การใช้ SMS ในการตรวจสอบสิทธิ์แบบ 2FA ได้รับความนิยมในหมู่ผู้ที่ใช้งาน Crypto มาโดยตลอด ด้วยความสะดวกของผู้ใช้จำนวนมากที่ซื้อขาย crypto บนโทรศัพท์อยู่แล้ว เหตุใดพวกจึงจะไม่ใช้ SMS ล่ะ
น่าเสียดายที่เมื่อเร็ว ๆ นี้ นักต้มตุ๋นได้เริ่มใช้ประโยชน์จากช่องโหว่ที่ฝังอยู่ภายใต้ความปลอดภัยนี้ ผ่านทาง SIM-swapping หรือกระบวนการเปลี่ยนเส้นทางซิมการ์ดของบุคคลไปยังโทรศัพท์ที่แฮ็กเกอร์ครอบครอง โดยในหลายแห่งทั่วโลก พนักงานที่เกี่ยวข้องจะไม่ขอบัตรประจำตัวประชาชน , การระบุใบหน้า , หรือหมายเลขประกันสังคม เพื่อจัดการกับคำขอย้ายข้อมูลง่าย ๆ
เมื่อรวมกับการค้นหาอย่างรวดเร็วสำหรับข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ และการใช้คำถามการกู้คืนที่เดาได้ง่าย ๆ ทำให้ผู้แอบอ้างสามารถย้าย SMS 2FA ของบัญชีเหยื่อไปยังโทรศัพท์ของพวกเขาได้อย่างรวดเร็ว
เมื่อต้นปีนี้ Youtubers ด้าน Crypto จำนวนมาก ตกเป็นเหยื่อของการโจมตี SIM-swap ซึ่งแฮ็กเกอร์ได้โพสต์วิดีโอหลอกลวงในช่องของพวกเขา ด้วยข้อความที่สั่งให้ผู้ชมโอนเงินไปยังกระเป๋าเงินของแฮ็กเกอร์ และในเดือนมิถุนายน Duppies โปรเจ็กต์ Solana nonfungible token (NFT) ได้แฮ็กบัญชี Twitter อย่างเป็นทางการ ผ่านทาง SIM-Swap
Jesse Leclere ผู้เชี่ยวชาญด้านความปลอดภัยของ CertiK เผยว่า CertiK เคยช่วยโครงการกว่า 3,600 โครงการในการรักษาความปลอดภัยให้กับทรัพย์สินดิจิทัลมูลค่า 360 พันล้านดอลลาร์ และตรวจพบช่องโหว่กว่า 66,000 รายการตั้งแต่ปี 2018
“SMS 2FA มันแค่ดีกว่าไม่มีเลย แต่มันเป็นรูปแบบที่เปราะบางที่สุดของ 2FA ที่ใช้งานอยู่ในปัจจุบัน ความน่าสนใจของมันมาจากความง่ายในการใช้งาน เพราะคนส่วนใหญ่ใช้โทรศัพท์หรือพกติดตัวไว้ใกล้ตัวเมื่อต้องลงชื่อเข้าใช้งานแพลตฟอร์มออนไลน์ แต่ช่องโหว่ของ SIM-swapping นั้นไม่สามารถประเมินได้”
Leclerc อธิบายว่า แอปรับรองความถูกต้องโดยเฉพาะ เช่น Google Authenticator, Authy หรือ Duo ก็มอบความสะดวกสบายได้เหมือน SMS 2FA แต่ช่วยลดความเสี่ยงในของ SIM-swapping ได้ และเมื่อถูกถามว่า eSIM จะป้องกันความเสี่ยงของการโจมตีฟิชชิ่งที่เกี่ยวข้องกับ SIM Swap ได้หรือไม่ สำหรับ Leclerc คำตอบคือ ไม่
“เราต้องจำไว้ว่าการโจมตี SIM-swap นั้นอาศัยการปลอมแปลงข้อมูลประจำตัว หากผู้ไม่หวังดีสามารถหลอกพนักงานในบริษัทโทรคมนาคมให้คิดว่าพวกเขาเป็นเจ้าของหมายเลขที่ถูกต้องตามกฎหมายของหมายเลขที่แนบมากับ SIM จริง ๆ พวกเขาก็สามารถทำได้สำหรับ eSIM เช่นกัน”
สุดท้าย Leclere กล่าวว่านอกเหนือจากการใช้แอปยืนยันตัวตนหรือ security key แล้ว การใช้งาน password manager ยังช่วยให้สร้างรหัสผ่านที่รัดกุมได้ง่ายมากขึ้นโดยไม่ต้องนำกลับมาใช้ซ้ำในหลายเว็บไซต์ “รหัสผ่านที่รัดกุมและไม่ซ้ำใคร และไม่ใช้งาน SMS 2FA เป็นรูปแบบการรักษาความปลอดภัยของบัญชีที่ดีที่สุด” เขากล่าว
