بعد أن شجعنا للتو على استخدام 2FA كمعيار لخدمات الاحتجاز، علينا الآن أن نحذر من أن اختيار الرسائل القصيرة كرسالة 2FA يمكن أن يخلق ثغرة أمنية خطيرة عبر اختطاف الرسائل القصيرة.

إذا كان المهاجمون يعرفون رقم هاتفك المحمول ومزود الخدمة الخاص بك، وقد حصلوا على معلومات شخصية من OSINT، فيمكنهم انتحال شخصيتك مع مزود خدمة الهاتف المحمول الخاص بك وطلب إرسال بطاقة SIM بديلة إليهم.

يمنحهم هذا الوصول إلى رمز 2FA، والذي سيتم استخدامه جنبًا إلى جنب مع هجوم القوة الغاشمة.

الحل هو استخدام 2FA القائم على التطبيق دائمًا مثل Google Authenticator أو Authy. بعد ذلك، يصبح الجهاز الذي يعمل بالتطبيق نفسه نقطة ضعف، كما سيقدر أي شخص فقد هواتفه.

يمكن تجنب ذلك عن طريق تخزين رموز 2FA الاحتياطية الخاصة بك، والتي يتم توفيرها عند إعداد 2FA. بدون النسخ الاحتياطي 2FA، يتطلب منك إعادة تعيين 2FA الخضوع لعملية شاقة لتسجيل صورة سيلفي/فيديو ببعض المعرفات وملاحظة مكتوبة بخط اليد.

تم تحديث Google Authenticator في مايو 2020، وهو الأول منذ ثلاث سنوات، مما يجعل من السهل تصدير/استيراد رموز 2FA، وهو أمر مرحب به، ولكنه لا يساعد إذا فقدت هاتفك أو مات.

انتحال DNS

في نوفمبر 2020، كانت خدمة التشفير الشهيرة Celsius ضحية لهجوم DNS، والذي تضمن قيام مهاجم بإقناع مزود DNS – Godaddy – بتغيير الموقع الذي يتم تقديمه خلف تطبيقه بشكل أساسي.

من الصعب التخفيف من ذلك، بخلاف توخي اليقظة، أو في حالة درجة الحرارة المئوية للحكم على سلامة الخدمة من خلال مدى جدية تعاملهم مع إعداد DNS الخاص بهم.

هجوم شخصي

لقد تركنا هذا ليدوم لأنه يجب أن يكون مصدر قلق فقط إذا كان لديك كمية كبيرة حقًا من التشفير. كانت هناك، في مناسبات نادرة، حالات تم فيها اختطاف/ابتزاز أفراد معروفين بحيازتهم كميات كبيرة من العملات المشفرة لإتاحة الوصول إلى أموالهم.

نظرًا لأن هجوم ليدجر، المذكور أعلاه، سرب عناوين بريدية للعملاء، كان هناك الكثير من الحديث على وسائل التواصل الاجتماعي حول هذا الخطر من العملاء الغاضبين. ومع ذلك، لم يتم الإبلاغ عن أي حالات فعلية للهجوم الشخصي لأنه أكثر خطورة من الخيارات المدرجة عبر الإنترنت.

على الرغم من وجود هذا الخطر في أي ظرف يتعلق بالثروة المحمولة – الساعات باهظة الثمن والمجوهرات والمقتنيات – فإن التشفير هو هدف محدد لأنه من الصعب التأمين عليه وقد يكون من الصعب تتبعه/استرداده.

إذا كان هذا شيئًا يقلقك، في المقام الأول لا تنشر حقيقة أنك تمتلك عملة مشفرة، والتي تتضمن أي مكان عبر الإنترنت أو مع أي شخص لا تثق به صراحة.

يجب عليك أيضًا التفكير في شيء يسمى Multi-Signature، والذي يتطلب بشكل أساسي أكثر من شخص واحد للموافقة على معاملة التشفير.

هذا يعطي إنكارًا معقولًا. تحقق من keys.casa للحصول على خدمة أمان متعددة الأشكال فعالة من حيث التكلفة.

يمكن أن يكون التعرف على العملات المشفرة والاستثمار فيها تجربة محررة للغاية. إنه تعبير عن السيادة المالية، ولكن إذا كنت تقطع سلطة – مثل البنك – من حياتك المالية، فأنت تصبح مسؤولاً في النهاية، لذا يجب على الأقل أن تكون على دراية بأفضل الممارسات للحفاظ على سلامة العملات المشفرة الخاصة بك وضمان تنام بسهولة في الليل.