Trzyskładnikowe uwierzytelnienie na przeciw atakom hakerów

Nieustannie dochodzą do nas wiadomości o kolejnych atakach hakerów na coraz to nowsze kantory czy giełdy kryptowalut. Zarówno włodarze platform jak i niezależni eksperci ciągle pracują nad rozwiązaniami, które wpłyną na kwestię bezpieczeństwa użytkowników. Jednym z takich rozwiązań ma być właśnie 3FA (three-factor authentication).

Niekończąca się opowieść, czyli ataków ciąg dalszy

Nieco ponad tydzień temu, jedna z najpopularniejszych platform giełdowych krytpowalut- Binance, została zaatakowana przez hakerów. Łupem padło ponad 7 000 BTC co w dniu ataku dawało kwotę około 40 mln dolarów. W tym samym czasie giełda ujawniła niektóre dwuskładnikowe kody uwierzytelniające użytkowników. Jednoznacznie zwiększyło to podatność użytkowników i samej giełdy na dalsze ataki.

Powyższy przykład jest tylko jednym z wielu incydentów hakowania na rynku krypto. Jak widać hakerzy mają tendencję do pojawiania się tam, gdzie obraca się dużą ilością aktywów. Giełdy takie jak Binance przechowują ich duże ilości w tzw. hot wallets, by zapewnić swoim użytkownikom płynność transakcji podczas obrotu wirtualnymi walutami.

Firma jednak zachowała praktycznie całkowitą transparentność w działaniach bezpośrednio dotyczących ataku. O incydencie poinformowała na kilka godzin od zdarzenia i dzieliła się faktami dotyczącymi samego ataku. Hakerzy wykorzystali różne techniki, które ostatecznie pozwoliły im dopiąć swego.

Jak mówi CEO Binance, Changpeng Zhao, hakerzy zaaranżowali cały atak wykorzystując do tego wiele niezależnych kont. Tym samym byli w stanie wykonać transakcje, które bez problemu przeszły kontrolę bezpieczeństwa na platformie.

3FA na ratunek

Według przewodniczącego Anti-Phishing Working Group CipherTrace, Dave’a Jevans, wysoce prawdopodobne, że włamanie zostało poprzedzone atakiem phishingowym. Jak wyjaśnia, takie ataki stają się coraz częstszym zjawiskiem i są coraz bardziej szkodliwe. Tak zwani phisherzy atakują osoby o znaczącej wartości oraz instytucje.

Pan Jevans twierdzi, że uwierzytelnienie dwuskładnikowe (2FA) nie jest już wystarczająco silne, a SMS to kiepski sposób na uwierzytelnienie drugiego stopnia. Uważa on, że koniecznym jest zainteresowanie się tematem uwierzytelnienia trzyskładnikowego (3FA).

By uzyskać dostęp do sieci, pracownicy giełdy powinni być zobligowani do korzystania z aplikacji uwierzytelniającej w telefonie, certyfikatu na komputerze, pozwalającego na dostęp do VPN-u korporacji i hasła. Wówczas, nawet jeśli hakerzy znajdą drogę do hasła pracownika giełdy bądź będą w stanie je złamać, wciąż nie będą w stanie dostać się do środka.


Jak mówi, wdrożenie trzyskładnikowego uwierzytelniania dla pracowników firmy zwiększyło by bezpieczeństwo użytkowników i zmniejszyłoby ryzyko przyszłych ataków.