SIM卡交换攻击盗币猖獗,比特币从业者如何自保?
来源 | bitcoinmagazine程序员
做者 | David Hollerith数据库
译者 | 泓技编程
编辑 | 夕颜c#
出品 | 区块链大本营(ID: blockchain_camp)promise
使用电话号码进行身份验证是一种不怎么可取的安全认证方法。将比特币交给提供加密货币交换或借贷等服务的第三方也会下降安全性--“不是你的秘钥,则硬币不属于你”(not your keys, not your coins)是安全性建议,这点在Twitter和比特币圈内已广为传播。 浏览器
举个例子:在过去十年的大部分时间里,这两种作法的结合致使了愈来愈多的SIM交换攻击,最终致使盗窃比特币和其余加密货币的行为日益猖獗。 安全
SIM卡交换是攻击者得到受害者无线电话账户控制权的一种低成本、非技术性的方式。要发起攻击,黑客须要知道移动无线运营商如何验证身份以及有关受害者的某些信息。一般,获得受害者的一个电话号码就足够了。网络
如今,有明确的证据代表,美国大多数拥有无线运营商电话号码的人都容易受到SIM交换的攻击。若是你持有不想被盗的比特币,这一事实可能会更加使人痛苦。学习
SIM卡交换的兴起区块链
由哈佛大学计算机科学系和普林斯顿大学信息技术政策中心的教授和博士组成的联合研究小组在2020年1月发表的一项经验研究中证实了潜在的SIM交换的日益增长。
普林斯顿大学副教授,论文的做者之一阿文德·纳拉亚南(Arvind Narayanan)在推特上总结道: “攻击者打电话给你的载体,伪装是你,并要求将服务转移到新的由攻击者控制的SIM卡上。这已经够糟糕了,可是数百个网站还在使用SMS (Short Message Service短信服务)进行两因素身份验证,使你的账户处于危险之中。”
该研究测试了美国五家主要无线运营商的身份验证协议--AT&T,T-Mobile,Tracfone,US Mobile和Verizon。SIM卡交换测试为每一个运营商尝试10个不一样的预付费账户,通过测试以后,做者发现全部五个运营商都使用了被认为不安全的身份验证方法。
纳拉亚南表示:“综合起来,这些发现有助于解释为何SIM卡交换一直是一个持续存在的问题。”
更麻烦的是,SIM卡交换问题已经严重到在研究期间纳拉亚南的手机SIM卡都被交换了。当他打电话报告欺诈行为时,其运营商的客户服务部门在验证了攻击者以后就没法对教授进行验证。最后纳拉亚南经过运用研究成果来利用运营商的协议漏洞,从而从新得到了对无线账户的控制。
幸运的是,纳拉亚南迅速作到了这一点。一旦攻击者控制了受害者的无线账户,他们就有可能进行大量的破坏。如研究中所述,这在很大程度上是因为用户为在线访问数字资产设置的不安全的身份验证方法(例如基于SMS或基于呼叫的2FA,一旦攻击者能够访问你的无线账户,这些方法就不安全)和安全性问题(涉及容易获取的公共信息,例如母亲的娘家姓)。此外,该研究还发现了17个网站,仅凭SIM交换就能够破坏用户账户(此方法的基础来自twofactorauth.org数据集)。该研究发布后不久,T-Mobile告知做者,在对其进行审查后,它已中止使用“最近的号码”进行客户身份验证。
经过SIM交换盗取比特币
SIM交换已经进行了多年。许多SIM卡交换目标属于如下两个类别之一:拥有珍贵社交媒体账户的名人,例如Twitter的首席执行官,杰克·多尔西(Jack Dorsey)或拥有大量加密货币的人。去年,在比特币牛市鼎盛时期,一些加密货币全部者就被进行了SIM交换。
2019年12月,加密货币记者和播客Laura Shin发布了一个播客片断,讲述了她做为最近的SIM卡交换受害者的经历。Shin并未遭到抢劫,但她的经历值得注意,由于她透露,尽管她以前曾在2016年报道过该主题并在几年前积极保护本身的账户,但她仍然很脆弱。
最终,使比特币全部者比其余无线运营商客户更容易做为SIM交换目标的事实是,比特币交易记录在区块链上,所以它们不能被撤销。与无线账户不一样,当局要抓住被盗的比特币要困可贵多(尽管能够经过区块链分析来追查)。
此外,与大多数在线银行帐户不一样,只有少数加密货币交易所(如Coinbase,Gemini,ItBit和Binance.US)由FDIC保险提供担保,该保险为会员银行中的存款提供最高25万美圆的保险。当将比特币的价值视为一种去中心化的不可变资产时,这是很合理的。但这也意味着安全永远不该被视为理所固然。
正义之轮转得太慢
企业家和投资者迈克尔·特平(Michael Terpin)是高净值加密货币全部者,他与人共同创立了第一个针对比特币爱好者的天使基金,即Bitangels基金,他们都很是清楚这一宗旨。
“正义之轮转得很慢,”特平在接受《比特币杂志》采访时说。
关于Terpin案的司法纠纷卷入了他于2018年8月针对AT&T进行的2.24亿美圆持续诉讼中。两次有组织的黑客交换了Terpin的T-Mobile和AT&T账户相关的SIM卡。据他介绍,第一次SIM交换后,一群攻击者“在波士顿的两家商店里互相殴打,以使我放弃这两个账户的凭据。”
在进行了这些交换以后,黑客在Terpin开设的交换账户中抢了一半多一点的比特币,“当时比特币大约是100美圆。”
第一次SIM交换后,Terpin要求两个运营商提供更高的安全性。事实证实,AT&T和T-Mobile各自提供了“高级配置保护选项”。可是,就像Terpin说的同样,当T-Mobile的店内验证“无故口”选项和AT&T添加的六位数账户密码都被证实无用时,2018年1月,一名新泽西AT&T零售店的19岁员工出卖了Terpin的帐户密码,以换取100美圆的贿赂。
做为回报,这组攻击者盗窃了2400万美圆的山寨币。
“是的,” Terpin说,“他们惟一能获得的就是山寨币,但那天它们刚好具备很高的价值。”
与比特币不一样,Terpin被盗的山寨币(TRIG,SKY和STEEM)没有可用的钱包私钥硬件备份选项。
尽管Terpin的上一次SIM交换发生在两年多之前,但他说,每周都有一名新的SIM交换受害者与他联系,以寻求帮助。若是他们真想解决的话,他会将他们指向他的法律团队和加利福尼亚州的REACT工做组。
SIM卡交换盗贼的故事
Terpin还参与了针对Nicholas Truglia的民事诉讼,Nicholas Truglia是一名21岁的纽约市居民,被控经过SIM卡互换窃取2400万美圆。Truglia最初被指控从硅谷高管兼StopSIMCrime.org的建立者Ross White 窃取了100万美圆的加密货币。
Terpin 声称,在Truglia的另外一次SIM欺诈保释听证会上的证据(一个iCloud备份文件)代表Truglia可能也是他2400万美圆攻击背后的SIM卡交换者。在Terpin袭击的同一天,Truglia向家人和朋友发送了邮件,代表他从钱包中窃取了价值超过2000万美圆的加密货币,并将其转换为比特币,他的生活永远改变了。尽管调查仍在进行中,但Terpin声称Truglia是由26人组成的分散式SIM卡交换小组的成员之一。
调查记者布莱恩·克雷布斯(Brian Krebs)将Truglia的案子与盗窃SIM卡交换者的其余几项逮捕,指控和刑罚结合在一块儿,对这些角色进行详细的描述。据克雷布斯说,他们都是男性,年龄在25岁如下。
2020年1月,一份报告指责18岁的加拿大居民Samy Bensaci对区块链研究小组负责人Don Tapscott实施SIM交换,所幸的是这未能成功。这个故事将加密货币社区中的许多SIM交换目标与其在纽约市举行的年度共识会议的出席联系起来。它还证明了Krebs的报告,该报告将SIM交换加密货币盗窃行为与名为OGUsers.com的在线论坛的用户相联系。
比特币和隐私专家Matt Odell说:“我认为每一个人老是对年轻一代采用新技术感到措手不及。”他参与了多个项目,例如共同主持“地窖故事”播客。
就像大规模采用自己同样,比特币和相关的SIM卡交换盗窃的现象彷佛是由年轻一代针对较原始系统的受害者发起的。
选择安全而不是方便
Webroot的安全分析师泰勒·莫菲特(Tyler Moffitt)表示:“围绕这项技术创造的法律老是落后的。”他指的是比特币全部者因为其无线运营商而处于独特的危险境地。“我看不出在将来五年内会出现[更严格的运营商消费者保护法],到那时,黑客已经从SIM交换盗窃加密货币中赚了一大笔钱。”
莫菲特(Moffitt)是众多认为在权衡便利性和安全性时,人们将始终倾向于便利性的人之一。这正是无线运营商帐户和整个美国社会被设计成的方式。
可是响亮的声音开始发出。2020年1月9日,美国六位议员签署了致美国联邦通讯委员会(FCC)主席阿吉特·派(Ajit Pai)的一封信,他此前曾担任Verizon的总顾问。该信提倡增强针对无线客户的SIM交换欺诈保护,并指出了调查人员与REACT工做组就SIM交换总损失的声明:“他们已经知道3000多名SIM交换受害者,这形成了7000万美圆的损失。“
这封信还解决了SIM卡交换黑客行为变得更加复杂的指控问题。如今,攻击者还经过欺骗或强迫零售员工在其计算机上以远程桌面协议的形式运行恶意软件,从而直接入侵无线运营商计算机中,而不只仅是行贿。
信中写道:“你是否曾看到有关违规的报道……涉及对无线运营商的入侵,包括零售商店中的计算机以及客户服务代理商使用的计算机?”
更加严重的是,这封信的立法者和做者认识到,SIM卡交换盗窃对国家安全构成了很是现实的威胁。据称许多政府机构雇员使用不一样级别的2FA。在这种假设下,有组织的黑客或民族国家行为者团体能够访问公共官员的电子邮件账户,而后以几种严重的破坏性方式利用该访问权,例如从联邦紧急事务管理局的警报和警告中发出虚假的紧急警报。
Terpin在2019年秋季向FCC发送了相似的信,其中有更具体的要求。
他写道:“我建议FCC让全部美国运营商都收回其私密密码。”
这是无线运营商的核心安全故障–与银行,航空公司和酒店不一样,这些机构的无线账户的密码访问权限是基因而否具备密码而“经过”或“失败”,但运营商员工可使用整个无线账户的密码。主要是为了方便客户,当客户摔坏或丢失手机,而后急需返回咱们的以移动设备为中心的世界时。可是,鉴于许多运营商商店,甚至以最大运营商名称冠名的商店,实际上都是第三方拥有和经营的,所以这种核心安全漏洞显得更加糟糕。
“不只仅是电信公司的员工,” Yubico的首席产品官Guido Appenzeller说。Yubico是一家以发明YubiKey闻名的硬件安全公司。“每一个第三方零售雇员均可以访问这些数据库。”
在某些地区,第三方零售运营商的最低时薪每小时低至10美圆,很明显,这就是为何零售零售商会以每100美圆的价格泄露数千个账户密码的缘由。
保护本身免受SIM交换的影响应该是比特币文化的一部分
从一开始,比特币文化中就有一条深植其代码中的共同信仰—得到真正的自由意味着要承担我的,财务和技术责任的新高度。隐私和操做安全没有什么不一样,一般咱们不会为了方便而牺牲它们,但会在交易和借贷等牟利活动中丧失。整体而言,损失更可能是提升比特币安全性的最佳动力,但重要的是不要觉得你的行李不够大而成为盗窃的受害者。
打破常规是无线运营商未针对比特币用户进行优化的缘由之一。大多数人不会成为SIM交换的目标,可是,根据Appenzeller的说法,若是有人“说有超过10,000美圆的比特币钱包,SIM交换无疑在经济上对黑客有吸引力”。
还有一些更复杂,更容易得到的恶意软件攻击实例,它们绕过了基于应用程序的2FA,而无需进行SIM交换。其中包括使用冒名顶替者的仿冒网站,例如上次Binance黑客攻击中所使用的网站,以及危害更大的DNS劫持或中毒行为,一般由民族行为者用来从事间谍活动,例如海龟行动。
好消息是,有可用的技术能够防止SIM交换和更复杂的网络钓鱼攻击。大众消费者市场上最强大的2FA方法是U2F,即便用USB的两因素身份验证。Appenzeller表示,使用U2F消除了基于SIM卡的攻击的风险,并消除了“网络钓鱼和其余中间人攻击以及其余恶意软件攻击”。
他的公司Yubico与Google共同建立了U2F,并在其旗舰产品YubiKey中使用了U2F。这样,YubiKey至关于2FA的硬件钱包,而且在撰写本文时,尚未一个用户成为SIM交换相关盗窃的牺牲品。
如何避免SIM卡交换攻击
对于本文,咱们与几位安全专家和比特币社区成员进行了交谈。根据这些信息,如下列出了为避免SIM卡交换攻击而应作的“不要作的事项”:
对于初学者和普通比特币用户
将比特币保存在硬件钱包中,并中止使用基于电话的2FA。
“请使用硬件设备和multisig保护你的私钥。不要使用基于浏览器的钱包,由于它们具备巨大的攻击面。请勿将基于硬件的2FA用于支持它的任何Web应用程序。不要使用SMS 2FA,也不要经过电话号码重置/恢复在线账户。”
-Jameson Lopp,比特币核心工程师
若是你不使用比特币进行交易,请不要将其保留在交易所中。请参阅此交易清单(https://bitcoinmagazine.com/articles/infographic-overview-compromised-bitcoin-exchange-events),这些交易所因黑客和其余恶意活动而丢失了客户的钱。
与你的电话运营商讨论增强安全性,并使用基于应用程序的身份验证器。
“你能够要求电话运营商提供更高的安全性。你不该该使用SMS验证器。使用Google Authenticator或Authy等身份验证应用。”
泰勒·莫菲特
对于使用无线电话账户共享身份的任何人(咱们大多数人)
从新访问你的无线运营商和其余在线账户的安全策略。你能够尝试入侵本身的账户来进行测试。Twofactorauth.org是一个不错的起点。
“从长远来看,我认为真正的问题是为何咱们仍然使用电话号码?检查你是否安全的最简单方法是尝试使用你的电话号码进入全部账户,若是能够的话,你会遇到SIM卡交换漏洞。”
—马特·奥德尔
对于那些认为本身的比特币硬件钱包足够安全的人
结合使用密码管理器和你的比特币钱包。按期测试你的程序,即便它很简单。
“我正在使用密码管理器,这是一个很好的作法。与我一块儿工做的每一个人都使用密码管理器。” — Guido Appenzeller
“就密码/密钥管理而言,我使用多个加密USB备份的可靠密码管理器。房屋外面至少一个备份(和房屋内至少一个备份)。我老是在旅行时携带一份副本,偶尔与个人妻子和另外一个兄弟一块儿进行测试和设置浏览。个人大部分资产位于硬件钱包上,而后适度放入比特币核心钱包,我用它为个人全部Casa,移动应用,Lightning,beta客户等提供资金。”
—加密货币播客主持人Guy Swann
为了得到最高的安全性,对消费者友好
拥有至少一个YubiKey,它们相对便宜。
“购买多个YubiKeys(用于冗余),并尽量将它们用于2FA。许多密码管理器支持YubiKey 2FA,而许多Web应用程序如今支持U2F 2FA,较新的YubiKeys也支持。若是Web应用程序仅支持TOTP滚动代码,你仍然可使用Yubico身份验证器应用程序将数据保存在YubiKey上。”
—詹姆森·洛普
避免更复杂的攻击
为敏感账户网页添加书签。
“ Binance hack是一个很好的例子,说明应用程序2FA什么时候可能失败。在这种状况下,他们正在Google中搜索Binance并选择第一个网页,在这种状况下,这是一个假网站,经过付费将其推到Google搜索的顶部促销一天。你应该在敏感网页上添加书签,黑客可能会尝试伪造这些网页。”
泰勒·莫菲特(Tyler Moffitt)
积极改善你的操做安全性
为“ SIM卡交换”或“黑客”和“法院案例”设置Google警报。
“做为平民,很难将操做安全性视为对其余(守法)公民重要的事物。现实世界中许多最佳的操做安全性实例--好的操做安全性和差的操做安全性-一般是从详细描述犯罪组织的法庭文件中提取的。其余好的例子一般来自情报或军事领域,彷佛不多适用。”
— @ 5auth,cryptomarket和黑暗市场研究员。
有关如何保护你的比特币免受SIM交换攻击以及若是发生意外时如何处理的更多信息,请参阅《SIM交换圣经》。当比特币牛市时,攻击(SIM交换或其余方式)每每会发生。
为了助力对抗疫情,减小线下人员流动和汇集,CSDN与 PyCon 官方受权的 PyCon中国社区合做,举行「Python开发者日」在线系列峰会。经过精彩的技术干货内容、有趣多元化的在线互动活动等,让您足不出户即可与大咖学习交流,共同渡过抗疫攻坚期。活动咨询,可扫描下方二维码加入官方交流群~
推荐阅读
老铁们求在看!????