ניצן SMS ווי אַ פאָרעם פון צוויי-פאַקטאָר אָטענטאַקיישאַן איז שטענדיק געווען פאָלקס צווישן קריפּטאָ ענטוזיאַסץ. נאָך אַלע, פילע יוזערז זענען שוין טריידינג זייער קריפּטאָ אָדער אָנפירונג געזעלשאַפטלעך בלעטער אויף זייער פאָנעס, אַזוי וואָס ניט פשוט נוצן SMS צו באַשטעטיקן ווען אַקסעסינג שפּירעוודיק פינאַנציעל אינהאַלט?
צום באַדויערן, קאַן אַרטיס האָבן לעצטנס געכאפט צו עקספּלויטינג די עשירות בעריד אונטער דעם שיכטע פון זיכערהייט דורך SIM-סוואַפּינג, אָדער דער פּראָצעס פון ריראָוטינג אַ מענטש 'ס סים קאָרט צו אַ טעלעפאָן וואָס איז אין פאַרמעגן פון אַ העקער. אין פילע דזשוריסדיקשאַנז ווערלדווייד, טעלעקאָם עמפּלוייז וועלן נישט פרעגן פֿאַר רעגירונג שייַן, פיישאַל לעגיטימאַציע אָדער סאציאל סעקוריטי נומערן צו שעפּן אַ פּשוט פּאָרטינג בעטן.
קאַמביינד מיט אַ שנעל זוכן פֿאַר עפנטלעך בנימצא פערזענלעכע אינפֿאָרמאַציע (גאַנץ פּראָסט פֿאַר וועב3 סטייקכאָולדערז) און גרינג-צו-טראַכטן אָפּזוך פראגעס, ימפּערסאַנטייטערז קענען געשווינד אַריבערפירן אַ חשבון ס SMS 2FA צו זייער טעלעפאָן און אָנהייבן ניצן עס פֿאַר נעפעריש מיטלען. פריער דעם יאָר, פילע קריפּטאָ יאָוטובערס געפאלן קאָרבן צו אַ סים-ויסבייַטן באַפאַלן ווו כאַקערז אַרייַנגעשיקט סקאַם ווידיאס אויף זייער קאַנאַל מיט טעקסט דירעקטעד וויוערז צו שיקן געלט צו די העקער ס בייַטל. אין יוני, Solana nonfungible token (NFT) פּרויעקט דופּפּיעס האט זיין באַאַמטער טוויטטער חשבון בריטשט דורך אַ סים-סוואַפּ מיט כאַקערז טוועעטינג לינקס צו אַ שווינדל סטעלט מינץ.
איך קוק אין דעם ענין, קאָינטעלעגראַף האָט גערעדט מיט CertiK ס זיכערהייט עקספּערט דזשעסי לעקלערע. באַוווסט ווי אַ פירער אין די בלאַקכייוואַן זיכערהייט פּלאַץ, CertiK האט געהאָלפֿן איבער 3,600 פּראַדזשעקס צו באַוואָרענען 360 ביליאָן דאָללאַרס פון דיגיטאַל אַסעץ און דיטעקטאַד איבער 66,000 וואַלנעראַביליטיז זינט 2018. דאָ ס וואָס Leclere האט צו זאָגן:
"SMS 2FA איז בעסער ווי גאָרנישט, אָבער עס איז די מערסט שפּירעוודיק פאָרעם פון 2FA איצט אין נוצן. זיין אַפּעלירן קומט פון זיין יז פון נוצן: רובֿ מענטשן זענען אָדער אויף זייער טעלעפאָן אָדער האָבן עס נאָענט צו האַנט ווען זיי לאָגינג אין אָנליין פּלאַטפאָרמס. אָבער זיין וואַלנעראַביליטי צו סים קאָרט סוואַפּס קענען ניט זיין אַנדערעסטאַמייטיד.
Leclerc האָט דערקלערט אַז דעדאַקייטאַד אָטענטאַקיישאַן אַפּפּס, אַזאַ ווי Google Authenticator, Authy אָדער Duo, פאָרשלאָגן כּמעט אַלע די קאַנוויניאַנס פון SMS 2FA בשעת רימוווינג די ריזיקירן פון סים-סוואַפּינג. ווען געפרעגט אויב ווירטועל אָדער eSIM קאַרדס קענען רעדאַגירן די ריזיקירן פון סים ויסבייַטן פישינג אנפאלן, פֿאַר Leclerc, די ענטפער איז אַ קלאָר ניין:
"מען דאַרף האַלטן אין זינען אַז סים ויסבייַטן אנפאלן פאַרלאָזנ זיך אידענטיטעט שווינדל און געזעלשאַפטלעך ינזשעניעריע. אויב אַ שלעכטער אַקטיאָר קען נאַרן אַן אָנגעשטעלטער אין אַ טעלעקאָם פירמע צו טראַכטן אַז זיי זענען די לאַדזשיטאַמאַט באַזיצער פון אַ נומער אַטאַטשט צו אַ גשמיות סים, זיי קענען אויך טאָן דאָס פֿאַר אַן eSIM.
כאָטש עס איז מעגלעך צו אָפאַלטן אַזאַ אַטאַקעס דורך לאַקינג די סים קאָרט צו זיין טעלעפאָן (טעלעקאָם קאָמפּאַניעס קענען אויך ופשליסן פאָנעס), Leclere פונדעסטוועגן ווייזט צו די גאָלד נאָרמאַל פון ניצן גשמיות זיכערהייט שליסלען. "די שליסלען צאַפּן אין דיין קאָמפּיוטער ס וסב פּאָרט, און עטלעכע זענען נאָענט-פעלד קאָמוניקאַציע (NFC) ענייבאַלד פֿאַר גרינגער נוצן מיט רירעוודיק דעוויסעס," דערקלערט Leclere. "אַן אַטאַקער זאָל ניט בלויז וויסן דיין פּאַראָל, אָבער פיזיקלי נעמען פאַרמעגן פון דעם שליסל צו באַקומען אין דיין חשבון."
Leclere האָט אָנגעוויזן אַז נאָך מאַנדייטינג די נוצן פון זיכערהייט שליסלען פֿאַר עמפּלוייז אין 2017, Google האט יקספּיריאַנסט נול געראָטן פישינג אנפאלן. "אָבער, זיי זענען אַזוי עפעקטיוו אַז אויב איר פאַרלירן די איין שליסל וואָס איז פארבונדן צו דיין חשבון, איר וועט רובֿ מסתּמא נישט קענען צו ריגיין אַקסעס צו אים. בעכעסקעם קייפל שליסלען אין זיכער לאָוקיישאַנז איז וויכטיק, "ער צוגעגעבן.
צום סוף, Leclere האט געזאגט אַז אין אַדישאַן צו נוצן אַן אָטענטאַקייטער אַפּ אָדער אַ זיכערהייט שליסל, אַ גוט פּאַראָל פאַרוואַלטער מאכט עס גרינג צו שאַפֿן שטאַרק פּאַסווערדז אָן ריוזינג זיי אויף קייפל זייטלעך. "א שטאַרק, יינציק פּאַראָל פּערד מיט ניט-SMS 2FA איז דער בעסטער פאָרעם פון חשבון זיכערהייט," ער סטייטיד.
מקור: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
