SMSти эки факторлуу аутентификациянын бир түрү катары колдонуу крипто сүйүүчүлөр арасында ар дайым популярдуу болгон. Анткени, көптөгөн колдонуучулар өздөрүнүн криптолорун соодалап же телефондорундагы социалдык баракчаларды башкарып жатышат, андыктан сезимтал каржылык мазмунга кирүү учурунда текшерүү үчүн SMSти эмне үчүн колдонбойт?
Тилекке каршы, акыркы убакта шылуундар бул коопсуздук катмарынын астында көмүлгөн байлыкты SIM алмаштыруу же адамдын SIM картасын хакердин колунда болгон телефонго багыттоо процесси аркылуу пайдаланууну колго алышты. Дүйнө жүзү боюнча көптөгөн юрисдикцияларда телекоммуникация кызматкерлери жөнөкөй портинг өтүнүчүн аткаруу үчүн мамлекеттик ID, беттин идентификациясын же социалдык камсыздандыруу номерлерин сурашпайт.
Жалпыга жеткиликтүү жеке маалыматты тез издөө (Web3 кызыкдар тараптары үчүн кеңири таралган) жана оңой-олтоң калыбына келтирүүчү суроолор менен айкалышып, жасалмалоочулар эсептин SMS 2FAны телефонуна тез өткөрүп, аны кара ниеттик үчүн колдоно башташат. Ушул жылдын башында, көптөгөн крипто Youtubers SIM алмаштыруу чабуулунун курмандыгы болушкан хакерлер алдамчылык видеолорду жайгаштырган өз каналында көрүүчүлөргө хакердин капчыгына акча жөнөтүүгө багытталган текст менен. Июнь айында Solana nonfungible token (NFT) долбоору Duppies анын расмий Twitter аккаунтун SIM-Swap аркылуу бузуп, хакерлер жасалма уурдалган зээрканага шилтемелерди твиттерде калтырышкан.
Мен бул маселеге байланыштуу Cointelegraph CertiKтин коопсуздук боюнча эксперти Джесси Леклере менен сүйлөштү. Блокчейн коопсуздук мейкиндигинде лидер катары белгилүү болгон CertiK 3,600-жылдан бери 360дөн ашуун долбоорго 66,000 миллиард долларлык санариптик активдерди коргоого жардам берди жана 2018-жылдан бери XNUMX XNUMXден ашык аялуу жерлерди аныктады. Бул жерде Леклер айткан:
«SMS 2FA жоктон жакшы, бирок ал учурда колдонулуп жаткан 2FAнын эң аялуу түрү. Анын жагымдуулугу аны колдонуунун жөнөкөйлүгүнөн келип чыгат: Көпчүлүк адамдар телефондорунда же онлайн платформаларга кирип жатканда жанында болот. Бирок анын SIM-карталарды алмаштырууга болгон аялуулугун баалабай коюуга болбойт.
Леклерк Google Authenticator, Authy же Duo сыяктуу атайын аутентификация колдонмолору SIM алмаштыруу коркунучун алып салуу менен SMS 2FAнын дээрлик бардык ыңгайлуулуктарын сунуштаарын түшүндүрдү. Виртуалдык же eSIM карталары SIM-карталарды алмаштырууга байланыштуу фишингдик чабуулдардын коркунучун коргой алабы деген суроого, Леклер үчүн жооп так жок:
«Симдерди алмаштыруу чабуулдары инсандык алдамчылыкка жана социалдык инженерияга таянарын эстен чыгарбоо керек. Эгерде жаман актер телекоммуникация фирмасынын кызматкерин физикалык SIM-картага тиркелген номердин мыйзамдуу ээси деп алдап алса, алар муну eSIM үчүн да жасай алышат.
SIM-картаны телефонуна кулпулоо менен мындай чабуулдарды болтурбоо мүмкүн болсо да (Телеком компаниялары телефондордун кулпусун ача алат), бирок Леклер физикалык коопсуздук ачкычтарын колдонуунун алтын стандартын көрсөтөт. "Бул ачкычтар компьютериңиздин USB портуна туташып турат, ал эми кээ бирлери мобилдик түзмөктөрдө колдонууну жеңилдетүү үчүн жакынкы талаа байланышы (NFC) иштетилген", - деп түшүндүрөт Леклере. "Чабуулчу сиздин аккаунтуңузга кирүү үчүн сырсөзүңүздү гана билбестен, бул ачкычка физикалык түрдө ээ болушу керек."
Леклере белгилегендей, 2017-жылы кызматкерлер үчүн коопсуздук ачкычтарын колдонууга милдеттендиргенден кийин, Google эч кандай ийгиликтүү фишингдик чабуулдарды башынан өткөргөн. «Бирок алар ушунчалык эффективдүү болгондуктан, аккаунтуңузга байланган бир ачкычты жоготуп алсаңыз, ага кирүү мүмкүнчүлүгүн кайра ала албай каласыз. Бир нече ачкычтарды коопсуз жерлерде сактоо маанилүү”, - деп кошумчалады ал.
Акырында, Леклер аутентификация колдонмосун же коопсуздук ачкычын колдонуудан тышкары, жакшы сырсөз менеджери күчтүү сырсөздөрдү бир нече сайттарда кайра колдонбостон түзүүнү жеңилдетет деп айтты. "SMS эмес 2FA менен жупташкан күчтүү, уникалдуу сырсөз эсептин коопсуздугунун эң мыкты түрү" деди ал.
Булак: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
Post багыттоо
