使用电话号码进行身份验证是一种不良的操作安全性做法。将比特币交给加密货币交换或借贷服务之类的第三方也降低了安全性-“不是您的钥匙,不是您的硬币”是安全性建议,通常在Twitter和比特币对流层共享。 恰当的例子:在过去十年的大部分时间里,这两种做法的结合导致了越来越多的SIM交换攻击,最终导致盗窃比特币和其他加密货币。 SIM卡交换是攻击者获得受害者无线电话帐户控制权的一种低成本,非技术性的方式。要发起攻击,黑客需要知道移动无线运营商如何验证身份以及有关受害者的某些信息。通常,这仅需要受害者的电话号码。 现在,有明确的证据表明,美国大多数拥有无线运营商电话号码的人都容易受到SIM交换的攻击。如果您持有不想丢失的比特币,这一事实可能会更加令人痛苦。 SIM卡交换的兴起 教授和博士的联合研究小组在2020年1月发表的一项经验研究中证明了SIM交换潜力的增加。哈佛大学计算机科学系和普林斯顿大学信息技术政策中心的学生。 普林斯顿大学副教授,论文的作者之一阿文德·纳拉亚南(Arvind Narayanan)在推特上总结道:“攻击者打电话给您的运营商,假装是您,并要求将服务转移到新的SIM卡上,由攻击者控制。” 。 “这已经够糟糕了,但是数百个网站使用SMS进行两因素身份验证,使您的帐户处于危险之中。” 这项研究测试了美国五大无线运营商的身份验证协议-AT&T,T-Mobile,Tracfone,US Mobile和Verizon。在为每个运营商尝试10个不同的预付费帐户上的SIM卡交换之后,作者发现所有五个运营商都使用了被认为不安全的身份验证方法。 Narayanan表示:“综合起来,这些发现有助于解释为什么SIM卡交换一直是一个持续存在的问题。” 更麻烦的是,SIM卡交换是个问题,纳拉亚南承认在研究期间交换了他手机的SIM卡。当他打电话报告欺诈行为时,其运营商的客户服务部门即使在验证了攻击者之后也无法对其进行验证。 Narayanan通过运用研究成果来利用运营商的协议漏洞,最终重新获得了对无线帐户的控制。 幸运的是,纳拉亚南迅速做到了这一点。一旦攻击者控制了受害者的无线帐户,他们就可以选择大量破坏。如研究中所述,这在很大程度上是由于用户为在线访问数字资产(例如基于SMS或基于呼叫的2FA)而设置的不安全身份验证方法(一旦攻击者可以访问您的无线帐户,这些方法就不安全)和安全性问题。涉及容易获取的公共信息,例如母亲的娘家姓。此外,该研究还发现了17个网站,仅凭SIM交换就可以破坏用户帐户(此方法的基础来自twofactorauth.org数据集)。该研究报告发布后不久,T-Mobile告知作者,在对其进行审查后,它已停止使用“最近的号码”进行客户身份验证。 通过SIM掉期定位比特币 SIM交换已经进行了多年。许多SIM卡交换目标可以归为以下两个类别之一:拥有珍贵社交媒体帐户的名人,例如Twitter的首席执行官,杰克·多西(Jack Dorsey)或拥有合理数量的加密货币的人。去年,在比特币牛市鼎盛时期,几位加密货币所有者被换成SIM卡。 2019年12月,加密货币记者和播客Laura Shin发布了一个播客片段,讲述了她作为最近的SIM卡交换受害者的经历。 Shin并未遭到抢劫,但她的经历值得注意,因为她透露,尽管她之前曾在2016年报道过该主题并在几年前积极确保自己的帐户,但她仍然很脆弱。 最终,使比特币所有者比其他无线运营商客户更具吸引力的SIM交换目标的事实是,比特币交易记录在区块链上,因此它们不能被撤销。与无线帐户不同,当局要抓住被盗的比特币要困难得多(尽管可以通过区块链分析来追踪)。 此外,与大多数在线银行账户不同,只有少数加密货币交易所(如Coinbase,Gemini,ItBit和Binance.US)由FDIC保险提供担保,该保险为会员银行中的存款提供最高25万美元的保险。当将比特币的价值视为一种去中心化的,不变的资产时,这是很合理的。但这也意味着安全永远不应被视为理所当然。 正义之轮 企业家和投资者迈克尔·特平(Michael Terpin)是高净值加密货币所有者,他与人共同创立了第一个针对比特币爱好者的天使基金,即Bitangels基金,他们都非常清楚这一宗旨。 “正义之轮磨得很慢,”特平在接受《比特币杂志》采访时说。 在Terpin案中,大法官卷入了他于2018年8月针对AT&T进行的2.24亿美元的持续诉讼中。两次有组织的黑客交换了与Terpin的T-Mobile和AT&T帐户相关的SIM卡。据他介绍,一群攻击者“第一次在波士顿的两家商店里互相殴打,以使我放弃这两个帐户的凭据。” 在进行了这些交换之后,黑客在Terpin开设的交换帐户中抢了一半多一点的比特币,“当时比特币大约是100美元。” 第一次SIM交换后,Terpin要求两个运营商提供更高的安全性。事实证明,AT&T和T-Mobile各自提供了“高级配置保护选项”。但是,当T-Mobile的店内验证“无端口”选项和AT&T添加的六位数帐户密码都被证明无用时,就像Terpin一样据称,2018年1月,一名新泽西AT&T零售店的19岁员工放弃了Terpin的账户密码,以换取100美元的贿赂。 作为回报,这组攻击者盗窃了2400万美元的山寨币。 “是的,” Terpin说,“他们唯一能得到的就是’shitcoins’,但是那天它们恰好具有很高的价值。” 与比特币不同,Terpin被盗的山寨币(TRIG,SKY和STEEM)没有可用的硬件钱包私钥备份选项。 即使Terpin的上一次SIM更换发生在两年多以前,他仍说,他每周都会与一名新的SIM更换受害者寻求帮助。如果他们处于州,他会将他们指向他的法律团队和加利福尼亚州的REACT工作组。 律动者 Terpin还参与了针对Nicholas Truglia的民事诉讼,Nicholas Truglia是一名21岁的纽约市居民,被控通过SIM卡互换窃取2400万美元。 Truglia最初被指控从硅谷高管,StopSIMCrime.org的创建者Ross White窃取了100万美元的加密货币。 Terpin声称,在Truglia的其他SIM欺诈保释听证会上的证据(一个iCloud备份文件)表明,Truglia可能也是他2400万美元攻击背后的SIM卡交换者。在特平(Terpin)袭击的同一天,特鲁里亚(Truglia)向家人和朋友发送了邮件,表示他从钱包中窃取了价值超过2000万美元的加密货币,并将其转换为比特币,他的生活永远改变了。尽管调查仍在进行中,但Terpin声称Truglia是由26人组成的分散SIM卡交换小组的成员之一。 调查记者布莱恩·克雷布斯(Brian Krebs)将Truglia的案子与盗窃SIM卡交换者的其他几项逮捕,指控和刑罚结合起来,对这些人物进行了详细描述。据克雷布斯说,他们都是男性,年龄在25岁以下。 2020年1月,一份报告指责18岁的加拿大居民Samy Bensaci未能成功将SIM换成区块链研究小组负责人Don Tapscott。这个故事将加密货币社区中的许多SIM交换目标与其在纽约市举行的年度共识会议的出席联系起来。它还证实了Krebs的报告,将SIM交换加密货币盗窃行为与一个名为OGUsers.com的在线论坛的用户联系在一起。 比特币和隐私专家马特·奥德尔(Matt Odell)说:“我认为每个人总是对年轻一代采用新技术感到措手不及。”他参与了多个项目,例如共同主持“地窖故事”播客。 就像大规模采用本身一样,比特币和相关的SIM卡交换盗窃似乎是由年轻一代发起的一种利用较原始系统的受害者的现象。 选择安全而不是方便 Webroot的安全分析师泰勒·莫菲特(Tyler Moffitt)表示:“围绕这项技术创造的法律总是落后的。”他指的是比特币所有者得益于其无线运营商而处于独特的危险境地。 “我看不到 [tighter carrier consumer protection laws] 事情发生在未来五年之内,到那时,黑客们将从基于SIM交换的加密货币盗窃中赚了一大笔钱。” 莫菲特(Moffitt)是众多认为在权衡便利性和安全性时,人们将始终倾向于便利性的人之一。这正是设计无线运营商账户和整个美国社会的方式。 但是响亮的声音开始发出声音。 2020年1月9日,六位美国议员签署了一封信,致美国联邦通信委员会(FCC)主席阿吉特·派(Ajit Pai),他曾担任Verizon的总顾问。该信提倡加强针对无线客户的SIM交换欺诈保护,并指出了调查人员与REACT工作组就SIM交换总损坏的声明:“他们知道3000多名SIM交换受害者,造成了7000万美元的损失。信中写道。 这封信还解决了所谓的SIM卡交换黑客行为变得更加复杂的指控问题。现在,攻击者还通过欺骗或强迫零售员工在其计算机上以远程桌面协议的形式运行恶意软件,从而直接入侵无线运营商计算机中,而不仅仅是行贿。 信中写道:“您是否曾看到有关违规的报道……涉及对无线运营商的入侵,包括零售商店中的计算机以及客户服务代理商使用的计算机?” 使问题更进一步的是,这封信的立法者和作者认识到,SIM卡互换对国家安全构成了非常现实的威胁。据称许多政府机构雇员使用不同级别的2FA。在这种假设下,有组织的黑客或民族国家行为者团体可以访问公共官员的电子邮件帐户,然后以几种严重的破坏性方式利用该访问权,例如从联邦紧急事务管理局的警报和警告中发出虚假的紧急警报。系统。 Terpin在2019年秋季向FCC发送了类似的信,其中有更具体的要求。 他写道:“我建议FCC让所有美国运营商都覆盖其密码。” 这是无线运营商的核心安全失败–与银行,航空公司和酒店不同,无线帐户的密码访问权限是基于是否具有密码而“通过”或“失败”,运营商员工可以使用无线帐户密码。主要是为了方便客户,当客户摔坏或丢失手机,然后急需返回我们的以移动设备为中心的世界时。但是,鉴于许多运营商商店,甚至以最大运营商名称冠名的商店,实际上都是第三方拥有和经营的特许经营权,因此这种核心安全漏洞显得更加糟糕。 硬件安全公司Yubico的首席产品官Guido Appenzeller说:“不仅仅是电信公司的员工,这是最著名的发明YubiKey的公司。 “每个第三方零售雇员都可以访问这些数据库。” 除了在某些地区,第三方零售运营商的最低时薪每小时低至10美元这一事实外,很明显,为什么激励零售零售商以每100美元的价格泄露数千个帐户密码的原因仍然很明显。流行音乐 保护自己免受SIM交换的影响应该是比特币的一部分 比特币文化从一开始就嵌入了一个共同点,那就是要获得真正的自由就意味着要承担起个人,财务和技术责任的新高度。隐私和操作安全没有什么不同,通常不会为了方便而牺牲它们,而是为了通过交易和借贷等活动牟利。总体而言,损失更多是提高比特币安全性的最佳动力,但重要的是不要以为您的行李不够大而成为盗窃的受害者。 打破常规是无线运营商未针对比特币用户进行优化的原因之一。大多数人不会成为SIM交换的目标,但是,根据Appenzeller的说法,如果有人“说有超过10,000美元的比特币钱包,SIM交换无疑在经济上对黑客有吸引力”。 还有一些更复杂,更容易获得的恶意软件攻击实例,它们绕过了基于应用程序的2FA,而无需进行SIM交换。这些措施包括使用冒名顶替者的钓鱼网站,例如上次Binance黑客攻击中所使用的网站,以及危害更大的DNS劫持或中毒行为,通常由民族行为者用来从事间谍活动,例如海龟行动。 好消息是,有可用的技术可以防止SIM交换和更复杂的网络钓鱼攻击。大众消费者市场上最强大的2FA方法是U2F,即使用USB的两因素身份验证。 Appenzeller表示,使用U2F消除了基于SIM卡的攻击的风险,并消除了“网络钓鱼和其他中间人攻击以及其他恶意软件攻击”。 他的公司Yubico与Google共同创建了U2F,并在其旗舰产品YubiKey中使用了U2F。这样,YubiKey相当于2FA的硬件钱包,并且在撰写本文时,还没有一个用户成为SIM交换相关盗窃的牺牲品。 如何避免SIM卡交换 对于本文,我们与几位安全专家和比特币社区成员进行了交谈。根据这些信息,以下列出了避免SIM卡交换攻击的“要做”和“不要做”的列表: 对于初学者和普通比特币用户 将比特币保存在硬件钱包中,并停止使用基于电话的2FA。
如果您不使用比特币进行交易,请不要将其保留在交易所中。请参阅此交易清单,这些交易因黑客和其他恶意活动而失去了客户的钱。 与您的电话运营商讨论加强安全性,并使用基于应用程序的身份验证器。
对于使用无线电话帐户共享身份的任何人(我们大多数人) 重新访问您的无线运营商和其他在线帐户的安全策略。您可以尝试入侵自己的帐户来进行测试。 Twofactorauth.org是一个不错的起点。
对于那些认为自己的硬件钱包可以安全使用比特币的人 结合使用密码管理器和您的比特币钱包。定期测试您的程序,即使它很简单。 “我正在使用密码管理器,这是一个很好的做法。与我一起工作的每个人都使用密码管理器。” — Guido Appenzeller
为了获得最高的安全性,对消费者友好 获得至少一个YubiKey,它们相对便宜。
避免更复杂的攻击 为敏感帐户网页添加书签。
积极改善您的OPSEC 为“ SIM卡交换”或“黑客”和“法院案例”设置Google警报。
有关如何保护您的比特币免受SIM交换攻击以及如果发生意外时如何处理的更多信息,请参阅《 SIM交换圣经》。当比特币牛市时,攻击(SIM交换或其他方式)往往会发生。 —- 原文链接:https://bitcoinmagazine.com/articles/the-rise-of-sim-swapping-how-and-why-bitcoiners-need-to-protect-themselves 原文作者:David Hollerith 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
SIM卡交换的兴起:比特币人如何以及为何需要保护自己
2020-02-04 wanbizu AI 来源:bitcoinmagazine.com
LOADING...
相关阅读:
- 俄罗斯第三大银行获准在瑞士交易比特币2020-10-31
- 10.31早评:比特币多次独自领涨,后续行情走势将如何演变?2020-10-31
- 望渊:比特币获取利润只需掌握两个区间2020-10-31
- 10-30比特币小提133个点位运筹帷幄之中决胜千里之外2020-10-31
- Google,Amazon和Apple的股票可以在FTX交易所用比特币收购2020-10-31