CertiK می گوید SMS ضعیف ترین شکل ۲FA در حال استفاده است

آخرین به روز رسانی: ۶ مهر ۱۴۰۱

۰ 2 خواندن این مطلب 3 دقیقه زمان میبرد

CertiK می گوید SMS ضعیف ترین شکل 2FA در حال استفاده است

Jesse Leclere از CertiK در مصاحبه ای گفت که سطح امنیتی ارائه شده توسط SMS نسبت به احراز هویت و کلیدهای امنیتی فیزیکی پایین تر است.

استفاده از اس ام اس به عنوان نوعی احراز هویت دو مرحله ای همیشه در بین علاقه مندان به ارزهای دیجیتال محبوب بوده است. به هر حال، بسیاری از کاربران در حال حاضر ارزهای رمزنگاری شده را معامله می کنند یا صفحات اجتماعی را در تلفن همراه خود مدیریت می کنند، پس چرا هنگام دسترسی به محتوای مالی حساس از پیامک برای تأیید استفاده نمی کنید؟

متأسفانه، کلاهبرداران اخیراً متوجه شده‌اند که از ثروت مدفون شده در زیر این لایه امنیتی از طریق تعویض سیم‌کارت یا فرآیند تغییر مسیر سیم‌کارت یک شخص به تلفنی که متعلق به یک هکر است، سوء استفاده می‌کنند. در بسیاری از حوزه‌های قضایی در سراسر جهان، کارمندان شرکت‌های مخابراتی نیازی ندارند. شناسه دولتی، شماره شناسایی چهره یا شماره تامین اجتماعی برای پردازش درخواست‌های ساده پیوند.

با ترکیب جستجوی سریع اطلاعات شخصی در دسترس عموم (بسیار معمول برای سهامداران وب ۳.۰) با سؤالات بازیابی آسان حدس زده، جعل‌کنندگان می‌توانند به سرعت SMS 2FA را برای حساب‌ها به تلفن‌های خود منتقل کنند. می‌توانند برای اهداف مخرب استفاده شوند. در اوایل سال جاری، بسیاری از یوتیوب‌کنندگان ارزهای دیجیتال قربانی حملات تعویض سیم‌کارت شدند. یک هکر ویدئویی تقلبی را در کانال خود منتشر کرد که حاوی متنی بود که به بینندگان دستور می داد پول را به کیف پول هکر منتقل کنند. در ژوئن، پروژه Solana NFT Duppies حساب رسمی توییتر را از طریق SIM-Swap به خطر انداخت، جایی که هکرها لینک‌هایی را به Stealth Mints جعلی توییت کردند.

در رابطه با این موضوع، کوین تلگراف با جسی لکلر، کارشناس امنیتی CertiK صحبت کرد. CertiK که به عنوان پیشرو در امنیت بلاک چین شناخته می شود، از سال ۲۰۱۸ به بیش از ۳۶۰۰ پروژه کمک کرده است تا دارایی های دیجیتالی به ارزش ۳۶۰ میلیارد دلار را ایمن کنند و بیش از ۶۶۰۰۰ آسیب پذیری را شناسایی کرده است. این نظر لکلر است:

SMS 2FA بهتر از هیچ است، اما ضعیف ترین شکل ۲FA است که امروزه استفاده می شود. با این حال، آسیب پذیری در برابر تعویض سیم کارت را نمی توان دست کم گرفت. ”

Leclerc توضیح داد که برنامه‌های احراز هویت اختصاصی مانند Google Authenticator، Authy و Duo تقریباً تمام راحتی SMS 2FA را ارائه می‌کنند و در عین حال خطر تعویض سیم‌کارت را از بین می‌برند. هنگامی که از او پرسیده شد که آیا کارت‌های مجازی یا eSIM می‌توانند از خطرات حملات فیشینگ مرتبط با تعویض سیم‌کارت جلوگیری کنند، پاسخ Leclerc یک نه قاطع است.

“باید به خاطر داشت که حملات تعویض سیم کارت به تقلب هویت و مهندسی اجتماعی متکی است. اگر بتوانید آنها را فریب دهید تا فکر کنند مالک آن هستید، آنها می توانند این کار را با eSIM شما نیز انجام دهند.

خنثی کردن چنین حملاتی با قفل کردن سیم کارت روی تلفن امکان پذیر است (شرکت مخابراتی شما همچنین می تواند قفل گوشی شما را باز کند)، اما Leclere همچنان از یک کلید امنیتی فیزیکی استفاده می کند. به استاندارد طلایی اشاره می کند. Leclere توضیح می‌دهد: «این کلیدها به پورت USB رایانه شما متصل می‌شوند، و برخی از آن‌ها برای استفاده آسان با دستگاه‌های تلفن همراه، قابلیت ارتباط میدان نزدیک (NFC) را دارند. “یک مهاجم برای نفوذ به حساب شما باید به صورت فیزیکی این کلید را بدست آورد، نه فقط رمز عبور شما را بداند.”

Leclere خاطرنشان می کند که گوگل از زمانی که در سال ۲۰۱۷ کارمندان خود را ملزم به استفاده از کلیدهای امنیتی کرده بود، حمله فیشینگ موفقی را ندیده است. او افزود: “اما آنها به قدری موثر هستند که اگر یک کلید مرتبط با حساب خود را گم کنید، به احتمال زیاد دیگر هرگز نخواهید توانست به آن دسترسی داشته باشید. چندین کلید را در یک مکان امن نگه دارید.”

در نهایت، علاوه بر استفاده از برنامه های احراز هویت و کلیدهای امنیتی، یک مدیر رمز عبور خوب ایجاد رمزهای عبور قوی را بدون نیاز به استفاده مجدد از آنها در چندین سایت آسان می کند. او گفت: “یک رمز عبور قوی و منحصر به فرد همراه با غیر پیام کوتاه ۲FA بهترین شکل امنیت حساب است.”

نویسنده: Zhiyuan Sun