SMS-i kasutamine kahefaktorilise autentimise vormina on krüptoentusiastide seas alati populaarne olnud. Lõppude lõpuks kauplevad paljud kasutajad juba oma krüptodega või haldavad oma telefonis suhtluslehti, nii et miks mitte kasutada tundlikule finantssisule juurdepääsu kontrollimiseks lihtsalt SMS-i?
Kahjuks on petturid viimasel ajal tabanud selle turvakihi alla maetud rikkust SIM-kaardi vahetamise või inimese SIM-kaardi ümbermarsruutimise teel häkkeri valduses olevale telefonile. Paljudes jurisdiktsioonides üle maailma ei küsi telekommunikatsioonitöötajad lihtsa teisaldamistaotluse käsitlemiseks riiklikku isikutunnistust, näotuvastust ega sotsiaalkindlustuse numbreid.
Koos avalikult kättesaadava isikliku teabe kiire otsimisega (Web3 sidusrühmade jaoks üsna tavaline) ja hõlpsasti äraarvatavate taastamisküsimustega saavad jäljendajad konto SMS 2FA kiiresti oma telefoni portida ja hakata seda pahatahtlikeks vahenditeks kasutama. Selle aasta alguses langesid paljud krüpto Youtuberid SIM-i vahetusrünnaku ohvriks, kus häkkerid postitasid kelmusvideoid oma kanalil tekstiga, mis suunab vaatajaid häkkeri rahakotti raha saatma. Juunis rikuti Solana nonfungible token (NFT) projekti Duppies ametlikku Twitteri kontot SIM-kaardi vahetuse kaudu, kui häkkerid säutsusid linke võltsitud varjatud rahapajale.
Seoses sellega rääkis Cointelegraph CertiKi turvaeksperdi Jesse Leclere'iga. Plokiahela turvaruumi liidrina tuntud CertiK on aidanud enam kui 3,600 projektil kindlustada 360 miljardi dollari väärtuses digitaalseid varasid ja avastanud üle 66,000 2018 haavatavuse alates XNUMX. aastast. Leclere pidi ütlema järgmist:
"SMS 2FA on parem kui mitte midagi, kuid see on praegu kasutatava 2FA kõige haavatavam vorm. Selle atraktiivsus tuleneb selle kasutuslihtsusest: enamik inimesi kasutab veebiplatvormidele sisselogimisel telefoni või on see käepärast. Kuid selle haavatavust SIM-kaardi vahetamise suhtes ei saa alahinnata.
Leclerc selgitas, et spetsiaalsed autentimisrakendused, nagu Google Authenticator, Authy või Duo, pakuvad peaaegu kogu SMS 2FA mugavust, kõrvaldades samas SIM-kaardi vahetamise ohu. Kui Leclercilt küsitakse, kas virtuaalsed või eSIM-kaardid suudavad maandada SIM-kaardi vahetusega seotud andmepüügirünnakute riski, on Leclerci vastus selge ei.
"Tuleb meeles pidada, et SIM-i vahetusrünnakud põhinevad identiteedipettusel ja sotsiaalsel manipuleerimisel. Kui halb näitleja võib telekommunikatsiooniettevõtte töötajat petta ja arvata, et ta on füüsilise SIM-kaardiga kinnitatud numbri seaduslik omanik, saab ta seda teha ka eSIM-i puhul.
Kuigi selliseid rünnakuid on võimalik ära hoida ka SIM-kaardi telefonile lukustamisega (telekomifirmad saavad ka telefone lahti lukustada), viitab Leclere siiski füüsiliste turvavõtmete kasutamise kuldstandardile. "Need klahvid ühendatakse teie arvuti USB-porti ja mõned neist on mobiilseadmetega hõlpsamaks kasutamiseks lubatud lähiväljaside (NFC) abil," selgitab Leclere. "Ründaja ei pea mitte ainult teadma teie parooli, vaid ka selle võtme füüsiliselt enda valdusesse võtma, et teie kontole pääseda."
Leclere tõi välja, et pärast töötajatele turvavõtmete kasutamise kohustamist 2017. aastal ei ole Google kogenud ühtegi edukat andmepüügirünnakut. "Kuid need on nii tõhusad, et kui kaotate kontoga seotud ühe võtme, ei saa te tõenäoliselt sellele juurdepääsu tagasi. Mitme võtme turvalises kohas hoidmine on oluline,“ lisas ta.
Lõpetuseks ütles Leclere, et lisaks autentimisrakenduse või turvavõtme kasutamisele teeb hea paroolihaldur lihtsaks tugevate paroolide loomise ilma neid mitmel saidil uuesti kasutamata. "Tugev ja ainulaadne parool, mis on seotud mitte-SMS 2FA-ga, on parim konto turvalisuse vorm," märkis ta.
Allikas: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
post navigatsiooni
