Menggunakan SMS sebagai bentuk otentikasi dua faktor selalu populer di kalangan penggemar kripto. Lagi pula, banyak pengguna sudah memperdagangkan kripto mereka atau mengelola halaman sosial di ponsel mereka, jadi mengapa tidak menggunakan SMS untuk memverifikasi saat mengakses konten keuangan yang sensitif?
Sayangnya, para penipu akhir-akhir ini ketahuan mengeksploitasi kekayaan yang terkubur di bawah lapisan keamanan ini melalui pertukaran SIM, atau proses pengalihan rute kartu SIM seseorang ke telepon yang dimiliki oleh peretas. Di banyak yurisdiksi di seluruh dunia, karyawan telekomunikasi tidak akan meminta ID pemerintah, identifikasi wajah, atau nomor jaminan sosial untuk menangani permintaan transfer sederhana.
Dikombinasikan dengan pencarian cepat untuk informasi pribadi yang tersedia untuk umum (cukup umum untuk pemangku kepentingan Web3) dan pertanyaan pemulihan yang mudah ditebak, peniru dapat dengan cepat mem-port SMS 2FA akun ke ponsel mereka dan mulai menggunakannya untuk cara jahat. Awal tahun ini, banyak Youtuber kripto menjadi korban serangan SIM-swap di mana peretas memposting video penipuan di saluran mereka dengan teks yang mengarahkan pemirsa untuk mengirim uang ke dompet peretas. Pada bulan Juni, proyek token nonfungible (NFT) Solana, Duppies, akun Twitter resminya dibobol melalui SIM-Swap dengan peretas men-tweet tautan ke mint siluman palsu.
Saya sehubungan dengan masalah ini, Cointelegraph berbicara dengan pakar keamanan CertiK Jesse Leclere. Dikenal sebagai pemimpin di bidang keamanan blockchain, CertiK telah membantu lebih dari 3,600 proyek mengamankan aset digital senilai $360 miliar dan mendeteksi lebih dari 66,000 kerentanan sejak 2018. Inilah yang Leclere katakan:
“SMS 2FA lebih baik daripada tidak sama sekali, tetapi ini adalah bentuk paling rentan dari 2FA yang saat ini digunakan. Daya tariknya berasal dari kemudahan penggunaannya: Kebanyakan orang menggunakan ponsel mereka atau berada di dekat mereka saat mereka masuk ke platform online. Tetapi kerentanannya terhadap pertukaran kartu SIM tidak dapat diremehkan.”
Leclerc menjelaskan bahwa aplikasi autentikator khusus, seperti Google Authenticator, Authy atau Duo, menawarkan hampir semua kenyamanan SMS 2FA sambil menghilangkan risiko pertukaran SIM. Ketika ditanya apakah kartu virtual atau eSIM dapat melindungi risiko serangan phishing terkait pertukaran SIM, untuk Leclerc, jawabannya jelas tidak:
“Kita harus ingat bahwa serangan SIM-swap bergantung pada penipuan identitas dan rekayasa sosial. Jika pelaku jahat dapat mengelabui karyawan di perusahaan telekomunikasi agar berpikir bahwa mereka adalah pemilik sah dari nomor yang dilampirkan pada SIM fisik, mereka juga dapat melakukannya untuk eSIM.
Meskipun dimungkinkan untuk mencegah serangan semacam itu dengan mengunci kartu SIM ke telepon seseorang (perusahaan telekomunikasi juga dapat membuka kunci telepon), Leclere tetap menunjukkan standar emas dalam menggunakan kunci keamanan fisik. “Tombol ini dicolokkan ke port USB komputer Anda, dan beberapa di antaranya mengaktifkan komunikasi jarak dekat (NFC) agar lebih mudah digunakan dengan perangkat seluler,” jelas Leclere. “Seorang penyerang tidak hanya perlu mengetahui kata sandi Anda, tetapi juga secara fisik memiliki kunci ini untuk masuk ke akun Anda.”
Leclere menunjukkan bahwa setelah mengamanatkan penggunaan kunci keamanan untuk karyawan pada tahun 2017, Google tidak mengalami serangan phishing yang berhasil. “Namun, mereka sangat efektif sehingga jika Anda kehilangan satu kunci yang terkait dengan akun Anda, kemungkinan besar Anda tidak akan bisa mendapatkan kembali akses ke sana. Menyimpan banyak kunci di lokasi yang aman itu penting, ”tambahnya.
Terakhir, Leclere mengatakan bahwa selain menggunakan aplikasi autentikator atau kunci keamanan, pengelola kata sandi yang baik memudahkan pembuatan kata sandi yang kuat tanpa menggunakannya kembali di beberapa situs. “Kata sandi yang kuat dan unik yang dipasangkan dengan 2FA non-SMS adalah bentuk keamanan akun terbaik,” katanya.
Sumber: https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use
navigasi posting
