Die Verwendung von SMS als Form der Zwei-Faktor-Authentifizierung war bei Krypto-Enthusiasten schon immer beliebt. Schließlich handeln viele Benutzer bereits mit ihren Kryptos oder verwalten soziale Seiten auf ihren Telefonen. Warum also nicht einfach SMS verwenden, um sich zu verifizieren, wenn sie auf sensible Finanzinhalte zugreifen?
Leider haben Trickbetrüger in letzter Zeit den unter dieser Sicherheitsebene vergrabenen Reichtum durch SIM-Swapping ausgenutzt, oder den Vorgang, die SIM-Karte einer Person auf ein Telefon umzuleiten, das sich im Besitz eines Hackers befindet. In vielen Gerichtsbarkeiten weltweit fragen Telekommunikationsmitarbeiter nicht nach amtlichen Ausweisen, Gesichtserkennungs- oder Sozialversicherungsnummern, um eine einfache Portierungsanfrage zu bearbeiten.
In Kombination mit einer schnellen Suche nach öffentlich zugänglichen persönlichen Informationen (ziemlich üblich für Web3-Stakeholder) und leicht zu erratenden Wiederherstellungsfragen können Imitatoren die SMS 2FA eines Kontos schnell auf ihr Telefon portieren und damit beginnen, sie für schändliche Zwecke zu verwenden. Anfang dieses Jahres wurden viele Krypto-Youtuber Opfer eines SIM-Swap-Angriffs, bei dem Hacker betrügerische Videos veröffentlichten auf ihrem Kanal mit Text, der die Zuschauer anweist, Geld an die Brieftasche des Hackers zu senden. Im Juni wurde das offizielle Twitter-Konto des Solana Nonfungible Token (NFT)-Projekts Duppies über einen SIM-Swap gehackt, wobei Hacker Links zu einer gefälschten Stealth-Münze twitterten.
In Bezug auf diese Angelegenheit sprach Cointelegraph mit dem Sicherheitsexperten von CertiK, Jesse Leclere. CertiK ist als führendes Unternehmen im Bereich Blockchain-Sicherheit bekannt und hat seit 2018 über 3.600 Projekten geholfen, digitale Assets im Wert von 360 Milliarden US-Dollar zu sichern, und über 66.000 Schwachstellen entdeckt. Hier ist, was Leclere zu sagen hatte:
„SMS 2FA ist besser als nichts, aber es ist die anfälligste Form von 2FA, die derzeit verwendet wird. Sein Reiz liegt in seiner Benutzerfreundlichkeit: Die meisten Menschen sind entweder am Telefon oder haben es in der Nähe, wenn sie sich anmelden Online-Plattformen. Aber seine Anfälligkeit für den Austausch von SIM-Karten darf nicht unterschätzt werden.“
Leclerc erklärte, dass dedizierte Authentifizierungs-Apps wie Google Authenticator, Authy oder Duo fast den gesamten Komfort von SMS 2FA bieten und gleichzeitig das Risiko des SIM-Tauschs beseitigen. Auf die Frage, ob virtuelle oder eSIM-Karten das Risiko von Phishing-Angriffen im Zusammenhang mit SIM-Swaps abwehren können, ist die Antwort für Leclerc ein klares Nein:
„Man muss bedenken, dass SIM-Swap-Angriffe auf Identitätsbetrug und Social Engineering beruhen. Wenn ein Angreifer einen Mitarbeiter einer Telekommunikationsfirma dazu bringen kann, zu glauben, dass er der legitime Besitzer einer Nummer ist, die mit einer physischen SIM-Karte verbunden ist, dann tun sie das kann dies auch für eine eSIM tun.
Obwohl es möglich ist, solche Angriffe abzuwehren, indem man die SIM-Karte an das Telefon sperrt (Telekommunikationsunternehmen können Telefone auch entsperren), weist Leclere dennoch auf den Goldstandard hin, physische Sicherheitsschlüssel zu verwenden. „Diese Schlüssel werden in den USB-Anschluss Ihres Computers gesteckt, und einige sind für eine einfachere Verwendung mit mobilen Geräten für die Nahfeldkommunikation (NFC) aktiviert“, erklärt Leclere. „Ein Angreifer müsste nicht nur Ihr Passwort kennen, sondern sich auch physisch dieses Schlüssels bemächtigen, um Zugang zu Ihrem Konto zu bekommen.“
Leclere wies darauf hin, dass Google nach der Verpflichtung zur Verwendung von Sicherheitsschlüsseln für Mitarbeiter im Jahr 2017 keine erfolgreichen Phishing-Angriffe erlebt hat. „Sie sind jedoch so effektiv, dass Sie bei Verlust des einen Schlüssels, der mit Ihrem Konto verknüpft ist, höchstwahrscheinlich nicht mehr darauf zugreifen können. Es ist wichtig, mehrere Schlüssel an sicheren Orten aufzubewahren“, fügte er hinzu.
Schließlich sagte Leclere, dass ein guter Passwort-Manager es zusätzlich zur Verwendung einer Authentifizierungs-App oder eines Sicherheitsschlüssels einfach macht, starke Passwörter zu erstellen, ohne sie auf mehreren Websites wiederzuverwenden. „Ein starkes, einzigartiges Passwort gepaart mit Nicht-SMS-2FA ist die beste Form der Kontosicherheit“, erklärte er.