое под этим уровнем безопасности, посредством замены SIM-карты или процесса перенаправления SIM-карты человека на телефон, который находится во владении хакера. Во многих юрисдикциях по всему миру сотрудники телекоммуникационных компаний не будут запрашивать государственное удостоверение личности, идентификацию лица или номера социального страхования для обработки простого запроса на перенос.
В сочетании с быстрым поиском общедоступной личной информации (довольно распространенной для заинтересованных сторон Web3) и легко угадываемыми вопросами восстановления, имитаторы могут быстро перенести двухфакторную аутентификацию SMS учетной записи на свой телефон и начать использовать ее в гнусных целях. Ранее в этом году многие крипто-ютуберы стали жертвами атаки с подменой SIM-карты. хакеры выложили мошеннические видео на своем канале с текстом, предлагающим зрителям отправить деньги на кошелек хакера. В июне официальная учетная запись Duppies в Твиттере невзаимозаменяемого токена Solana (NFT) была взломана с помощью SIM-Swap, когда хакеры разместили в Твиттере ссылки на поддельный стелс-монетный двор.
Что касается этого вопроса, Cointelegraph поговорил с экспертом по безопасности CertiK Джесси Леклером. Компания CertiK, известная как лидер в области безопасности блокчейнов, с 3,600 года помогла более чем 360 проектам защитить цифровые активы на сумму 66,000 миллиардов долларов и обнаружила более 2018 XNUMX уязвимостей. Вот что сказал Леклер:
«SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время. Его привлекательность обусловлена простотой использования: большинство людей либо разговаривают по телефону, либо держат его под рукой, когда входят в онлайн-платформы. Но его уязвимость к подмене SIM-карты нельзя недооценивать».
Леклерк объяснил, что специальные приложения для проверки подлинности, такие как Google Authenticator, Authy или Duo, предлагают почти все удобства SMS 2FA, устраняя при этом риск подмены SIM-карты. На вопрос, могут ли виртуальные карты или карты eSIM снизить риск фишинговых атак, связанных с подменой SIM-карт, Leclerc ответил однозначно: нет:
«Необходимо помнить, что атаки с подменой SIM-карты основаны на мошенничестве с идентификацией и социальной инженерии. Если злоумышленник может обмануть сотрудника телекоммуникационной фирмы, заставив его думать, что он является законным владельцем номера, прикрепленного к физической SIM-карте, он может сделать это и для eSIM.
Хотя такие атаки можно предотвратить, привязав SIM-карту к телефону (телекоммуникационные компании также могут разблокировать телефоны), Леклер, тем не менее, указывает на золотой стандарт использования физических ключей безопасности. «Эти ключи подключаются к USB-порту вашего компьютера, а некоторые поддерживают связь ближнего радиуса действия (NFC) для более удобного использования с мобильными устройствами», — объясняет Леклер. «Злоумышленнику нужно будет не только знать ваш пароль, но и физически завладеть этим ключом, чтобы получить доступ к вашей учетной записи».
Леклер отметил, что после обязательного использования ключей безопасности для сотрудников в 2017 году в Google не было успешных фишинговых атак. «Однако они настолько эффективны, что если вы потеряете тот единственный ключ, который привязан к вашей учетной записи, вы, скорее всего, не сможете восстановить к нему доступ. Важно хранить несколько ключей в безопасных местах», — добавил он.
Наконец, Леклер сказал, что в дополнение к использованию приложения-аутентификатора или ключа безопасности, хороший менеджер паролей позволяет легко создавать надежные пароли, не используя их повторно на нескольких сайтах. «Надежный уникальный пароль в сочетании с двухфакторной аутентификацией без SMS — лучшая форма безопасности учетной записи», — заявил он.
Источник: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use.
сообщение навигации
