Používání SMS jako formy dvoufaktorové autentizace bylo vždy oblíbené mezi nadšenci do kryptoměn. Koneckonců, mnoho uživatelů již obchoduje se svými kryptoměnami nebo spravuje sociální stránky na svých telefonech, tak proč jednoduše nepoužít SMS k ověření při přístupu k citlivému finančnímu obsahu?
Bohužel, podvodníci se v poslední době chytili toho, že využívají bohatství skryté pod touto vrstvou zabezpečení prostřednictvím výměny SIM karet nebo procesu přesměrování SIM karty osoby do telefonu, který vlastní hacker. V mnoha jurisdikcích po celém světě nebudou zaměstnanci telekomunikací žádat o vládní ID, identifikaci obličeje nebo čísla sociálního zabezpečení, aby mohli vyřídit jednoduchý požadavek na přenesení.
V kombinaci s rychlým vyhledáváním veřejně dostupných osobních údajů (zcela běžné pro zúčastněné strany Web3) a snadno uhodnutelnými otázkami pro obnovení mohou imitátoři rychle přenést SMS 2FA účtu do svého telefonu a začít je používat k nekalým prostředkům. Začátkem tohoto roku se mnoho krypto Youtuberů stalo obětí útoku na výměnu SIM karty hackeři zveřejnili podvodná videa na svém kanálu s textem nasměrujícím diváky, aby poslali peníze do peněženky hackera. V červnu projekt Solana nonfungible token (NFT) Duppies prolomil jeho oficiální Twitter účet prostřednictvím SIM-Swap s hackery, kteří tweetovali odkazy na falešnou stealth mincovnu.
Pokud jde o tuto záležitost, Cointelegraph mluvil s bezpečnostním expertem CertiK Jesse Leclerem. CertiK, známý jako lídr v bezpečnostním prostoru blockchainu, pomohl od roku 3,600 více než 360 66,000 projektům zajistit digitální aktiva v hodnotě 2018 miliard dolarů a odhalil více než XNUMX XNUMX zranitelností. Zde je to, co řekl Leclere:
„SMS 2FA je lepší než nic, ale je to nejzranitelnější forma 2FA, která se v současnosti používá. Jeho přitažlivost vychází z jeho snadného použití: Většina lidí je buď na svém telefonu, nebo jej má po ruce, když se přihlašují na online platformy. Ale jeho zranitelnost vůči výměně SIM karet nelze podceňovat.“
Leclerc vysvětlil, že specializované ověřovací aplikace, jako je Google Authenticator, Authy nebo Duo, nabízejí téměř veškeré pohodlí SMS 2FA a zároveň eliminují riziko výměny SIM karty. Na otázku, zda virtuální nebo eSIM karty mohou zabránit riziku phishingových útoků souvisejících s výměnou SIM karet, je pro Leclerc odpověď jasné ne:
„Je třeba mít na paměti, že útoky na výměnu SIM karet spoléhají na podvody s identitou a sociální inženýrství. Pokud špatný herec dokáže oklamat zaměstnance telekomunikační firmy, aby si myslel, že je legitimním vlastníkem čísla připojeného k fyzické SIM kartě, může to udělat i pro eSIM.
I když je možné takové útoky odradit uzamčením SIM karty v telefonu (telefony mohou odemykat i telekomunikační společnosti), Leclere přesto poukazuje na zlatý standard používání fyzických bezpečnostních klíčů. „Tyto klávesy se zapojují do USB portu vašeho počítače a některé jsou vybaveny technologií NFC pro snadnější použití s mobilními zařízeními,“ vysvětluje Leclere. „Aby se útočník mohl dostat do vašeho účtu, musel by nejen znát vaše heslo, ale také fyzicky převzít tento klíč.“
Leclere poukázal na to, že po nařízení používání bezpečnostních klíčů pro zaměstnance v roce 2017 nezaznamenal Google žádný úspěšný phishing. „Jsou však tak účinné, že pokud ztratíte jeden klíč, který je svázán s vaším účtem, s největší pravděpodobností k němu nebudete moci znovu získat přístup. Uchovávání více klíčů na bezpečných místech je důležité,“ dodal.
Nakonec Leclere řekl, že kromě použití ověřovací aplikace nebo bezpečnostního klíče, dobrý správce hesel usnadňuje vytváření silných hesel bez jejich opakovaného použití na více webech. „Silné, jedinečné heslo spárované s non-SMS 2FA je nejlepší formou zabezpečení účtu,“ uvedl.
Zdroj: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
příspěvek navigaci
