Die Verwendung von SMS als Form der Zwei-Faktor-Authentifizierung war bei Krypto-Enthusiasten schon immer beliebt. Schließlich handeln viele Benutzer bereits mit ihren Kryptos oder verwalten soziale Seiten auf ihren Telefonen. Warum also nicht einfach SMS verwenden, um sich zu verifizieren, wenn sie auf sensible Finanzinhalte zugreifen?
Leider haben Betrüger in letzter Zeit den Reichtum, der unter dieser Sicherheitsebene verborgen ist, durch SIM-Swapping oder den Prozess der Umleitung der SIM-Karte einer Person auf ein Telefon, das sich im Besitz eines Hackers befindet, ausgenutzt. In vielen Gerichtsbarkeiten weltweit fragen Telekommunikationsmitarbeiter nicht nach amtlichen Ausweisen, Gesichtserkennungs- oder Sozialversicherungsnummern, um eine einfache Portierungsanfrage zu bearbeiten.
In Kombination mit einer schnellen Suche nach öffentlich zugänglichen persönlichen Informationen (ziemlich üblich für Web3-Stakeholder) und leicht zu erratenden Wiederherstellungsfragen können Imitatoren die SMS 2FA eines Kontos schnell auf ihr Telefon portieren und damit beginnen, sie für schändliche Zwecke zu verwenden. Anfang dieses Jahres wurden viele Krypto-Youtuber Opfer eines SIM-Swap-Angriffs, bei dem Hacker haben Betrugsvideos gepostet auf ihrem Kanal mit Text, der die Zuschauer anweist, Geld an die Brieftasche des Hackers zu senden. Im Juni wurde das offizielle Twitter-Konto des Solana Nonfungible Token (NFT)-Projekts Duppies über einen SIM-Swap gehackt, wobei Hacker Links zu einer gefälschten Stealth-Münze twitterten.
In Bezug auf diese Angelegenheit sprach Cointelegraph mit dem Sicherheitsexperten von CertiK, Jesse Leclere. CertiK ist als führendes Unternehmen im Bereich Blockchain-Sicherheit bekannt und hat seit 3,600 über 360 Projekten geholfen, digitale Assets im Wert von 66,000 Milliarden US-Dollar zu sichern, und über 2018 Schwachstellen entdeckt. Hier ist, was Leclere zu sagen hatte:
„SMS 2FA ist besser als nichts, aber es ist die anfälligste Form von 2FA, die derzeit verwendet wird. Seine Attraktivität liegt in seiner Benutzerfreundlichkeit: Die meisten Menschen sind entweder am Telefon oder haben es griffbereit, wenn sie sich bei Online-Plattformen anmelden. Aber seine Anfälligkeit für SIM-Kartenwechsel darf nicht unterschätzt werden.“
Leclerc erklärte, dass dedizierte Authentifizierungs-Apps wie Google Authenticator, Authy oder Duo fast den gesamten Komfort von SMS 2FA bieten und gleichzeitig das Risiko des SIM-Tauschs beseitigen. Auf die Frage, ob virtuelle oder eSIM-Karten das Risiko von Phishing-Angriffen im Zusammenhang mit SIM-Swaps abwehren können, ist die Antwort für Leclerc ein klares Nein:
„Man muss bedenken, dass SIM-Swap-Angriffe auf Identitätsbetrug und Social Engineering beruhen. Wenn ein Angreifer einem Mitarbeiter eines Telekommunikationsunternehmens vorgaukeln kann, dass er der legitime Besitzer einer Nummer ist, die mit einer physischen SIM-Karte verbunden ist, kann er dies auch für eine eSIM tun.
Obwohl es möglich ist, solche Angriffe abzuwehren, indem man die SIM-Karte an das Telefon sperrt (Telekommunikationsunternehmen können Telefone auch entsperren), weist Leclere dennoch auf den Goldstandard hin, physische Sicherheitsschlüssel zu verwenden. „Diese Schlüssel werden in den USB-Anschluss Ihres Computers gesteckt, und einige sind NFC-fähig (Near Field Communication), um die Verwendung mit Mobilgeräten zu erleichtern“, erklärt Leclere. „Ein Angreifer müsste nicht nur Ihr Passwort kennen, sondern auch diesen Schlüssel physisch in Besitz nehmen, um in Ihr Konto zu gelangen.“
Leclere wies darauf hin, dass Google nach der Verpflichtung zur Verwendung von Sicherheitsschlüsseln für Mitarbeiter im Jahr 2017 keine erfolgreichen Phishing-Angriffe erlebt hat. „Sie sind jedoch so effektiv, dass Sie, wenn Sie den einen Schlüssel verlieren, der mit Ihrem Konto verknüpft ist, höchstwahrscheinlich nicht mehr darauf zugreifen können. Es ist wichtig, mehrere Schlüssel an sicheren Orten aufzubewahren“, fügte er hinzu.
Schließlich sagte Leclere, dass ein guter Passwort-Manager es zusätzlich zur Verwendung einer Authentifizierungs-App oder eines Sicherheitsschlüssels einfach macht, starke Passwörter zu erstellen, ohne sie auf mehreren Websites wiederzuverwenden. „Ein starkes, eindeutiges Passwort, gepaart mit Nicht-SMS-2FA, ist die beste Form der Kontosicherheit“, erklärte er.
Quelle: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
Post-Navigation
