ການນໍາໃຊ້ SMS ເປັນຮູບແບບຂອງການກວດສອບສອງປັດໄຈເປັນທີ່ນິຍົມສະເຫມີໄປໃນບັນດາຜູ້ກະຕືລືລົ້ນ crypto. ຫຼັງຈາກທີ່ທັງຫມົດ, ຜູ້ໃຊ້ຈໍານວນຫຼາຍກໍາລັງຊື້ຂາຍ cryptos ຂອງເຂົາເຈົ້າຢູ່ແລ້ວຫຼືການຄຸ້ມຄອງຫນ້າສັງຄົມໃນໂທລະສັບຂອງເຂົາເຈົ້າ, ດັ່ງນັ້ນເປັນຫຍັງຈຶ່ງບໍ່ພຽງແຕ່ໃຊ້ SMS ເພື່ອກວດສອບເມື່ອເຂົ້າເຖິງເນື້ອຫາທາງດ້ານການເງິນທີ່ລະອຽດອ່ອນ?
ແຕ່ຫນ້າເສຍດາຍ, ບໍ່ດົນມານີ້, ນັກສິລະປິນໄດ້ຈັບຕົວເພື່ອຂຸດຄົ້ນຄວາມຮັ່ງມີທີ່ຝັງຢູ່ພາຍໃຕ້ຊັ້ນຂອງຄວາມປອດໄພນີ້ໂດຍຜ່ານການແລກປ່ຽນ SIM, ຫຼືຂະບວນການປ່ຽນຊິມກາດຂອງບຸກຄົນໄປຫາໂທລະສັບທີ່ມີແຮກເກີ. ໃນຫຼາຍເຂດອຳນາດທົ່ວໂລກ, ພະນັກງານໂທລະຄົມຈະບໍ່ຂໍບັດປະຈຳຕົວຂອງລັດຖະບານ, ການລະບຸໃບໜ້າ ຫຼື ໝາຍເລກປະກັນສັງຄົມເພື່ອຈັດການກັບຄຳຮ້ອງຂໍການສົ່ງຜ່ານແບບງ່າຍໆ.
ສົມທົບກັບການຄົ້ນຫາຂໍ້ມູນສ່ວນຕົວທີ່ມີສາທາລະນະຢ່າງລວດໄວ (ຂ້ອນຂ້າງທົ່ວໄປສໍາລັບຜູ້ມີສ່ວນກ່ຽວຂ້ອງ Web3) ແລະຄໍາຖາມການຟື້ນຕົວທີ່ຄາດເດົາໄດ້ງ່າຍ, ຜູ້ປອມຕົວສາມາດສົ່ງ SMS 2FA ຂອງບັນຊີໄປຫາໂທລະສັບຂອງພວກເຂົາຢ່າງໄວວາແລະເລີ່ມໃຊ້ມັນສໍາລັບວິທີການທີ່ບໍ່ດີ. ໃນຕົ້ນປີນີ້, Youtubers crypto ຫຼາຍຄົນຕົກເປັນເຫຍື່ອຂອງການໂຈມຕີ SIM-swap ບ່ອນທີ່ ແຮກເກີໂພສວິດີໂອຫລອກລວງ ຢູ່ໃນຊ່ອງຂອງພວກເຂົາດ້ວຍຂໍ້ຄວາມທີ່ຊີ້ບອກຜູ້ຊົມໃຫ້ສົ່ງເງິນໄປຫາກະເປົາເງິນຂອງແຮກເກີ. ໃນເດືອນມິຖຸນາ, ໂຄງການ Solana nonfungible token (NFT) Duppies ມີບັນຊີ Twitter ຢ່າງເປັນທາງການຂອງຕົນທີ່ຖືກລະເມີດຜ່ານ SIM-Swap ກັບແຮກເກີ tweeting ເຊື່ອມຕໍ່ກັບ mint stealth ປອມ.
ຂ້າພະເຈົ້າກ່ຽວກັບເລື່ອງນີ້, Cointelegraph ໄດ້ໂອ້ລົມກັບຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພຂອງ CertiK Jesse Leclere. ເປັນທີ່ຮູ້ຈັກໃນຖານະເປັນຜູ້ນໍາໃນພື້ນທີ່ຄວາມປອດໄພຂອງ blockchain, CertiK ໄດ້ຊ່ວຍຫຼາຍກວ່າ 3,600 ໂຄງການຮັບປະກັນຊັບສິນດິຈິຕອນມູນຄ່າ 360 ຕື້ໂດລາແລະກວດພົບຫຼາຍກວ່າ 66,000 ຊ່ອງໂຫວ່ນັບຕັ້ງແຕ່ 2018. ນີ້ແມ່ນສິ່ງທີ່ Leclere ເວົ້າ:
"SMS 2FA ແມ່ນດີກ່ວາບໍ່ມີຫຍັງ, ແຕ່ມັນເປັນຮູບແບບທີ່ມີຄວາມສ່ຽງທີ່ສຸດຂອງ 2FA ທີ່ໃຊ້ໃນປັດຈຸບັນ. ການອຸທອນຂອງມັນມາຈາກຄວາມງ່າຍຂອງການນໍາໃຊ້: ປະຊາຊົນສ່ວນໃຫຍ່ຢູ່ໃນໂທລະສັບຂອງເຂົາເຈົ້າຫຼືມີມັນຢູ່ໃກ້ກັບມືໃນເວລາທີ່ເຂົາເຈົ້າເຂົ້າສູ່ລະບົບເວທີອອນໄລນ໌. ແຕ່ຄວາມອ່ອນແອຂອງມັນຕໍ່ກັບການແລກປ່ຽນ SIM card ບໍ່ສາມາດຖືກຄາດຄະເນໄດ້."
Leclerc ອະທິບາຍວ່າແອັບ authenticator ທີ່ອຸທິດຕົນເຊັ່ນ Google Authenticator, Authy ຫຼື Duo, ສະເໜີຄວາມສະດວກສະບາຍເກືອບທັງໝົດຂອງ SMS 2FA ໃນຂະນະທີ່ກຳຈັດຄວາມສ່ຽງຂອງການປ່ຽນ SIM. ເມື່ອຖືກຖາມວ່າບັດ virtual ຫຼື eSIM ສາມາດປ້ອງກັນຄວາມສ່ຽງຂອງການໂຈມຕີ phishing ທີ່ກ່ຽວຂ້ອງກັບ SIM-swap, ສໍາລັບ Leclerc, ຄໍາຕອບແມ່ນບໍ່ມີຄວາມຊັດເຈນ:
"ຫນຶ່ງຕ້ອງຈື່ໄວ້ວ່າການໂຈມຕີ SIM-swap ແມ່ນອີງໃສ່ການສໍ້ໂກງຕົວຕົນແລະວິສະວະກໍາສັງຄົມ. ຖ້ານັກສະແດງທີ່ບໍ່ດີສາມາດຫຼອກລວງພະນັກງານໃນບໍລິສັດໂທລະຄົມໃຫ້ຄິດວ່າພວກເຂົາເປັນເຈົ້າຂອງທີ່ຖືກຕ້ອງຕາມກົດຫມາຍຂອງຕົວເລກທີ່ຕິດກັບ SIM ຕົວຈິງ, ພວກເຂົາສາມາດເຮັດເຊັ່ນນັ້ນສໍາລັບ eSIM ເຊັ່ນກັນ.
ເຖິງແມ່ນວ່າມັນເປັນໄປໄດ້ທີ່ຈະປ້ອງກັນການໂຈມຕີດັ່ງກ່າວໂດຍການລັອກຊິມກາດໃສ່ໂທລະສັບຂອງຜູ້ຫນຶ່ງ (ບໍລິສັດໂທລະຄົມຍັງສາມາດປົດລັອກໂທລະສັບໄດ້), ຢ່າງໃດກໍຕາມ, Leclere ຊີ້ໃຫ້ເຫັນມາດຕະຖານຄໍາຂອງການນໍາໃຊ້ກະແຈຄວາມປອດໄພທາງດ້ານຮ່າງກາຍ. Leclere ອະທິບາຍວ່າ “ກະແຈເຫຼົ່ານີ້ສຽບໃສ່ພອດ USB ຂອງຄອມພິວເຕີຂອງທ່ານ, ແລະບາງອັນແມ່ນການສື່ສານໃກ້ກັບສະໜາມ (NFC) ທີ່ເປີດໃຊ້ເພື່ອໃຊ້ກັບອຸປະກອນມືຖືໄດ້ງ່າຍຂຶ້ນ,” Leclere ອະທິບາຍ. "ຜູ້ໂຈມຕີຈະຕ້ອງບໍ່ພຽງແຕ່ຮູ້ລະຫັດຜ່ານຂອງເຈົ້າເທົ່ານັ້ນ, ແຕ່ການຄອບຄອງຂອງກະແຈນີ້ເພື່ອເຂົ້າໄປໃນບັນຊີຂອງທ່ານ."
Leclere ຊີ້ໃຫ້ເຫັນວ່າຫຼັງຈາກການບັງຄັບໃຊ້ກະແຈຄວາມປອດໄພສໍາລັບພະນັກງານໃນປີ 2017, Google ໄດ້ປະສົບກັບການໂຈມຕີ phishing ທີ່ບໍ່ມີຜົນສໍາເລັດ. "ຢ່າງໃດກໍ່ຕາມ, ພວກມັນມີປະສິດທິພາບຫຼາຍທີ່ຖ້າທ່ານສູນເສຍກະແຈອັນດຽວທີ່ຜູກມັດກັບບັນຊີຂອງທ່ານ, ສ່ວນຫຼາຍແມ່ນທ່ານຈະບໍ່ສາມາດເຂົ້າເຖິງມັນໄດ້. ການຮັກສາກະແຈຫຼາຍອັນຢູ່ໃນບ່ອນປອດໄພແມ່ນສໍາຄັນ,” ລາວກ່າວຕື່ມວ່າ.
ສຸດທ້າຍ, Leclere ກ່າວວ່ານອກເຫນືອຈາກການໃຊ້ app authenticator ຫຼືກະແຈຄວາມປອດໄພ, ຜູ້ຈັດການລະຫັດຜ່ານທີ່ດີເຮັດໃຫ້ມັນງ່າຍຕໍ່ການສ້າງລະຫັດຜ່ານທີ່ເຂັ້ມແຂງໂດຍບໍ່ຕ້ອງໃຊ້ມັນຄືນໃຫມ່ໃນທົ່ວເວັບໄຊທ໌ຕ່າງໆ. "ລະຫັດຜ່ານທີ່ເຂັ້ມແຂງ, ເປັນເອກະລັກທີ່ຈັບຄູ່ກັບທີ່ບໍ່ແມ່ນ SMS 2FA ແມ່ນຮູບແບບທີ່ດີທີ່ສຸດຂອງຄວາມປອດໄພບັນຊີ," ລາວເວົ້າ.
ທີ່ມາ: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use