Использование SMS в качестве формы двухфакторной аутентификации всегда было популярно среди криптоэнтузиастов. В конце концов, многие пользователи уже торгуют своими криптовалютами или ведут социальные страницы на своих телефонах, так почему бы просто не использовать SMS для верификации при доступе к конфиденциальному финансовому контенту?
К сожалению, в последнее время мошенники научились использовать богатство, скрытое под этим уровнем безопасности, с помощью SIM-swapping, или процесса перенаправления SIM-карты человека на телефон, находящийся в распоряжении хакера. Во многих юрисдикциях мира сотрудники телекоммуникационных компаний не просят предъявить удостоверение личности, идентификационные данные лица или номера социального страхования для обработки простого запроса на перенос.
В сочетании с быстрым поиском общедоступной личной информации (что довольно часто встречается у участников Web 3.0) и легко угадываемыми вопросами для восстановления, пародисты могут быстро перенести SMS 2FA аккаунта на свой телефон и начать использовать его в неблаговидных целях. В начале этого года многие крипто-ютуберы стали жертвами атаки с подменой SIM-карт, когда хакеры размещали на своих каналах мошеннические видеоролики с текстом, в котором зрителям предлагалось отправить деньги на кошелек хакеров. В июне у проекта Solana NFT Duppies был взломан официальный аккаунт в Twitter через SIM-свап, где хакеры размещали ссылки на поддельный стелс-майнер.
По этому вопросу Cointelegraph побеседовал с экспертом по безопасности CertiKs Джесси Леклером. Известный как лидер в области безопасности блокчейна, CertiK помог более 3600 проектам защитить цифровые активы на сумму 360 млрд долларов и обнаружил более 66 000 уязвимостей с 2018 года. Вот что сказал Леклер:
"SMS 2FA - это лучше, чем ничего, но это самая уязвимая форма 2FA, которая используется в настоящее время. Его привлекательность обусловлена простотой использования: большинство людей либо пользуются телефоном, либо держат его под рукой при входе на онлайн-платформы. Однако нельзя недооценивать его уязвимость к подмене SIM-карт".
Леклерк объяснил, что специальные приложения-аутентификаторы, такие как Google Authenticator, Authy или Duo, предлагают почти все удобства SMS 2FA, устраняя при этом риск замены SIM-карты. На вопрос о том, могут ли виртуальные или eSIM-карты снизить риск фишинговых атак, связанных с заменой SIM-карт, Леклерк ответил однозначно "нет":
"Следует помнить, что атаки с подменой SIM-карты основаны на мошенничестве с идентификацией личности и социальной инженерии. Если злоумышленник может обмануть сотрудника телекоммуникационной компании, заставив его думать, что он является законным владельцем номера, привязанного к физической SIM-карте, он может сделать это и для eSIM".
Хотя можно предотвратить такие атаки, заблокировав SIM-карту в телефоне (телекоммуникационные компании также могут разблокировать телефоны), Леклер все же указывает на золотой стандарт использования физических ключей безопасности. "Эти ключи подключаются к USB-порту компьютера, а некоторые из них поддерживают коммуникацию ближнего поля (NFC) для более удобного использования с мобильными устройствами", - объясняет Леклер. "Злоумышленник должен не только знать ваш пароль, но и физически завладеть этим ключом, чтобы получить доступ к вашей учетной записи".
Леклер отмечает, что после введения обязательного использования ключей безопасности для сотрудников в 2017 году компания Google столкнулась с нулем успешных фишинговых атак. "Однако они настолько эффективны, что если вы потеряете один ключ, привязанный к вашей учетной записи, вы, скорее всего, не сможете восстановить доступ к ней. Важно хранить несколько ключей в безопасных местах", - добавил он.
В заключение Леклер отметил, что в дополнение к использованию приложения-аутентификатора или ключа безопасности, хороший менеджер паролей позволяет легко создавать надежные пароли, не используя их повторно на нескольких сайтах. "Надежный, уникальный пароль в сочетании с не-SMS 2FA - это лучшая форма защиты учетной записи", - заявил он.
Источник
