เทคโนโลยี

CertiK กล่าวว่า SMS เป็นรูปแบบ 'เสี่ยงที่สุด' ของ 2FA ในการใช้งาน

09/29/2022
ข่าว Bitcoin Ethereum

การใช้ SMS เป็นรูปแบบการตรวจสอบสิทธิ์แบบสองปัจจัยได้รับความนิยมในหมู่ผู้ที่ชื่นชอบการเข้ารหัสลับมาโดยตลอด ท้ายที่สุดแล้ว ผู้ใช้จำนวนมากซื้อขาย cryptos หรือจัดการหน้าโซเชียลบนโทรศัพท์อยู่แล้ว ทำไมไม่ลองใช้ SMS เพื่อยืนยันเมื่อเข้าถึงเนื้อหาทางการเงินที่ละเอียดอ่อนล่ะ

น่าเสียดายที่เมื่อเร็ว ๆ นี้นักต้มตุ๋นได้ใช้ประโยชน์จากความมั่งคั่งที่ฝังอยู่ใต้ชั้นความปลอดภัยนี้ผ่านการสลับซิมหรือกระบวนการเปลี่ยนเส้นทางซิมการ์ดของบุคคลไปยังโทรศัพท์ที่แฮ็กเกอร์ครอบครอง ในเขตอำนาจศาลหลายแห่งทั่วโลก พนักงานโทรคมนาคมจะไม่ขอบัตรประจำตัวประชาชน บัตรประจำตัวใบหน้า หรือหมายเลขประกันสังคมเพื่อจัดการกับคำขอย้ายข้อมูลง่ายๆ

เมื่อรวมกับการค้นหาอย่างรวดเร็วสำหรับข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ (ค่อนข้างบ่อยสำหรับผู้มีส่วนได้ส่วนเสียของ Web3) และคำถามการกู้คืนที่เดาง่าย ผู้แอบอ้างสามารถพอร์ต SMS 2FA ของบัญชีไปยังโทรศัพท์ของพวกเขาได้อย่างรวดเร็ว และเริ่มใช้งานด้วยวิธีที่ชั่วร้าย เมื่อต้นปีนี้ ผู้ใช้ crypto Youtubers จำนวนมากตกเป็นเหยื่อของการโจมตี SIM-swap โดยที่ แฮกเกอร์โพสต์วิดีโอหลอกลวง ในช่องของพวกเขาด้วยข้อความที่สั่งให้ผู้ชมส่งเงินไปยังกระเป๋าเงินของแฮ็กเกอร์ ในเดือนมิถุนายน Duppies โปรเจ็กต์ Solana nonfungible token (NFT) ได้ละเมิดบัญชี Twitter อย่างเป็นทางการผ่าน SIM-Swap โดยมีแฮกเกอร์ทวีตลิงก์ไปยังโรงกษาปณ์ปลอมตัวปลอม

เกี่ยวกับเรื่องนี้ Cointelegraph ได้พูดคุยกับ Jesse Leclere ผู้เชี่ยวชาญด้านความปลอดภัยของ CertiK CertiK เป็นที่รู้จักในฐานะผู้นำด้านพื้นที่ความปลอดภัยบล็อคเชน ได้ช่วยโครงการกว่า 3,600 โครงการรักษาความปลอดภัยให้กับทรัพย์สินดิจิทัลมูลค่า 360 ล้านดอลลาร์ และตรวจพบช่องโหว่กว่า 66,000 รายการตั้งแต่ปี 2018 นี่คือสิ่งที่ Leclere ได้กล่าวไว้:

“SMS 2FA นั้นดีกว่าไม่มีเลย แต่มันเป็นรูปแบบที่เปราะบางที่สุดของ 2FA ที่ใช้งานอยู่ในปัจจุบัน ความน่าสนใจมาจากความง่ายในการใช้งาน: คนส่วนใหญ่ใช้โทรศัพท์หรือพกโทรศัพท์ไว้ใกล้มือเมื่อลงชื่อเข้าใช้แพลตฟอร์มออนไลน์ แต่จุดอ่อนของการแลกเปลี่ยนซิมการ์ดนั้นไม่สามารถประเมินได้”

Leclerc อธิบายว่าแอปรับรองความถูกต้องโดยเฉพาะ เช่น Google Authenticator, Authy หรือ Duo มอบความสะดวกสบายเกือบทั้งหมดของ SMS 2FA ในขณะที่ลดความเสี่ยงในการเปลี่ยนซิม เมื่อถูกถามว่าการ์ดเสมือนหรือ eSIM สามารถป้องกันความเสี่ยงของการโจมตีฟิชชิ่งที่เกี่ยวข้องกับ SIM Swap ได้หรือไม่ สำหรับ Leclerc คำตอบคือไม่ชัดเจนว่า:

“เราต้องจำไว้ว่าการโจมตี SIM-swap นั้นอาศัยการปลอมแปลงข้อมูลประจำตัวและวิศวกรรมสังคม หากผู้ไม่หวังดีสามารถหลอกให้พนักงานในบริษัทโทรคมนาคมคิดว่าตนเป็นเจ้าของหมายเลขที่แนบกับซิมจริงที่ถูกต้อง พวกเขาก็สามารถทำได้สำหรับ eSIM เช่นกัน

แม้ว่าจะสามารถยับยั้งการโจมตีดังกล่าวได้โดยการล็อกซิมการ์ดลงในโทรศัพท์ของตน (บริษัทโทรคมนาคมสามารถปลดล็อกโทรศัพท์ได้) Leclere ยังชี้ให้เห็นถึงมาตรฐานทองคำของการใช้คีย์ความปลอดภัยทางกายภาพ “คีย์เหล่านี้เสียบเข้ากับพอร์ต USB ของคอมพิวเตอร์ของคุณ และบางปุ่มก็เปิดใช้งานการสื่อสารระยะใกล้ (NFC) เพื่อให้ใช้งานกับอุปกรณ์มือถือได้ง่ายขึ้น” Leclere อธิบาย “ผู้โจมตีไม่เพียงต้องรู้รหัสผ่านของคุณเท่านั้น แต่ยังต้องครอบครองคีย์นี้ด้วยทางกายภาพเพื่อเข้าสู่บัญชีของคุณ”

Leclere ชี้ให้เห็นว่าหลังจากที่ได้รับมอบอำนาจให้ใช้คีย์ความปลอดภัยสำหรับพนักงานในปี 2017 Google ก็ประสบกับการโจมตีแบบฟิชชิ่งที่ประสบความสำเร็จเป็นศูนย์ “อย่างไรก็ตาม มันมีประสิทธิภาพมากจนหากคุณทำกุญแจหนึ่งตัวที่ผูกกับบัญชีของคุณหาย คุณมักจะไม่สามารถเข้าถึงมันได้อีก การเก็บกุญแจหลายดอกไว้ในที่ปลอดภัยเป็นสิ่งสำคัญ” เขากล่าวเสริม

สุดท้าย Leclere กล่าวว่านอกเหนือจากการใช้แอปรับรองความถูกต้องหรือคีย์ความปลอดภัยแล้ว ผู้จัดการรหัสผ่านที่ดียังช่วยให้สร้างรหัสผ่านที่รัดกุมได้ง่ายโดยไม่ต้องนำกลับมาใช้ซ้ำในหลายไซต์ “รหัสผ่านที่รัดกุมและไม่ซ้ำใครที่จับคู่กับที่ไม่ใช่ SMS 2FA คือรูปแบบการรักษาความปลอดภัยบัญชีที่ดีที่สุด” เขากล่าว