加密货币平台Coinbase公布了用户账户的接管率,以鼓励客户升级他们的安全设置。
的统计数据(在新窗口中打开)Coinbase表示,大约95%的客户注册了基于短信的双因素身份验证最弱的2FA方法可用。截至2022年11月,这些用户占Coinbase所有账户收购的95.65%。
与此同时,那些使用更强的双因素认证模式来保护自己账户的用户,比如身份验证应用程序和安全密钥美国的账户收购占比不到5%。
Coinbase要求所有用户保护自己的账户双因素身份验证。这迫使任何登录的人都必须提供正确的密码和手机上生成的一次性密码,从而使破解变得更加困难。
唯一的问题是什么?并非所有的双因素身份验证设置都是相同的。默认情况下,Coinbase使用基于短信的2FA系统保护用户帐户,该系统仍然容易受到黑客攻击。这是因为一次性密码是通过手机运营商发送到用户的手机上的。(另一方面,身份验证应用会跳过手机运营商,直接在设备上生成一次性密码。)
多年来,黑客们已经证明,他们可以通过欺骗手机运营商将受害者的手机号码克隆到一张新的SIM卡上,从而拦截基于短信的双因素身份验证码,然后他们可以将新SIM卡放入自己的手机中。这些所谓的SIM-swapping攻击可能涉及黑客诉诸于身份盗窃或贿赂手机员工这样的访问。
其结果对受害者来说可能是毁灭性的。sim卡交换攻击帮助了网络罪犯偷加密货币甚至渗透到主要的科技公司,包括Reddit和推特。
2021年,Coinbase自己披露黑客窃取了至少6000名用户的加密货币,可能是通过多种方式网络钓鱼电子邮件和SIM卡交换。这些盗窃案导致越来越多的消费者提起诉讼集体诉讼(在新窗口中打开)针对加密货币行业和手机提供商未能保护其账户免受sim卡交换攻击的指控。
正如Coinbase在披露中指出的那样:“虽然基于文本的双因素身份验证比简单的用户名/密码组合要好得多,但它并不完美。”
因此,该公司敦促用户改用更强的双因素身份验证方法,其中还包括使用Coinbase应用程序直接发送密码推送通知(在新窗口中打开)到用户的智能手机上解锁访问权限。
有趣的是,Coinbase的统计数据显示,更强大的2FA认证模式并不是不受账户接管企图的影响。使用认证应用程序保护的账户占接管账户的4.13%。与此同时,受安全密钥保护的账户占收购总数的0.04%。这表明黑客是栽赃的受害者智能手机上的恶意软件或者从物理上窃取用户设备的访问权限或安全密钥以闯入。
虽然95%的Coinbase客户依赖于易受攻击的基于短信的2FA模式,但该公司表示,那些拥有高余额的客户倾向于采用最强大的双因素身份验证形式。
该公司表示:“在我们的用户群中,只有5%以上的人选择了推送、基于时间的一次性密码和物理安全密钥,但这些用户占我们托管资产的57%以上。”
Coinbase没有立即回应置评请求,因此不清楚该公司是否计划淘汰基于短信的2FA。但与此同时,用户可以通过考虑以下因素来升级他们的双因素认证方法设置(在新窗口中打开)。