買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > FIL幣 > Info

TER:SIM卡交換攻擊盜幣猖獗,比特幣從業者如何自保?_SIM

Author:

Time:1900/1/1 0:00:00

來源|?bitcoinmagazine

作者|?DavidHollerith

譯者|?泓技

出品|區塊鏈大本營

使用電話號碼進行身份驗證是一種不怎么可取的安全認證方法。將比特幣交給提供加密貨幣交換或借貸等服務的第三方也會降低安全性--“不是你的秘鑰,則硬幣不屬于你”是安全性建議,這點在Twitter和比特幣圈內已廣為傳播。舉個例子:在過去十年的大部分時間里,這兩種做法的結合導致了越來越多的SIM交換攻擊,最終導致盜竊比特幣和其他加密貨幣的行為日益猖獗。

SIM卡交換是攻擊者獲得受害者無線電話帳戶控制權的一種低成本、非技術性的方式。要發起攻擊,黑客需要知道移動無線運營商如何驗證身份以及有關受害者的某些信息。通常,得到受害者的一個電話號碼就足夠了。

現在,有明確的證據表明,美國大多數擁有無線運營商電話號碼的人都容易受到SIM交換的攻擊。如果你持有不想被盜的比特幣,這一事實可能會更加令人痛苦。

SIM卡交換的興起

由哈佛大學計算機科學系和普林斯頓大學信息技術政策中心的教授和博士組成的聯合研究小組在2020年1月發表的一項經驗研究中證明了潛在的SIM交換的日益增加。

普林斯頓大學副教授,論文的作者之一阿文德·納拉亞南在推特上總結道:?“攻擊者打電話給你的載體,假裝是你,并要求將服務轉移到新的由攻擊者控制的SIM卡上。這已經夠糟糕了,但是數百個網站還在使用SMS(ShortMessageService短信服務)進行兩因素身份驗證,使你的帳戶處于危險之中。”

該研究測試了美國五家主要無線運營商的身份驗證協議--AT&T,T-Mobile,Tracfone,USMobile和Verizon。SIM卡交換測試為每個運營商嘗試10個不同的預付費帳戶,經過測試之后,作者發現所有五個運營商都使用了被認為不安全的身份驗證方法。

納拉亞南表示:

“綜合起來,這些發現有助于解釋為什么SIM卡交換一直是一個持續存在的問題。”

美國搖滾明星Gene Simmons否認因推廣加密貨幣獲利:美國搖滾明星、KISS樂隊前主唱Gene Simmons最近回應了外界對他頻繁使用加密貨幣推文的批評,并向他的粉絲保證,他并沒有因為推廣大量的山寨幣而獲得報酬:“我不推薦代幣,我沒有薪水,也不是這些東西的代言人。但我在比特幣、以太坊、萊特幣、Chainlink、BNB、ADA等代幣的投資方面做得非常好。如果我投資更多,我會告訴你的。一切都由你決定。”(U.Today)[2021/2/21 17:37:22]

更麻煩的是,SIM卡交換問題已經嚴重到在研究期間納拉亞南的手機SIM卡都被交換了。當他打電話報告欺詐行為時,其運營商的客戶服務部門在驗證了攻擊者之后就無法對教授進行驗證。最后納拉亞南通過運用研究成果來利用運營商的協議漏洞,從而重新獲得了對無線帳戶的控制。

幸運的是,納拉亞南迅速做到了這一點。一旦攻擊者控制了受害者的無線帳戶,他們就有可能進行大量的破壞。如研究中所述,這在很大程度上是由于用戶為在線訪問數字資產設置的不安全的身份驗證方法和安全性問題。此外,該研究還發現了17個網站,僅憑SIM交換就可以破壞用戶帳戶。該研究發布后不久,T-Mobile告知作者,在對其進行審查后,它已停止使用“最近的號碼”進行客戶身份驗證。

通過SIM交換盜取比特幣

SIM交換已經進行了多年。許多SIM卡交換目標屬于以下兩個類別之一:擁有珍貴社交媒體帳戶的名人,例如Twitter的首席執行官,杰克·多爾西或擁有大量加密貨幣的人。去年,在比特幣牛市鼎盛時期,一些加密貨幣所有者就被進行了SIM交換。

2019年12月,加密貨幣記者和播客LauraShin發布了一個播客片段,講述了她作為最近的SIM卡交換受害者的經歷。Shin并未遭到搶劫,但她的經歷值得注意,因為她透露,盡管她之前曾在2016年報道過該主題并在幾年前積極保護自己的帳戶,但她仍然很脆弱。

最終,使比特幣所有者比其他無線運營商客戶更容易作為SIM交換目標的事實是,比特幣交易記錄在區塊鏈上,因此它們不能被撤銷。與無線帳戶不同,當局要抓住被盜的比特幣要困難得多。

加密銀行Avanti創始人呼吁SIM卡交換攻擊受害者支持相關立法:金色財經報道,懷俄明區塊鏈委員會創始人、加密銀行Avanti創始人兼首席執行官Caitlin Long今日在推特上呼吁其70500名追隨者中的SIM卡交換攻擊受害者于12月16日在懷俄明州立法機關作證,以支持一項有助于阻止SIM卡交換攻擊的立法。Long表示,7月份臭名昭著的推特被黑事件與SIM卡交換有關,因此,這不再只是影響加密行業的問題。[2020/12/4 23:04:05]

此外,與大多數在線銀行賬戶不同,只有少數加密貨幣交易所由FDIC保險提供擔保,該保險為會員銀行中的存款提供最高25萬美元的保險。當將比特幣的價值視為一種去中心化的不可變資產時,這是很合理的。但這也意味著安全永遠不應被視為理所當然。

正義之輪轉得太慢

企業家和投資者邁克爾·特平是高凈值加密貨幣所有者,他與人共同創立了第一個針對比特幣愛好者的天使基金,即Bitangels基金,他們都非常清楚這一宗旨。

>“正義之輪轉得很慢,”特平在接受《比特幣雜志》采訪時說。

關于Terpin案的司法糾紛卷入了他于2018年8月針對AT&T進行的2.24億美元持續訴訟中。兩次有組織的黑客交換了Terpin的T-Mobile和AT&T帳戶相關的SIM卡。據他介紹,第一次SIM交換后,一群攻擊者“在波士頓的兩家商店里互相毆打,以使我放棄這兩個帳戶的憑據。”

在進行了這些交換之后,黑客在Terpin開設的交換帳戶中搶了一半多一點的比特幣,“當時比特幣大約是100美元。”

第一次SIM交換后,Terpin要求兩個運營商提供更高的安全性。事實證明,AT&T和T-Mobile各自提供了“高級配置保護選項”。但是,就像Terpin說的一樣,當T-Mobile的店內驗證“無端口”選項和AT&T添加的六位數帳戶密碼都被證明無用時,2018年1月,一名新澤西AT&T零售店的19歲員工出賣了Terpin的賬戶密碼,以換取100美元的賄賂。

動態 | 美國空軍將使用SIMBA Chain來確保其供應鏈的安全:美國空軍選擇了智能合約初創公司SIMBA Chain提供區塊鏈,這將用于確保其供應鏈的安全。(cointelegraph)[2019/8/27]

作為回報,這組攻擊者盜竊了2400萬美元的山寨幣。

“是的,”Terpin說,“他們唯一能得到的就是山寨幣,但那天它們恰好具有很高的價值。”

與比特幣不同,Terpin被盜的山寨幣沒有可用的錢包私鑰硬件備份選項。

盡管Terpin的上一次SIM交換發生在兩年多以前,但他說,每周都有一名新的SIM交換受害者與他聯系,以尋求幫助。如果他們真想解決的話,他會將他們指向他的法律團隊和加利福尼亞州的REACT工作組。

SIM卡交換盜賊的故事

Terpin還參與了針對NicholasTruglia的民事訴訟,NicholasTruglia是一名21歲的紐約市居民,被控通過SIM卡互換竊取2400萬美元。Truglia最初被指控從硅谷高管兼StopSIMCrime.org的創建者RossWhite竊取了100萬美元的加密貨幣。

Terpin聲稱,在Truglia的另一次SIM欺詐保釋聽證會上的證據表明Truglia可能也是他2400萬美元攻擊背后的SIM卡交換者。在Terpin襲擊的同一天,Truglia向家人和朋友發送了郵件,表明他從錢包中竊取了價值超過2000萬美元的加密貨幣,并將其轉換為比特幣,他的生活永遠改變了。盡管調查仍在進行中,但Terpin聲稱Truglia是由26人組成的分散式SIM卡交換小組的成員之一。

調查記者布萊恩·克雷布斯將Truglia的案子與盜竊SIM卡交換者的其他幾項逮捕,指控和刑罰結合在一起,對這些角色進行詳細的描述。據克雷布斯說,他們都是男性,年齡在25歲以下。

2020年1月,一份報告指責18歲的加拿大居民SamyBensaci對區塊鏈研究小組負責人DonTapscott實施SIM交換,所幸的是這未能成功。這個故事將加密貨幣社區中的許多SIM交換目標與其在紐約市舉行的年度共識會議的出席聯系起來。它還證實了Krebs的報告,該報告將SIM交換加密貨幣盜竊行為與名為OGUsers.com的在線論壇的用戶相聯系。

聲音 | BitTorrent官方:Simon Morris早已離開公司 TRON網絡交易效率很高:BitTorrent在其官方Twitter發布聲明,對近日有文章稱TRON網絡不足以處理BitTorrent每秒數以千計的交易一事作出了回應。BitTorrent稱,7月初,在完成收購時,文章中的“前員工”就已經離開了公司。而從那時一直到現在,BitTorrent一直在與TRON團隊保持著專業合作。這篇文章中有一件事說的沒錯,那就是Simon Morris還在BitTorrent公司的時候,他曾說過,優先下載隊列的自動競標,可以讓整個BitTorrent提速40%。對于這名“前員工”提出的質疑,在1月3日發布的白皮書中可以找到答案。“BitTorrent將使用‘鏈上/鏈下交易’模式”,可以提高私有分類賬和公共TRON區塊鏈網絡之間的通證交換效率。也就是說,會采用鏈上鏈下混合的模式。交易信息將通過BitTorrent協議分切為許多個小額交易,在鏈下進行處理,交易完成后再通過鏈上共識來確認,這也是區塊鏈很常用的一種方法。[2019/1/14]

比特幣和隱私專家MattOdell說:“我認為每個人總是對年輕一代采用新技術感到措手不及。”他參與了多個項目,例如共同主持“地窖故事”播客。

就像大規模采用本身一樣,比特幣和相關的SIM卡交換盜竊的現象似乎是由年輕一代針對較原始系統的受害者發起的。

選擇安全而不是方便

Webroot的安全分析師泰勒·莫菲特表示:“圍繞這項技術創造的法律總是落后的。”他指的是比特幣所有者由于其無線運營商而處于獨特的危險境地。“我看不出在未來五年內會出現,到那時,黑客已經從SIM交換盜竊加密貨幣中賺了一大筆錢。”

莫菲特是眾多認為在權衡便利性和安全性時,人們將始終傾向于便利性的人之一。這正是無線運營商賬戶和整個美國社會被設計成的方式。

但是響亮的聲音開始發出。2020年1月9日,美國六位議員簽署了致美國聯邦通信委員會主席阿吉特·派的一封信,他此前曾擔任Verizon的總顧問。該信提倡加強針對無線客戶的SIM交換欺詐保護,并指出了調查人員與REACT工作組就SIM交換總損失的聲明:“他們已經知道3000多名SIM交換受害者,這造成了7000萬美元的損失。“

Ian Simpson:數字貨幣和區塊鏈在2017年的發展存在缺憾:瑞士早期投資公司Lakeside Partners營銷主管Ian Simpson稱2017年對于數字貨幣和區塊鏈技術的發展來說是里程碑式的一年,但仍然存在缺憾。區塊鏈技術還沒有被企業大規模采用;很多外行人還把區塊鏈等同于比特幣或數字貨幣;監管措施和自律舉措還不成熟;鏈式可操作性沒有實現。[2018/1/7]

這封信還解決了SIM卡交換黑客行為變得更加復雜的指控問題。現在,攻擊者還通過欺騙或強迫零售員工在其計算機上以遠程桌面協議的形式運行惡意軟件,從而直接入侵無線運營商計算機中,而不僅僅是行賄。

信中寫道:“你是否曾看到有關違規的報道……涉及對無線運營商的入侵,包括零售商店中的計算機以及客戶服務代理商使用的計算機?”

更加嚴重的是,這封信的立法者和作者認識到,SIM卡交換盜竊對國家安全構成了非常現實的威脅。據稱許多政府機構雇員使用不同級別的2FA。在這種假設下,有組織的黑客或民族國家行為者團體可以訪問公共官員的電子郵件帳戶,然后以幾種嚴重的破壞性方式利用該訪問權,例如從聯邦緊急事務管理局的警報和警告中發出虛假的緊急警報。

Terpin在2019年秋季向FCC發送了類似的信,其中有更具體的要求。

他寫道:“我建議FCC讓所有美國運營商都收回其私密密碼。”

這是無線運營商的核心安全故障–與銀行,航空公司和酒店不同,這些機構的無線帳戶的密碼訪問權限是基于是否具有密碼而“通過”或“失敗”,但運營商員工可以使用整個無線帳戶的密碼。主要是為了方便客戶,當客戶摔壞或丟失手機,然后急需返回我們的以移動設備為中心的世界時。但是,鑒于許多運營商商店,甚至以最大運營商名稱冠名的商店,實際上都是第三方擁有和經營的,因此這種核心安全漏洞顯得更加糟糕。

“不僅僅是電信公司的員工,”Yubico的首席產品官GuidoAppenzeller說。Yubico是一家以發明YubiKey聞名的硬件安全公司。“每個第三方零售雇員都可以訪問這些數據庫。”

在某些地區,第三方零售運營商的最低時薪每小時低至10美元,很明顯,這就是為什么零售零售商會以每100美元的價格泄露數千個帳戶密碼的原因。

保護自己免受SIM交換的影響應該是比特幣文化的一部分

從一開始,比特幣文化中就有一條深植其代碼中的共同信仰—獲得真正的自由意味著要承擔個人,財務和技術責任的新高度。隱私和操作安全沒有什么不同,通常我們不會為了方便而犧牲它們,但會在交易和借貸等牟利活動中喪失。總體而言,損失更多是提高比特幣安全性的最佳動力,但重要的是不要以為你的行李不夠大而成為盜竊的受害者。

打破常規是無線運營商未針對比特幣用戶進行優化的原因之一。大多數人不會成為SIM交換的目標,但是,根據Appenzeller的說法,如果有人“說有超過10,000美元的比特幣錢包,SIM交換無疑在經濟上對黑客有吸引力”。

還有一些更復雜,更容易獲得的惡意軟件攻擊實例,它們繞過了基于應用程序的2FA,而無需進行SIM交換。其中包括使用冒名頂替者的仿冒網站,例如上次Binance黑客攻擊中所使用的網站,以及危害更大的DNS劫持或中行為,通常由民族行為者用來從事間諜活動,例如海龜行動。

好消息是,有可用的技術可以防止SIM交換和更復雜的網絡釣魚攻擊。大眾消費者市場上最強大的2FA方法是U2F,即使用USB的兩因素身份驗證。Appenzeller表示,使用U2F消除了基于SIM卡的攻擊的風險,并消除了“網絡釣魚和其他中間人攻擊以及其他惡意軟件攻擊”。

他的公司Yubico與Google共同創建了U2F,并在其旗艦產品YubiKey中使用了U2F。這樣,YubiKey相當于2FA的硬件錢包,并且在撰寫本文時,還沒有一個用戶成為SIM交換相關盜竊的犧牲品。

如何避免SIM卡交換攻擊

對于本文,我們與幾位安全專家和比特幣社區成員進行了交談。根據這些信息,以下列出了為避免SIM卡交換攻擊而應做的“不要做的事項”:

對于初學者和普通比特幣用戶

將比特幣保存在硬件錢包中,并停止使用基于電話的2FA。

“請使用硬件設備和multisig保護你的私鑰。不要使用基于瀏覽器的錢包,因為它們具有巨大的攻擊面。請勿將基于硬件的2FA用于支持它的任何Web應用程序。不要使用SMS2FA,也不要通過電話號碼重置/恢復在線帳戶。”-JamesonLopp,比特幣核心工程師

如果你不使用比特幣進行交易,請不要將其保留在交易所中。請參閱此交易清單,這些交易所因黑客和其他惡意活動而丟失了客戶的錢。

與你的電話運營商討論加強安全性,并使用基于應用程序的身份驗證器。

“你可以要求電話運營商提供更高的安全性。你不應該使用SMS驗證器。使用GoogleAuthenticator或Authy等身份驗證應用。”

泰勒·莫菲特

對于使用無線電話帳戶共享身份的任何人

重新訪問你的無線運營商和其他在線帳戶的安全策略。你可以嘗試入侵自己的帳戶來進行測試。Twofactorauth.org是一個不錯的起點。

“從長遠來看,我認為真正的問題是為什么我們仍然使用電話號碼?檢查你是否安全的最簡單方法是嘗試使用你的電話號碼進入所有帳戶,如果可以的話,你會遇到SIM卡交換漏洞。”

—馬特·奧德爾

對于那些認為自己的比特幣硬件錢包足夠安全的人

結合使用密碼管理器和你的比特幣錢包。定期測試你的程序,即使它很簡單。

“我正在使用密碼管理器,這是一個很好的做法。與我一起工作的每個人都使用密碼管理器。”

—GuidoAppenzeller

“就密碼/密鑰管理而言,我使用多個加密USB備份的可靠密碼管理器。房屋外面至少一個備份。我總是在旅行時攜帶一份副本,偶爾與我的妻子和另一個兄弟一起進行測試和設置瀏覽。我的大部分資產位于硬件錢包上,然后適度放入比特幣核心錢包,我用它為我的所有Casa,移動應用,Lightning,beta客戶等提供資金。”

—加密貨幣播客主持人GuySwann

為了獲得最高的安全性,對消費者友好

擁有至少一個YubiKey,它們相對便宜。

“購買多個YubiKeys,并盡可能將它們用于2FA。許多密碼管理器支持YubiKey2FA,而許多Web應用程序現在支持U2F2FA,較新的YubiKeys也支持。如果Web應用程序僅支持TOTP滾動代碼,你仍然可以使用Yubico身份驗證器應用程序將數據保存在YubiKey上。”

—詹姆森·洛普

避免更復雜的攻擊

為敏感帳戶網頁添加書簽。

“Binancehack是一個很好的例子,說明應用程序2FA何時可能失敗。在這種情況下,他們正在Google中搜索Binance并選擇第一個網頁,在這種情況下,這是一個假網站,通過付費將其推到Google搜索的頂部促銷一天。你應該在敏感網頁上添加書簽,黑客可能會嘗試偽造這些網頁。”泰勒·莫菲特

積極改善你的操作安全性

為“SIM卡交換”或“黑客”和“法院案例”設置Google警報。

“作為平民,很難將操作安全性視為對其他公民重要的事物。現實世界中許多最佳的操作安全性實例--好的操作安全性和差的操作安全性-通常是從詳細描述犯罪組織的法庭文件中提取的。其他好的例子通常來自情報或軍事領域,似乎很少適用。”

—@5auth,cryptomarket和黑暗市場研究員

有關如何保護你的比特幣免受SIM交換攻擊以及如果發生意外時如何處理的更多信息,請參閱《SIM交換圣經》。當比特幣牛市時,攻擊往往會發生。

Tags:SIM比特幣TER加密貨幣SIMPS價格2009年淘寶買了比特幣怎么保存Trister's Lend加密貨幣f行情

FIL幣
OIN:分享 | 區塊鏈的治理提案_Ethereum Platinum

區塊鏈治理的目的是為了盡可能多的人最大的利益做出決策,同時最大程度地減少一小部分人采取以使自己受益而犧牲社區的方式行事的機會。關鍵是要協調利益,并在網絡無法發揮其潛力的情況下選擇損失最大的各方.

1900/1/1 0:00:00
區塊鏈:德意志銀行:數字人民幣將削弱美元在全球金融體系中的主導地位_TRX

據外媒1月26日報道,德意志銀行發布了一份名為《未來支付》的最新研究報告,該報告的第一部分討論到在現如今支付體系開始向數字支付過渡的背景下,現金仍將存在.

1900/1/1 0:00:00
BCH:Twitter精選|礦工反對,雷同Zcash被拒絕提案,江卓爾第二版BCH礦工稅提案面臨質疑_qcash

1.礦工反對,雷同Zcash被拒絕提案,江卓爾第二版BCH礦工稅提案面臨質疑由BCH礦工捐贈12.5%出塊獎勵以資助BCH開發的“礦工稅”提案公布者、BTC.TOP礦池創始人江卓爾今日在通過微博.

1900/1/1 0:00:00
COIN:當特斯拉成為比特幣節點,靠譜嗎?_OIN

有用戶最近決定嘗試使用他們的特斯拉電動車運行比特幣全節點,而且還成功了。 當特斯拉成為比特幣全節點人們通常都不會把電動汽車和數字貨幣聯系在一起,但兩者確實有一些共同點.

1900/1/1 0:00:00
比特幣:觀點 | 央行數字貨幣元年開啟,主權與非主權背書的數字貨幣博弈框架尚不健全_加密貨幣是不是騙局投訴電話

來源:中國經營報 編者注:原標題為《法幣數字貨幣與非法幣數字貨幣博弈時代已經到來》隨著信息科技的發展以及移動互聯網、可信可控云計算、終端安全存儲、區塊鏈等技術的演進.

1900/1/1 0:00:00
STE:為出口、銀行和金融業提供支點,澳大利亞發布國家區塊鏈戰略路線圖_區塊鏈包括哪些方面

據Cointelegraph2月7日報道,經過近一年的準備,澳大利亞政府將于2月7日推出國家區塊鏈戰略.

1900/1/1 0:00:00
ads