SMS-ի օգտագործումը որպես երկգործոն նույնականացման ձև միշտ էլ տարածված է եղել կրիպտո սիրահարների շրջանում: Ի վերջո, շատ օգտատերեր արդեն առևտուր են անում իրենց կրիպտոներով կամ կառավարում սոցիալական էջերը իրենց հեռախոսներում, ուստի ինչու՞ պարզապես չօգտագործել SMS՝ ստուգելու համար, երբ մուտք գործեք զգայուն ֆինանսական բովանդակություն:
Ցավոք, վերջին ժամանակներս խաբեբաները սկսել են օգտագործել անվտանգության այս շերտի տակ թաղված հարստությունը՝ SIM-ի փոխանակման միջոցով, կամ անձի SIM քարտը հաքերների մոտ գտնվող հեռախոս տեղափոխելու գործընթացը: Աշխարհի շատ իրավասություններում հեռահաղորդակցության աշխատակիցները չեն պահանջի պետական անձը հաստատող փաստաթուղթ, դեմքի նույնականացման կամ սոցիալական ապահովության համարներ՝ տեղափոխման պարզ հարցումը կատարելու համար:
Համակցված հանրայնորեն հասանելի անձնական տեղեկատվության արագ որոնման հետ (բավականին սովորական Web3 շահագրգիռ կողմերի համար) և հեշտ կռահելի վերականգնման հարցերի հետ՝ նմանակողները կարող են արագ տեղափոխել հաշվի SMS 2FA-ն իրենց հեռախոսում և սկսել օգտագործել այն ստոր միջոցների համար: Այս տարվա սկզբին շատ կրիպտո Youtube-ներ զոհ գնացին SIM-ի փոխանակման հարձակման, որտեղ հաքերները խաբեության տեսանյութեր են հրապարակել իրենց ալիքում տեքստով, որը հեռուստադիտողներին ուղղորդում է գումար ուղարկել հաքերի դրամապանակին: Հունիսին Solana nonfungible token (NFT) նախագծի Duppies-ի իր պաշտոնական Twitter-ի հաշիվը կոտրվեց SIM-Swap-ի միջոցով հաքերների միջոցով, որոնք թվիթերում էին կեղծ գաղտնի դրամահատարանի հղումներ:
Ինչ վերաբերում է այս հարցին, Cointelegraph-ը խոսեց CertiK-ի անվտանգության փորձագետ Ջեսի Լեկլերի հետ: Հայտնի լինելով որպես բլոկչեյն անվտանգության ոլորտում առաջատար՝ CertiK-ն օգնել է ավելի քան 3,600 նախագծերի ապահովել 360 միլիարդ դոլար արժողությամբ թվային ակտիվներ և հայտնաբերել ավելի քան 66,000 խոցելիություն 2018 թվականից ի վեր: Ահա թե ինչ էր ասել Լեքլերը.
«SMS 2FA-ն ավելի լավ է, քան ոչինչ, բայց այն ներկայումս օգտագործվող 2FA-ի ամենախոցելի ձևն է: Դրա գրավչությունը գալիս է օգտագործման հեշտությունից. Մարդկանց մեծամասնությունը կա՛մ հեռախոսով է, կա՛մ այն ձեռքի տակ է, երբ նրանք մուտք են գործում առցանց հարթակներ: Բայց դրա խոցելիությունը SIM քարտերի փոխանակման նկատմամբ չի կարելի թերագնահատել»:
Leclerc-ը բացատրեց, որ հատուկ վավերացնող հավելվածները, ինչպիսիք են Google Authenticator-ը, Authy-ն կամ Duo-ն, առաջարկում են SMS 2FA-ի գրեթե բոլոր հարմարությունները՝ միաժամանակ հեռացնելով SIM-ի փոխանակման վտանգը: Այն հարցին, թե արդյոք վիրտուալ կամ eSIM քարտերը կարող են պաշտպանել SIM փոխանակման հետ կապված ֆիշինգ հարձակումների ռիսկը, Leclerc-ի համար պատասխանը հստակ է՝ ոչ.
«Պետք է հիշել, որ SIM-ի փոխանակման հարձակումները հիմնված են ինքնության խարդախության և սոցիալական ճարտարագիտության վրա: Եթե վատ դերասանը կարող է խաբել հեռահաղորդակցական ընկերության աշխատակցին` մտածելով, որ իրենք ֆիզիկական SIM-ին կցված համարի օրինական սեփականատերն են, նրանք կարող են դա անել նաև eSIM-ի համար:
Թեև հնարավոր է կանխել նման հարձակումները՝ կողպելով SIM քարտը հեռախոսի վրա (հեռահաղորդակցային ընկերությունները կարող են նաև բացել հեռախոսները), Leclere-ն, այնուամենայնիվ, մատնանշում է ֆիզիկական անվտանգության բանալիների օգտագործման ոսկե ստանդարտը: «Այս ստեղները միանում են ձեր համակարգչի USB պորտին, իսկ որոշները մոտ դաշտային հաղորդակցության (NFC) միացված են շարժական սարքերի հետ ավելի հեշտ օգտագործման համար», - բացատրում է Լեքլերը: «Հարձակվողը պետք է ոչ միայն իմանա ձեր գաղտնաբառը, այլև ֆիզիկապես տիրապետի այս բանալին՝ ձեր հաշիվ մուտք գործելու համար»:
Լեկլերը նշել է, որ 2017 թվականին աշխատակիցների համար անվտանգության բանալիների կիրառումը պարտադիր դարձնելուց հետո Google-ը զրո հաջող ֆիշինգ հարձակումներ է ունեցել: «Սակայն դրանք այնքան արդյունավետ են, որ եթե կորցնեք ձեր հաշվի հետ կապված մեկ բանալին, ամենայն հավանականությամբ չեք կարողանա վերականգնել մուտքը դեպի այն: Բազմաթիվ բանալիներ անվտանգ վայրերում պահելը կարևոր է», - ավելացրեց նա:
Ի վերջո, Լեքլերն ասաց, որ ի լրումն վավերացնող հավելվածի կամ անվտանգության բանալի օգտագործելու, գաղտնաբառերի լավ կառավարիչը հեշտացնում է ամուր գաղտնաբառեր ստեղծելը՝ առանց դրանք բազմաթիվ կայքերում կրկին օգտագործելու: «Ուժեղ, եզակի գաղտնաբառը, որը զուգակցված է ոչ SMS 2FA-ի հետ, հաշվի անվտանգության լավագույն ձևն է», - ասաց նա:
Աղբյուր՝ https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
Հաղորդագրություն նավարկություն
