Welcome to Delicate template
Header
Just another WordPress site
Header

CertiK mengatakan SMS adalah bentuk `paling rentan` dari 2FA yang digunakan

September 28th, 2022 | Posted by Admin in Uncategorized

Menggunakan SMS sebagai bentuk otentikasi dua faktor selalu populer di kalangan penggemar kripto. Lagi pula, banyak pengguna yang sudah memperdagangkan kripto mereka atau mengelola halaman sosial di ponsel mereka, jadi mengapa tidak menggunakan SMS untuk memverifikasi saat mengakses konten keuangan yang sensitif?

Sayangnya, penipu belakangan ini ketahuan mengeksploitasi kekayaan yang terkubur di bawah lapisan keamanan ini. melalui SIM-swapping, atau proses rerouting kartu SIM seseorang ke telepon yang dimiliki oleh seorang hacker. Di banyak yurisdiksi di seluruh dunia, karyawan telekomunikasi tidak akan meminta ID pemerintah, identifikasi wajah, atau nomor jaminan sosial untuk menangani permintaan porting sederhana.

Dikombinasikan dengan pencarian cepat untuk informasi pribadi yang tersedia untuk umum (cukup umum untuk pemangku kepentingan Web3) dan mudah -tebak pertanyaan pemulihan, peniru dapat dengan cepat mem-port SMS 2FA akun ke ponsel mereka dan mulai menggunakannya untuk cara jahat. Awal tahun ini, banyak crypto Youtuber menjadi korban serangan SIM-swap di mana peretas memposting video penipuan di saluran mereka dengan teks yang mengarahkan pemirsa untuk mengirim uang ke dompet peretas. Pada bulan Juni, proyek token nonfungible (NFT) Solana, Duppies, akun Twitter resminya dibobol melalui SIM-Swap dengan peretas men-tweet tautan ke mint siluman palsu.

Sehubungan dengan masalah ini, Cointelegraph berbicara dengan pakar keamanan CertiK Jesse Leclere. Dikenal sebagai pemimpin di bidang keamanan blockchain, CertiK telah membantu lebih dari 3.600 proyek mengamankan aset digital senilai $360 miliar dan mendeteksi lebih dari 66.000 kerentanan sejak 2018. Inilah yang Leclere katakan:
“SMS 2FA lebih baik daripada tidak sama sekali, tetapi ini bentuk paling rentan dari 2FA yang saat ini digunakan. Daya tariknya berasal dari kemudahan penggunaannya: Kebanyakan orang menggunakan ponsel mereka atau berada di dekat mereka saat mereka masuk ke platform online. Namun kerentanannya terhadap pertukaran kartu SIM tidak dapat diremehkan.”
Leclerc menjelaskan bahwa aplikasi autentikator khusus, seperti Google Authenticator, Authy atau Duo, menawarkan hampir semua kenyamanan SMS 2FA sambil menghilangkan risiko pertukaran SIM. Ketika ditanya apakah kartu virtual atau eSIM dapat melindungi dari risiko serangan phishing terkait pertukaran SIM, untuk Leclerc, jawabannya jelas tidak:
“Kita harus ingat bahwa serangan SIM-swap bergantung pada penipuan identitas dan sosial rekayasa.Jika aktor jahat dapat mengelabui karyawan di perusahaan telekomunikasi agar berpikir bahwa mereka adalah pemilik sah dari nomor yang dilampirkan pada SIM fisik, mereka juga dapat melakukannya untuk eSIM.
Meskipun serangan semacam itu dapat dicegah dengan mengunci kartu SIM ke telepon seseorang (Perusahaan telekomunikasi juga dapat membuka kunci telepon), Leclere tetap mengacu pada standar emas menggunakan kunci keamanan fisik. untuk penggunaan yang lebih mudah dengan perangkat seluler,” jelas Leclere. “Seorang penyerang tidak hanya perlu mengetahui kata sandi Anda tetapi juga secara fisik memiliki kunci ini untuk masuk ke akun Anda.”

Leclere menunjukkan bahwa setelah mengamanatkan penggunaan kunci keamanan untuk para karyawan pada tahun 2017, Google tidak mengalami serangan phishing yang berhasil. “Namun, mereka sangat efektif sehingga jika Anda kehilangan satu kunci yang terkait dengan akun Anda, kemungkinan besar Anda tidak akan bisa mendapatkan kembali akses ke sana. Menyimpan banyak kunci di lokasi yang aman adalah penting,” tambahnya.

Terakhir, Leclere mengatakan bahwa selain menggunakan aplikasi autentikator atau kunci keamanan, pengelola kata sandi yang baik memudahkan pembuatan kata sandi yang kuat tanpa menggunakannya kembali di beberapa situs. “Kata sandi yang kuat dan unik yang dipasangkan dengan 2FA non-SMS adalah bentuk keamanan akun terbaik,” katanya.

Artikel ini disadur dari cointelegraph.com sebagai kliping berita saja. Trading dan Investasi Crypto adalah hal yang beresiko, silakan baca himbauan BAPPEBTI, OJK, Kementrian Keuangan dan Bank Indonesia. Kami bukan pakar keuangan, pakar blockchain, ataupun pakar trading. Kerugian dan kealpaan karena penyalahgunaan artikel ini, adalah tanggungjawab anda sendiri.

You can follow any responses to this entry through the RSS 2.0 Both comments and pings are currently closed.

Skip to toolbar