CertiK می گوید SMS آسیب پذیرترین شکل 2FA در حال استفاده است

استفاده از اس ام اس به عنوان نوعی احراز هویت دو مرحله ای همیشه در بین علاقه مندان به ارزهای دیجیتال محبوب بوده است. به هر حال، بسیاری از کاربران در حال حاضر در حال معامله ارزهای دیجیتال خود یا مدیریت صفحات اجتماعی در تلفن های خود هستند، پس چرا هنگام دسترسی به محتوای حساس مالی به سادگی از پیامک برای تأیید استفاده نکنید؟

متأسفانه، اخیراً کلاهبرداران به سوء استفاده از ثروت مدفون شده در زیر این لایه امنیتی از طریق تعویض سیم‌کارت یا فرآیند تغییر مسیر سیم کارت یک شخص به تلفنی که در اختیار یک هکر است، افتاده‌اند. در بسیاری از حوزه‌های قضایی در سراسر جهان، کارمندان مخابرات برای رسیدگی به یک درخواست انتقال ساده، شناسه دولتی، شناسه چهره یا شماره تامین اجتماعی را درخواست نمی‌کنند.

همراه با جستجوی سریع برای اطلاعات شخصی در دسترس عموم (که برای سهامداران وب 3.0 کاملاً رایج است) و سؤالات بازیابی آسان قابل حدس زدن، جعل‌کنندگان می‌توانند به سرعت پیامک 2FA یک حساب را به تلفن خود منتقل کنند و شروع به استفاده از آن برای وسایل شرور کنند. در اوایل سال جاری، بسیاری از یوتیوب‌کنندگان کریپتو قربانی یک حمله تعویض سیم‌کارت شدند که در آن هکرها پست‌هایی را منتشر کردند. ویدئوهای کلاهبرداری در کانال خود با متنی که بینندگان را به ارسال پول به کیف پول هکر هدایت می کند. در ژوئن پروژه Solana NFT Duppies حساب رسمی توییتر خود را از طریق یک SIM-Swap با هکرهایی که لینک‌های یک ضرابخانه مخفیانه جعلی را توییت می‌کردند، نقض شد.

با توجه به این موضوع، کوین تلگراف با جسی لکلر، کارشناس امنیتی CertiK صحبت کرد. CertiK که به عنوان پیشرو در فضای امنیت بلاک چین شناخته می شود، از سال 2018 به بیش از 3600 پروژه کمک کرده است تا دارایی های دیجیتالی به ارزش 360 میلیارد دلار را ایمن کنند و بیش از 66000 آسیب پذیری را شناسایی کرده است.

“SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود. جذابیت آن به دلیل سهولت استفاده آن است: اکثر مردم یا در تلفن خود هستند یا هنگام ورود به سیستم آن را در دسترس دارند. اما آسیب پذیری آن در برابر تعویض سیم کارت را نمی توان دست کم گرفت.”

Leclerc توضیح داد که برنامه‌های احراز هویت اختصاصی، مانند Google Authenticator، Authy یا Duo، تقریباً تمام راحتی SMS 2FA را ارائه می‌کنند و در عین حال خطر تعویض سیم‌کارت را از بین می‌برند. وقتی از Leclerc پرسیده شد که آیا کارت‌های مجازی یا eSIM می‌توانند خطر حملات فیشینگ مربوط به تعویض سیم‌کارت را از بین ببرند، برای Leclerc، پاسخ واضح است:

“باید در نظر داشت که حملات تعویض سیم کارت به کلاهبرداری هویت و مهندسی اجتماعی متکی است. اگر یک بازیگر بد بتواند کارمند یک شرکت مخابراتی را فریب دهد تا فکر کند مالک قانونی شماره ای است که به سیم کارت فیزیکی متصل است، آنها را فریب می دهد. می تواند این کار را برای eSIM نیز انجام دهد.

اگرچه می‌توان با قفل کردن سیم‌کارت روی تلفن، از چنین حملاتی جلوگیری کرد (شرکت‌های مخابراتی همچنین می‌توانند قفل تلفن‌ها را باز کنند)، اما Leclere به استاندارد طلایی استفاده از کلیدهای امنیتی فیزیکی اشاره می‌کند. Leclere توضیح می‌دهد: «این کلیدها به پورت USB رایانه شما متصل می‌شوند و برخی از آن‌ها برای استفاده آسان‌تر با دستگاه‌های تلفن همراه، ارتباطات میدان نزدیک (NFC) را فعال می‌کنند. “یک مهاجم نه تنها باید رمز عبور شما را بداند، بلکه باید این کلید را به صورت فیزیکی در اختیار بگیرد تا وارد حساب شما شود.”

Leclere اشاره می کند که پس از اجباری کردن استفاده از کلیدهای امنیتی برای کارمندان در سال 2017، گوگل حملات فیشینگ موفقیت آمیز را تجربه نکرده است. او افزود: “با این حال، آنها به قدری موثر هستند که اگر یک کلید را که به حساب خود متصل است گم کنید، به احتمال زیاد نمی توانید دوباره به آن دسترسی پیدا کنید. نگه داشتن چندین کلید در مکان های امن مهم است.”

در نهایت Leclere گفت که علاوه بر استفاده از یک برنامه احراز هویت یا یک کلید امنیتی، یک مدیر رمز عبور خوب ایجاد رمزهای عبور قوی را بدون استفاده مجدد از آنها در چندین سایت آسان می کند. او گفت: «یک رمز عبور قوی و منحصر به فرد جفت شده با غیر پیام کوتاه 2FA بهترین شکل امنیت حساب است.