Использование SMS как формы двухфакторной аутентификации всегда было популярно среди криптоэнтузиастов. В конце концов, многие пользователи уже торгуют своими криптовалютами или управляют социальными страницами на своих телефонах, так почему бы просто не использовать SMS для проверки при доступе к конфиденциальному финансовому контенту?
К сожалению, в последнее время мошенники научились использовать богатство, скрытое под этим уровнем безопасности, посредством замены SIM-карты или процесса перенаправления SIM-карты человека на телефон, который находится во владении хакера. Во многих юрисдикциях по всему миру сотрудники телекоммуникационных компаний не будут запрашивать государственное удостоверение личности, идентификацию лица или номера социального страхования для обработки простого запроса на перенос.
В сочетании с быстрым поиском общедоступной личной информации (довольно распространенной для заинтересованных сторон Web3) и легко угадываемыми вопросами восстановления, имитаторы могут быстро перенести двухфакторную аутентификацию SMS учетной записи на свой телефон и начать использовать ее в гнусных целях. Ранее в этом году многие крипто-ютуберы стали жертвами атаки с подменой SIM-карты, когда хакеры разместили мошеннические видеоролики на своем канале с текстом, предписывающим зрителям отправить деньги на кошелек хакера. В июне официальная учетная запись Duppies в Твиттере невзаимозаменяемого токена Solana (NFT) была взломана с помощью SIM-Swap, когда хакеры разместили в Твиттере ссылки на поддельный стелс-монетный двор.
Что касается этого вопроса, поговорил с экспертом по безопасности CertiK Джесси Леклером. Компания CertiK, известная как лидер в области безопасности блокчейнов, с 2018 года помогла более чем 3600 проектам защитить цифровые активы на сумму 360 миллиардов долларов и обнаружила более 66 000 уязвимостей. Вот что сказал Леклер:
«SMS 2FA лучше, чем ничего, но это наиболее уязвимая форма 2FA, используемая в настоящее время. Его привлекательность обусловлена простотой использования: большинство людей либо используют свой телефон, либо держат его под рукой, когда входят в систему. онлайн-платформы. Но его уязвимость к обмену SIM-картами нельзя недооценивать».
Леклерк объяснил, что специальные приложения для проверки подлинности, такие как Google Authenticator, Authy или Duo, предлагают почти все удобства SMS 2FA, устраняя при этом риск подмены SIM-карты. На вопрос, могут ли виртуальные карты или карты eSIM снизить риск фишинговых атак, связанных с подменой SIM-карт, Leclerc ответил однозначно: нет:
«Необходимо помнить, что атаки с подменой SIM-карты основаны на мошенничестве с идентификацией и социальной инженерии. можно сделать это и для eSIM.
Хотя такие атаки можно предотвратить, привязав SIM-карту к телефону (телекоммуникационные компании также могут разблокировать телефоны), Леклер, тем не менее, указывает на золотой стандарт использования физических ключей безопасности. «Эти ключи подключаются к USB-порту вашего компьютера, а некоторые поддерживают связь ближнего радиуса действия (NFC) для более удобного использования с мобильными устройствами», — объясняет Леклер. «Злоумышленнику потребуется не только знать ваш пароль, но и физически завладеть этим ключом, чтобы получить доступ к вашей учетной записи».
Леклер отметил, что после обязательного использования ключей безопасности для сотрудников в 2017 году в Google не было успешных фишинговых атак. «Однако они настолько эффективны, что если вы потеряете один ключ, привязанный к вашей учетной записи, вы, скорее всего, не сможете восстановить к нему доступ. Важно хранить несколько ключей в безопасных местах», — добавил он.
Наконец, Леклер сказал, что в дополнение к использованию приложения-аутентификатора или ключа безопасности, хороший менеджер паролей позволяет легко создавать надежные пароли, не используя их повторно на нескольких сайтах. «Надежный уникальный пароль в сочетании с двухфакторной аутентификацией без SMS — лучшая форма безопасности учетной записи», — заявил он.
Источник: Сointеlеgrаph
