Die Kryptowährungsplattform Coinbase hat die Kontoübernahmeraten für Benutzerkonten offengelegt, um Kunden zu ermutigen, ihre Sicherheitseinstellungen zu aktualisieren.
Die Statistiken(Öffnet in einem neuen Fenster) Sagen wir, dass etwa 95 % der Kunden von Coinbase für die SMS-basierte Zwei-Faktor-Authentifizierung angemeldet sind – die schwächste verfügbare 2FA-Methode. Dieselben Benutzer machten 95,65 % aller Kontoübernahmen aus, die Coinbase bis November 2022 erlebt hatte.
ATO steht für Kontoübernahmen. (Bildnachweis: Coinbase)
Unterdessen machten Benutzer, die ihre Konten mit stärkeren Zwei-Faktor-Authentifizierungsmodi wie Authentifizierungs-Apps und Sicherheitsschlüsseln schützten, weniger als 5 % der Kontoübernahmen aus.
Coinbase verlangt von allen Benutzern, ihre Konten mit einer Zwei-Faktor-Authentifizierung zu schützen. Dies zwingt jeden, der sich anmeldet, sowohl das richtige Passwort als auch einen auf seinem Telefon generierten Einmal-Passcode anzugeben, wodurch es viel schwieriger wird, einzudringen.
Das einzige Problem? Nicht alle Zwei-Faktor-Authentifizierungs-Setups sind gleich. Standardmäßig sichert Coinbase Benutzerkonten mit einem SMS-basierten 2FA-System, das immer noch anfällig für Hackerangriffe sein kann. Dies liegt daran, dass der Einmal-Passcode über seinen Mobilfunkanbieter an das Telefon des Benutzers gesendet wird. (Eine Authentifizierungs-App hingegen schaltet den Mobilfunkanbieter aus und generiert den Einmal-Passcode direkt auf dem Gerät.)
(Bildnachweis: Getty Images/bin kontan)
Im Laufe der Jahre haben Hacker gezeigt, dass sie SMS-basierte Zwei-Faktor-Authentifizierungscodes abfangen können, indem sie Mobilfunkanbieter dazu verleiten, die Mobiltelefonnummer eines Opfers auf eine neue SIM-Karte zu klonen, die sie dann in ihr eigenes Telefon einsetzen können. Diese sogenannten SIM-Swap-Angriffe können dazu führen, dass der Hacker auf Identitätsdiebstahl zurückgreift oder Mobilfunkmitarbeiter für einen solchen Zugriff besticht.
Die Folgen können für die Opfer verheerend sein. SIM-Swapping-Angriffe haben Cyberkriminellen geholfen, Kryptowährung zu stehlen und sogar große Technologieunternehmen wie Reddit und Twitter zu infiltrieren.
Im Jahr 2021 gab Coinbase selbst bekannt, dass Hacker Kryptowährungen von mindestens 6.000 Benutzern gestohlen haben, wahrscheinlich durch eine Kombination aus Phishing-E-Mails und SIM-Tausch. Die Überfälle haben dazu geführt, dass eine wachsende Zahl von Verbrauchern Anzeige erstattet Sammelklagen(Öffnet in einem neuen Fenster) gegen die Kryptowährungsindustrie und Mobilfunkanbieter, weil sie ihre Konten nicht vor SIM-Swapping-Angriffen schützen.
(Bildnachweis: Getty Images/wenjin chen)
Wie Coinbase in seiner Offenlegung feststellte: „Obwohl die textbasierte Zwei-Faktor-Authentifizierung deutlich besser ist als eine einfache Kombination aus Benutzername und Passwort, ist sie nicht perfekt.“
Infolgedessen fordert das Unternehmen die Benutzer auf, auf stärkere Zwei-Faktor-Authentifizierungsmethoden umzusteigen, zu denen auch die Verwendung der Coinbase-App zum direkten Senden von a gehört Push-Benachrichtigung(Öffnet in einem neuen Fenster) an das Smartphone des Benutzers, um den Zugriff zu entsperren.
Von unseren Redakteuren empfohlen
Interessanterweise zeigen die Coinbase-Statistiken jedoch, dass die stärkeren 2FA-Authentifizierungsmodi nicht unempfindlich gegen Kontoübernahmeversuche waren. Mit Authentifizierungs-Apps gesicherte Konten machten 4,13 % der Kontoübernahmen aus. Unterdessen machten mit Sicherheitsschlüsseln geschützte Konten 0,04 % der Übernahmen aus. Dies deutet darauf hin, dass die Hacker Malware auf dem Smartphone des Opfers installiert oder physisch den Zugriff auf die Geräte oder den Sicherheitsschlüssel des Benutzers gestohlen haben, um einzubrechen.
Obwohl sich 95 % der Kunden von Coinbase auf den anfälligen SMS-basierten 2FA-Modus verlassen, sagte das Unternehmen, dass diejenigen mit hohen Guthaben dazu neigen, die stärksten Formen der Zwei-Faktor-Authentifizierung zu übernehmen.
„Etwas mehr als 5 % unserer Benutzerbasis haben sich für Push, zeitbasierte Einmalpasswörter und physische Sicherheitsschlüssel entschieden – aber diese Benutzer machen über 57 % der von uns verwahrten Vermögenswerte aus“, heißt es.
Coinbase reagierte nicht sofort auf eine Bitte um Stellungnahme, was unklar machte, ob das Unternehmen plant, SMS-basierte 2FA jemals einzustellen. Aber in der Zwischenzeit können Benutzer ihre Zwei-Faktor-Authentifizierungsmethode aktualisieren, indem sie dies berücksichtigen die Einstellungen(Öffnet in einem neuen Fenster).
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.