加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > FIL > Info

手機突然沒信號,竟是10萬美金加密資產失竊的前兆_SIM:OIN

Author:

Time:1900/1/1 0:00:00

導讀:一天時間,Coinbase賬戶里價值10萬美元的加密資產飛灰煙滅!Bitgo的工程主管SeanCoonce以為只是因為不小心摔了手機導致SIM故障失去了移動服務,不曾料到這卻是一場黑客盜幣的信號。

上周三,我丟失了價值10萬美元的加密貨幣。這筆錢在一天內就因為一次“SIM卡轉移攻擊”從我的Coinbase賬戶中消失了。

這件事已經過去好幾天了,我整個人都非常沮喪。食不知味,夜不能寐,覺得自己被焦慮、懊悔和難堪的感覺浸沒。

這是我人生中最昂貴的一課,我想與盡可能多的人分享我從這次事件中得到的經驗教訓,希望借此提高大家對這類SIM卡攻擊的認識,從而加強你們在線身份的安全性。

01攻擊的細節

你可能會先問一個問題,究竟什么是“SIM卡轉移攻擊”?為了講清楚攻擊發生的原由,需要大家先來看一下典型的在線身份驗證。對于大多數人來說,下面這張圖應該看起來很熟悉:

Solana Labs將推出web3手機Saga,并設立1000萬美元生態基金:金色財經報道,Solana Labs首席執行官Anatoly Yakovenko在紐約市的一次活動中宣布,其團隊正在開發一款新Android手機Saga,該設備專注于Web3,將包含一個Web3 dapp商店、集成的“Solana Pay”以促進基于二維碼的鏈上支付、一個移動錢包適配器和一個“seed vault”(用于存儲私鑰)。Anatoly Yakovenko表示,它的成本約為1000 美元,計劃于2023年初開始交付。此外,Solana基金會承諾提供1000萬美元,以激勵開發人員利用其Solana Mobile Stack (SMS)構建應用程序。[2022/6/24 1:27:50]

?我們手機里的SIM卡把手機號碼和手機綁定在了一起;?當我們忘記郵箱賬號的登錄密碼時,可以要求郵箱發送一個驗證碼給你的手機,這個驗證碼會被用于恢復你的郵箱賬號;?我們的郵箱地址與許多在線服務綁定在了一起。

EV Battery Tech收購基于區塊鏈的加密兼容智能手機應用程序:10月23日消息,Extreme Vehicle Battery Technologies Corp宣布它已簽訂股份交換協議以收購CryptoPlug Technologies,該實體為智能手機開發基于區塊鏈的加密兼容應用程序。其主要功能是使用戶能夠圍繞電動汽車基礎設施個性化他們的電動汽車電力需求,并使他們能夠使用加密貨幣支付充電費用。CryptoPlug及其子公司IoniX Pro Battery Technologies已經推出了自己的區塊鏈電源管理和應用程序Smart Command,并打算將CryptoPlug功能集成到Smart Command中,優化客戶獲取所有EV和ESS電力的方式和時間。(Globenewswire)[2021/10/23 20:50:35]

1、授權的SIM轉移

動態 | 三星推出新硬件以保護智能手機的加密信息安全:2月25日,韓國電子巨頭三星表示,正在改善其智能手機的安全性基礎設施,以增強對用戶加密信息的保護。三星將在新智能手機上安裝Secure Element(SE)硬件,可更好保護加密信息的存儲數據。(Bitcoinist)[2020/2/26]

允許用戶將SIM卡轉移到另一臺設備,是移動運營商提供的一項服務。這項服務允許用戶將他們的電話號碼轉移到新設備上。在大多數情況下,當我們有了新手機或者要更換移動運營商時,就會發生這種情況,這是完全合法的要求。

2、SIM卡轉移攻擊

但是,“SIM轉移攻擊”是由未經授權的攻擊者執行的惡意轉移。攻擊者把你的SIM卡轉移到他們控制的手機上。然后,攻擊者在你的電子郵件賬戶上啟動密碼重置流程。驗證碼會從你的電子郵件提供商發送到你的電話號碼,攻擊者會截獲該電話號碼,因為他們現在控制了你的SIM卡。

動態 | Gemini推出手機應用程序:據financemagnates消息,加密貨幣交易平臺Gemini本周二宣布,它已經推出了Gemini手機應用程序。這款應用程序現在可以在蘋果應用商店和谷歌Play商店下載使用,讓用戶更容易地進行加密貨幣交易。[2018/12/11]

下圖逐步概述了攻擊的流程:

?首先,攻擊者會收集你的個人信息,把你鎖定為攻擊目標;?啟動SIM卡轉移申請,利用收集到的個人信息向移動服務商證明是你本人發起的申請,并要求移動服務商將你的SIM卡轉移到一個由他們控制的設備上;?現在你的SIM被轉移到了一個由攻擊者控制的設備上;?重置郵箱密碼,等待郵箱將驗證碼發到他們的手機上;?郵箱將驗證碼通過短信發送至攻擊者的手機上;?攻擊者獲取驗證碼,開始重置你的郵箱密碼,現在他們已經獲得了你的手機和電子郵箱的控制權。

BCH或將可通過手機短信進行轉賬:據trustnodes報道,CoinText正在內測一款手機短信轉賬BCH的項目,計劃在兩周內上線。通過該項目,用戶可通過簡單指令發出或接受BCH。[2018/4/7]

一旦攻擊者控制了你的電子郵箱賬戶,他們就會開始逐步控制你通過該電子郵件管理的任何對他們而言有利可圖的在線服務。如果他們再做得過分些,甚至可以鎖定你的賬戶而你卻對此無能為力。

這里,我們稍微花點時間整理下你通過一個谷歌賬戶綁定的大量個人敏感信息:

?你的住址、出生日期和其他私人的個人身份信息;?有機會獲取你或者你伴侶的照片;?訪問你的日程表和近期的旅行日程;?訪問你的私人電子郵件、文檔和歷史搜索記錄;?獲取你的聯系人列表,這些聯系人的私人信息以及你們之間的關系;?獲取你用電子郵箱地址作為身份驗證來源的所有其他在線服務。

02這次攻擊事件的時間線

通過上面的鋪墊,相信你對攻擊者如何進行此類SIM卡轉移攻擊以及攻擊會造成的后果有了一定的了解。

下面,我和大家詳細說一下這次攻擊發生過程:攻擊是如何發起的,攻擊過程中我的經歷,以及萬一你也遇到類似的情況可以做些什么來保護自己。

攻擊發生的時間線,可以分為四個部分:

1、我所經歷的:在我看來,我所經歷的這些事或者如果你遇到類似的事情,都是你可能受到攻擊的明確指標。

2、攻擊者當時正在做什么:黑客潛入我的Coinbase賬戶時采用的策略。

3、我感受到的威脅級別:在這些事件發生時,我感受到的威脅級別。

4、我應該擁有的威脅級別:事后想來,在這些事情發生時,我希望自己擁有的威脅級別。

03經驗教訓和建議

這是我人生中最昂貴的一課。我在一天內永遠地失去了這筆對我而言意義重大的凈資產。

以下是我的一些如何加強防護措施的建議:

1、使用硬件錢包保護你的密碼:無論什么時候,如果你沒在交易,就把你的密碼保存在硬件錢包/離線錢包/多重簽名錢包,而不是把資金閑置在交易平臺中。

我把Coinbase當作一個銀行賬戶,一旦遭受攻擊,沒有任何可以挽回的措施。雖然我比大多數人更了解把錢放在交易平臺的風險,但從未想過這種事情會發生在我身上。我現在非常后悔沒有對我的加密貨幣采取更有力的安全措施。

2、基于手機短信服務的二次驗證并不夠安全:無論你想保護線上資產還是線上身份,請使用一些硬件裝備來增強防護措施。這樣一來,攻擊者為了實施攻擊,就必須在現實生活中拿到你儲存密碼的裝備。

谷歌身份驗證器和Authy可以將你的移動設備轉變為這樣的硬件裝備,從而提高安全性,但我建議你更進一步:選一個你可以實際控制且不會被攻擊者欺騙的Yubikey。

3、減少你的上網痕跡:抑制你想要在網上分享個人身份信息的沖動。在發生攻擊時,所有這類公開的數據信息都有可能會被用做發起攻擊的工具。

4、谷歌的語音二次驗證:在某些情況下,在線服務不支持基于硬件的二次驗證。這種時候,你最好創建一個谷歌語音電話號碼并使用谷歌語音電話作為你二次驗證的工具。

4、再創建一個電子郵件地址:不要將所有東西都綁定到同一個電子郵件地址。為一些非常重要的在線身份再創建一個郵件地址。這個郵件地址得保密,不要將它用于任何其他內容,使用基于硬件的二次驗證增強這個郵件地址的安全性。

5、離線密碼管理器:使用密碼管理器輸入密碼,最好是能使用離線密碼的管理器,比如PasswordStore。

04小結

我講出這次事件始末,目的是讓大家知道遭到攻擊是多么容易的一件事,希望大家采納我在上面提出的建議來加強你們的在線身份安全性。

我本可以做一些非常簡單、輕松的防護措施來保護自己,我也總忍不住地去想“如果我····”,那事情的發展是不是就會完全不一樣了。然而,當我這樣想的時候,另外兩種想法也向我襲來:懶惰和幸存者偏差。

之前我從未經歷過攻擊,因此我沒有嚴肅對待我的在線安全問題。雖然我了解自己的風險狀況,但我總是懶得以更嚴謹的態度來保護我的資產。所以,我懇請你們從我的這些錯誤中吸取教訓。

Tags:SIMOINCOICOINSIMPSworld bridge coinBitcoinUpBit交易平臺介紹DeFi Coin

FIL
公鏈賽道爭霸戰:如何評價一條公鏈的好壞?_區塊鏈:dap幣是什么幣

從2018年下半年開始開始有不少公鏈宣布主網上線,包括以太坊、EOS、TRON、Ontology本體、Qtum量子鏈、OKchain、Cosmos等新老公鏈百花齊放.

1900/1/1 0:00:00
BTC有M頭跡象 未企穩不要輕易抄底_BTC:DEV

BTC結束連續3天的小幅回升走勢并在昨日再次迎來放量下殺,前期已提示過BTC這幾天一直處于量價背離拉升,走勢并不健康,隨時有掉頭回落的風險,短期應警惕空頭再次發力,昨日反彈到前期壓力區間遇阻.

1900/1/1 0:00:00
2019年第22周區塊鏈二級市場報告(2019年5月26日-2019年6月1日)_比特幣:比特幣

2019年第22周區塊鏈二級市場報告2019年5月26日-2019年6月1日 本期報告重點內容: 大盤走勢:寬幅震蕩收陽線.

1900/1/1 0:00:00
行情周報:TOP5有調整跡象,BSV周內最高漲幅達140%_TOP:coinbase和binance

周報摘要 上周全球數字貨幣資產日均市值為2739.90億美元,上漲10.54%,日均交易量867.02億美元,上漲14.27%。全球30家代表性交易所,新上交易對19個.

1900/1/1 0:00:00
影子銀行創造貨幣的機制、規模和利弊_以太坊:ETHER

文:恒大研究院任澤平甘源石玲玲 導讀 從2012年開始的金融自由化,到2016年開始的金融去杠桿,近年金融監管可謂大開大合,影子銀行大起大落,對貨幣創造和經濟金融形勢影響巨大.

1900/1/1 0:00:00
火幣合約大師賽第二期第2日獲獎名單公布_VIP:makerdao白皮書

尊敬的用戶: 火幣合約大師賽第二期第2日收益率排行前30名獲獎名單公布如下: 排名 UID 收益率 獎品 1 944****11 857.81% 500HT證書 2 172****87 597.

1900/1/1 0:00:00
ads