قال جيسي لوكلير من CertiK في مقابلة إن مستوى الأمان الذي توفره الرسائل القصيرة يتضاءل مقارنة بالمصدقين أو مفاتيح الأمان المادية.
استخدام الرسائل النصية القصيرة Sms الأكثر ضعفا
لطالما كان استخدام الرسائل القصيرة كشكل من أشكال المصادقة الثنائية شائعًا لدى عشاق التشفير. بعد كل شيء، يتعامل العديد من المستخدمين فعلًا في العملات المشفرة أو يديرون الصفحات الاجتماعية على هواتفهم، فلماذا لا تستخدم الرسائل القصيرة للتحقق عند الوصول إلى محتوى مالي حساس !
لسوء الحظ، اكتشف المحتالون مؤخرًا استغلال الثروة المخفية تحت هذه الطبقة الأمنية بواسطة عملية تبديل بطاقة SIM أو إعادة توجيه بطاقة SIM الخاصة بشخص ما إلى هاتف المتسلل. في العديد من الولايات القضائية حول العالم، لا يحتاج المتصلون إلى بطاقات هُوِيَّة حكومية أو التعرف على الوجه أو أرقام الضمان الاجتماعي لمعالجة طلبات التحويل البسيطة.
بالاقتران مع البحث السريع عن المعلومات الشخصية المتاحة للجمهور (التي تحظى بشعبية كبيرة لدى أصحاب المصلحة في Web3) وأسئلة الاسترداد سهلة التخمين، يمكن للمحتال نقل رسالة SMS 2FA الخاصة بالحساب إلى هواتفهم بسرعة والبدء في استخدامها لأغراض شائنة. في وقت سابق من هذا العام، وقع بعض مستخدمي YouTube المشفرين ضحية لهجمات تبادل بطاقة SIM بعد أن نشر المتسللون مقاطع فيديو احتيالية على قنواتهم تحتوي على نصوص ترشد المشاهدين إلى إرسال الأموال إلى المحافظ المخترقة. في يونيو، تم اختراق حساب Twitter الرسمي لمشروع Solana Project (NFT) بواسطة SIM-Swap بعد أن قام المتسللون بتغريد روابط لعملات خفية مزيفة.
تحدث خبير الأمن في CertiK جيسي لوكلير
بشأن هذه المسألة. احتفلت CertiK كشركة رائدة في مجال أمن blockchain، حيث ساعدت أكثر من 3600 مشروع في تأمين أصول رقمية بقيمة 360 مليار دولار واكتشفت أكثر من 66000 نقطة ضعف منذ عام 2018. هذا ما قاله Leclere:
أوضح Leclerc
أن تطبيقات المصادقة المخصصة، مثل Google Authenticator أو Authy أو Duo، توفر تقريبًا جميع وسائل الراحة في SMS 2FA مع التخلص من مخاطر تبديل بطاقة SIM. عندما سأل Leclerc عما إذا كانت البطاقة الافتراضية أو eSIM يمكن أن تكون تحوطًا ضد مخاطر هجمات التصيد الاحتيالي المرتبطة بتبديل بطاقة SIM، كانت الإجابة: لا:
في حين أن قُفْل بطاقة SIM على الهاتف يمكن أن يمنع مثل هذه الهجمات (ويمكن للناقل فتح الهاتف)، لا يزال Leclere يشير إلى المعيار الذهبي لاستخدام مفتاح أمان مادي. يوضح Leclere: يتم توصيل هذه المفاتيح بمنفذ USB بجهاز الحاسوب، كما يدعم بعضها تقنية NFC لتسهيل الاستخدام مع الأجهزة المحمولة. لن يحتاج المهاجم فقط إلى معرفة كلمة مرورك، بل سيحتاج أيضًا إلى امتلاك المفتاح فعلًا للوصول إلى حسابك.
أشار Leclere
إلى أنه بعد فرض مفاتيح أمان الموظفين في عام 2017، لم تواجه Google أي هجمات تصيد احتيالي ناجحة. وأضاف: ومع ذلك، فهي تعمل بشكل جيد لدرجة أنك إذا فقدت مفتاحًا واحدًا مرتبطًا بحسابك، فلن تتمكن على الأرجح من استعادة الوصول إليه. من المهم الاحتفاظ بمفاتيح متعددة في مكان آمن.
أخيرًا، يقول Leclere
إنه بالإضافة إلى استخدام تطبيق المصادقة أو مفتاح الأمان، فإن مدير كلمات المرور الجيد يجعل من السهل إنشاء كلمات مرور قوية دون الحاجة إلى إعادة استخدامها عبر مواقع متعددة. وقال: كلمة المرور القوية والفريدة المقترنة بـ 2FA بخلاف SMS هي أفضل حاله من حالات أمان الحساب.
إرسال تعليق