استفاده از اس ام اس به عنوان نوعی احراز هویت دو مرحله ای همیشه در بین علاقه مندان به ارزهای دیجیتال محبوب بوده است. به هر حال، بسیاری از کاربران در حال حاضر در حال معامله ارزهای دیجیتال خود یا مدیریت صفحات اجتماعی در تلفن های خود هستند، پس چرا هنگام دسترسی به محتوای حساس مالی به سادگی از پیامک برای تأیید استفاده نکنید؟
متأسفانه، اخیراً کلاهبرداران به سوء استفاده از ثروت مدفون شده در زیر این لایه امنیتی از طریق تعویض سیمکارت یا فرآیند تغییر مسیر سیم کارت یک شخص به تلفنی که در اختیار یک هکر است، افتادهاند. در بسیاری از حوزههای قضایی در سراسر جهان، کارمندان مخابرات برای رسیدگی به یک درخواست انتقال ساده، شناسه دولتی، شناسه چهره یا شماره تامین اجتماعی را درخواست نمیکنند.
همراه با جستجوی سریع برای اطلاعات شخصی در دسترس عموم (که برای سهامداران وب 3.0 کاملاً رایج است) و سؤالات بازیابی آسان قابل حدس زدن، جعلکنندگان میتوانند به سرعت پیامک 2FA یک حساب را به تلفن خود منتقل کنند و شروع به استفاده از آن برای وسایل شرور کنند. در اوایل سال جاری، بسیاری از یوتیوبکنندگان کریپتو قربانی یک حمله تعویض سیمکارت شدند که در آن هکرها پستهایی را منتشر کردند. ویدئوهای کلاهبرداری در کانال خود با متنی که بینندگان را به ارسال پول به کیف پول هکر هدایت می کند. در ژوئن پروژه Solana NFT Duppies حساب رسمی توییتر خود را از طریق یک SIM-Swap با هکرهایی که لینکهای یک ضرابخانه مخفیانه جعلی را توییت میکردند، نقض شد.
با توجه به این موضوع، کوین تلگراف با جسی لکلر، کارشناس امنیتی CertiK صحبت کرد. CertiK که به عنوان پیشرو در فضای امنیت بلاک چین شناخته می شود، از سال 2018 به بیش از 3600 پروژه کمک کرده است تا دارایی های دیجیتالی به ارزش 360 میلیارد دلار را ایمن کنند و بیش از 66000 آسیب پذیری را شناسایی کرده است.
“SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود. جذابیت آن به دلیل سهولت استفاده آن است: اکثر مردم یا در تلفن خود هستند یا هنگام ورود به سیستم آن را در دسترس دارند. اما آسیب پذیری آن در برابر تعویض سیم کارت را نمی توان دست کم گرفت.”
Leclerc توضیح داد که برنامههای احراز هویت اختصاصی، مانند Google Authenticator، Authy یا Duo، تقریباً تمام راحتی SMS 2FA را ارائه میکنند و در عین حال خطر تعویض سیمکارت را از بین میبرند. وقتی از Leclerc پرسیده شد که آیا کارتهای مجازی یا eSIM میتوانند خطر حملات فیشینگ مربوط به تعویض سیمکارت را از بین ببرند، برای Leclerc، پاسخ واضح است:
“باید در نظر داشت که حملات تعویض سیم کارت به کلاهبرداری هویت و مهندسی اجتماعی متکی است. اگر یک بازیگر بد بتواند کارمند یک شرکت مخابراتی را فریب دهد تا فکر کند مالک قانونی شماره ای است که به سیم کارت فیزیکی متصل است، آنها را فریب می دهد. می تواند این کار را برای eSIM نیز انجام دهد.
اگرچه میتوان با قفل کردن سیمکارت روی تلفن، از چنین حملاتی جلوگیری کرد (شرکتهای مخابراتی همچنین میتوانند قفل تلفنها را باز کنند)، اما Leclere به استاندارد طلایی استفاده از کلیدهای امنیتی فیزیکی اشاره میکند. Leclere توضیح میدهد: «این کلیدها به پورت USB رایانه شما متصل میشوند و برخی از آنها برای استفاده آسانتر با دستگاههای تلفن همراه، ارتباطات میدان نزدیک (NFC) را فعال میکنند. “یک مهاجم نه تنها باید رمز عبور شما را بداند، بلکه باید این کلید را به صورت فیزیکی در اختیار بگیرد تا وارد حساب شما شود.”
Leclere اشاره می کند که پس از اجباری کردن استفاده از کلیدهای امنیتی برای کارمندان در سال 2017، گوگل حملات فیشینگ موفقیت آمیز را تجربه نکرده است. او افزود: “با این حال، آنها به قدری موثر هستند که اگر یک کلید را که به حساب خود متصل است گم کنید، به احتمال زیاد نمی توانید دوباره به آن دسترسی پیدا کنید. نگه داشتن چندین کلید در مکان های امن مهم است.”
در نهایت Leclere گفت که علاوه بر استفاده از یک برنامه احراز هویت یا یک کلید امنیتی، یک مدیر رمز عبور خوب ایجاد رمزهای عبور قوی را بدون استفاده مجدد از آنها در چندین سایت آسان می کند. او گفت: «یک رمز عبور قوی و منحصر به فرد جفت شده با غیر پیام کوتاه 2FA بهترین شکل امنیت حساب است.