使用 SMS 作为一种双重身份验证的形式一直受到加密爱好者的欢迎。 毕竟,许多用户已经在他们的手机上交易他们的加密货币或管理社交页面,那么在访问敏感的金融内容时为什么不简单地使用 SMS 进行验证呢?
不幸的是,骗子最近开始通过 SIM 交换来利用隐藏在这一安全层下的财富,或者将一个人的 SIM 卡重新路由到黑客拥有的手机的过程。 在全球许多司法管辖区,电信员工不会要求政府 ID、面部识别或社会安全号码来处理简单的移植请求。
结合对公开可用个人信息的快速搜索(对于 Web3 利益相关者来说很常见)和易于猜测的恢复问题,冒充者可以快速将帐户的 SMS 2FA 移植到他们的手机上,并开始将其用于不法手段。 今年早些时候,许多加密 Youtuber 成为 SIM 交换攻击的受害者,其中 黑客发布了诈骗视频 在他们的频道上显示文字指示观众向黑客的钱包汇款。 XNUMX 月,Solana 不可替代令牌 (NFT) 项目 Duppies 的官方 Twitter 帐户通过 SIM-Swap 遭到入侵,黑客在推特上发布了指向假隐形薄荷的链接。
“必须记住,SIM 交换攻击依赖于身份欺诈和社会工程。 如果一个不良行为者可以欺骗电信公司的员工,让他们认为他们是物理 SIM 卡所附号码的合法所有者,那么他们也可以为 eSIM 这样做。
资料来源:https://cointelegraph.com/news/certik-says-sms-is-the-most-vulnerable-form-of-2fa-in-use