Utilizarea SMS-urilor ca formă de autentificare cu doi factori a fost întotdeauna populară printre entuziaștii cripto. La urma urmei, mulți utilizatori își tranzacționează deja cripto-urile sau gestionează paginile sociale de pe telefoanele lor, așa că de ce să nu folosești pur și simplu SMS-urile pentru a verifica atunci când accesează conținut financiar sensibil?
Din păcate, escrocii au prins în ultimul timp să exploateze bogăția îngropată sub acest strat de securitate prin schimbul SIM sau prin procesul de redirecționare a cartelei SIM a unei persoane către un telefon care este în posesia unui hacker. În multe jurisdicții din întreaga lume, angajații telecom nu vor cere un act de identitate guvernamental, de identificare facială sau numere de securitate socială pentru a gestiona o simplă cerere de portare.
În combinație cu o căutare rapidă a informațiilor personale disponibile public (destul de frecvente pentru părțile interesate Web3) și cu întrebări de recuperare ușor de ghicit, imitatorii pot porta rapid SMS-ul 2FA al unui cont pe telefonul lor și pot începe să-l folosească pentru mijloace nefaste. La începutul acestui an, mulți cripto-youtubers au căzut victimele unui atac de schimb SIM unde hackerii au postat videoclipuri înșelătorii pe canalul lor, cu text care îi îndrumă pe spectatori să trimită bani în portofelul hackerului. În iunie, proiectul Solana nonfungible token (NFT) Duppies a avut contul oficial de Twitter încălcat printr-un SIM-Swap, cu hackeri care trimiteau pe Twitter link-uri către o monetă falsă.
În ceea ce privește această problemă, Cointelegraph a vorbit cu expertul în securitate al CertiK Jesse Leclere. Cunoscut ca lider în spațiul de securitate blockchain, CertiK a ajutat peste 3,600 de proiecte să asigure active digitale în valoare de 360 de miliarde de dolari și a detectat peste 66,000 de vulnerabilități din 2018. Iată ce a avut de spus Leclere:
„SMS 2FA este mai bine decât nimic, dar este cea mai vulnerabilă formă de 2FA utilizată în prezent. Atractia sa provine din ușurința sa de utilizare: majoritatea oamenilor fie sunt pe telefonul lor, fie îl au la îndemână atunci când se conectează la platformele online. Dar vulnerabilitatea sa la schimburile de carduri SIM nu poate fi subestimată.”
Leclerc a explicat că aplicațiile dedicate de autentificare, cum ar fi Google Authenticator, Authy sau Duo, oferă aproape toată comoditatea SMS-ului 2FA, eliminând în același timp riscul schimbului de SIM. Când a fost întrebat dacă cardurile virtuale sau eSIM pot acoperi riscul atacurilor de phishing legate de schimbul SIM, pentru Leclerc, răspunsul este un nu clar:
„Trebuie să țineți cont de faptul că atacurile SIM-swap se bazează pe frauda de identitate și pe ingineria socială. Dacă un actor rău poate păcăli un angajat de la o firmă de telecomunicații să creadă că este proprietarul legitim al unui număr atașat la un SIM fizic, poate face acest lucru și pentru un eSIM.
Deși este posibil să descurajăm astfel de atacuri prin blocarea cartelei SIM pe telefon (companiile de telecomunicații pot debloca și telefoanele), Leclere indică totuși standardul de aur al folosirii cheilor de securitate fizice. „Aceste taste se conectează la portul USB al computerului, iar unele sunt activate pentru comunicare în câmp apropiat (NFC) pentru o utilizare mai ușoară cu dispozitivele mobile”, explică Leclere. „Un atacator ar trebui nu numai să vă cunoască parola, dar să ia fizic această cheie pentru a intra în contul dumneavoastră.”
Leclere a subliniat că, după ce a mandatat utilizarea cheilor de securitate pentru angajați în 2017, Google a suferit zero atacuri de phishing reușite. „Cu toate acestea, sunt atât de eficiente încât, dacă pierzi singura cheie care este legată de contul tău, cel mai probabil nu vei putea recâștiga accesul la ea. Păstrarea mai multor chei în locații sigure este importantă”, a adăugat el.
În cele din urmă, Leclere a spus că, pe lângă utilizarea unei aplicații de autentificare sau a unei chei de securitate, un bun manager de parole facilitează crearea de parole puternice fără a le reutiliza pe mai multe site-uri. „O parolă puternică și unică asociată cu 2FA non-SMS este cea mai bună formă de securitate a contului”, a spus el.
Sursa: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
Mesaj de navigare
