فن آوری

CertiK می گوید SMS آسیب پذیرترین شکل 2FA در حال استفاده است

09/29/2022
اخبار بیت کوین اتریوم

استفاده از اس ام اس به عنوان نوعی احراز هویت دو مرحله ای همیشه در بین علاقه مندان به ارزهای دیجیتال محبوب بوده است. به هر حال، بسیاری از کاربران در حال حاضر در حال معامله ارزهای دیجیتال خود یا مدیریت صفحات اجتماعی در تلفن های خود هستند، پس چرا هنگام دسترسی به محتوای حساس مالی به سادگی از پیامک برای تأیید استفاده نکنید؟

متأسفانه، اخیراً کلاهبرداران به سوء استفاده از ثروت مدفون شده در زیر این لایه امنیتی از طریق تعویض سیم‌کارت یا فرآیند تغییر مسیر سیم کارت یک شخص به تلفنی که در اختیار یک هکر است، افتاده‌اند. در بسیاری از حوزه‌های قضایی در سراسر جهان، کارمندان مخابرات برای رسیدگی به یک درخواست انتقال ساده، شناسه دولتی، شناسه چهره یا شماره تامین اجتماعی را درخواست نمی‌کنند.

همراه با جستجوی سریع برای اطلاعات شخصی در دسترس عموم (که برای سهامداران Web3 کاملاً رایج است) و سؤالات بازیابی آسان قابل حدس زدن، جعل‌کنندگان می‌توانند به سرعت پیامک 2FA یک حساب را به تلفن خود منتقل کنند و شروع به استفاده از آن برای کارهای شرور کنند. در اوایل سال جاری، بسیاری از یوتیوب‌کنندگان کریپتو قربانی یک حمله تعویض سیم‌کارت شدند هکرها ویدئوهای کلاهبرداری را منتشر کردند در کانال خود با متنی که بینندگان را به ارسال پول به کیف پول هکر هدایت می کند. در ماه ژوئن، پروژه Duppies توکن غیرقابل تعویض Solana (NFT) حساب رسمی توییتر خود را از طریق یک SIM-Swap با هکرهایی که لینک‌های یک ضرابخانه مخفیانه جعلی را توییت می‌کردند، نقض شد.

با توجه به این موضوع، کوین تلگراف با جسی لکلر، کارشناس امنیتی CertiK صحبت کرد. CertiK که به عنوان پیشرو در فضای امنیت بلاک چین شناخته می شود، از سال 3,600 به بیش از 360 پروژه کمک کرده است تا دارایی های دیجیتالی به ارزش 66,000 میلیارد دلار را ایمن کنند و بیش از 2018 آسیب پذیری را شناسایی کرده است.

"SMS 2FA بهتر از هیچ است، اما آسیب پذیرترین شکل 2FA است که در حال حاضر استفاده می شود. جذابیت آن ناشی از سهولت استفاده از آن است: اکثر مردم هنگام ورود به سیستم عامل های آنلاین یا تلفن خود را در دست دارند یا آن را در دسترس دارند. اما آسیب پذیری آن در برابر تعویض سیم کارت را نمی توان دست کم گرفت.

Leclerc توضیح داد که برنامه‌های احراز هویت اختصاصی، مانند Google Authenticator، Authy یا Duo، تقریباً تمام راحتی SMS 2FA را ارائه می‌کنند و در عین حال خطر تعویض سیم‌کارت را از بین می‌برند. وقتی از Leclerc پرسیده شد که آیا کارت‌های مجازی یا eSIM می‌توانند خطر حملات فیشینگ مربوط به تعویض سیم‌کارت را از بین ببرند، برای Leclerc، پاسخ واضح است:

"باید در نظر داشت که حملات تعویض سیم کارت به تقلب هویت و مهندسی اجتماعی متکی است. اگر یک بازیگر بد بتواند کارمند یک شرکت مخابراتی را فریب دهد و فکر کند که آنها مالک قانونی شماره ای هستند که به سیم کارت فیزیکی متصل است، می توانند این کار را برای یک سیم کارت الکترونیکی نیز انجام دهند.

اگرچه می‌توان با قفل کردن سیم‌کارت روی تلفن، از چنین حملاتی جلوگیری کرد (شرکت‌های مخابراتی همچنین می‌توانند قفل تلفن‌ها را باز کنند)، اما Leclere به استاندارد طلایی استفاده از کلیدهای امنیتی فیزیکی اشاره می‌کند. Leclere توضیح می‌دهد: «این کلیدها به پورت USB رایانه شما متصل می‌شوند، و برخی از آنها برای استفاده آسان‌تر با دستگاه‌های تلفن همراه، ارتباطات میدان نزدیک (NFC) را فعال می‌کنند. "یک مهاجم نه تنها باید رمز عبور شما را بداند، بلکه باید به صورت فیزیکی این کلید را در اختیار بگیرد تا وارد حساب شما شود."

لکلر خاطرنشان کرد که پس از اجباری کردن استفاده از کلیدهای امنیتی برای کارمندان در سال 2017، گوگل حملات فیشینگ موفقی را تجربه نکرده است. با این حال، آنها به قدری مؤثر هستند که اگر کلیدی را که به حساب شما متصل است گم کنید، به احتمال زیاد نمی توانید دوباره به آن دسترسی پیدا کنید. نگه داشتن کلیدهای متعدد در مکان های امن مهم است.»

در نهایت، Leclere گفت که علاوه بر استفاده از یک برنامه احراز هویت یا یک کلید امنیتی، یک مدیر رمز عبور خوب ایجاد رمزهای عبور قوی را بدون استفاده مجدد از آنها در چندین سایت آسان می کند. او اظهار داشت: «یک رمز عبور قوی و منحصر به فرد جفت شده با غیر پیام کوتاه 2FA بهترین شکل امنیت حساب است.