區塊鏈入門丨如何防范SIM卡詐騙攻擊？_區塊鏈:SEADEX

本文作者：CoboVault安全練習生

2019年9月，網絡安全公司AdaptiveMobile發現了SIM卡存在一個嚴重的漏洞「Simjacker」，最近該公司公布了一份容易受到Simjacker攻擊的的國家名單，包括了五大洲的29個國家。

2018年8月15日，美國投資者MichaelTerpin向AT&T提起了一起價值高達2.24億美元的訴訟。因為他認為這家電信企業向黑客提供了訪問他手機號碼的途徑，從而導致了一場重大的加密貨幣盜竊事件。MichaelTerpin是一位總部位于波多黎各的企業家，他也是TransformGroupinc.的首席執行官，同時他還是BitAngels和數字貨幣基金BitAngelsDAppsFund的聯合創始人。Terpin聲稱他在7個月的時間里遭遇了兩次黑客攻擊，這直接導致他損失了價值2400萬美元的加密貨幣——他向加州律師事務所GreenbergGlusker提交的長達69頁的起訴書中提到了兩起分別發生在2017年6月11日和2018年1月7日的黑客攻擊案件，該文件顯示，兩次黑客攻擊中AT&T都未能保護他的的數字身份。

動態 | 中國10所頂尖大學開設區塊鏈課程，共成立7個區塊鏈實驗室:ZB創新智庫消息，根據Forkast.Insight發布的《中國區塊鏈報告》數據，中國目前有10所頂尖大學開設區塊鏈課程，分別是清華、北大、復旦、上海交大、浙大、中科大、南京大學、武漢大學、哈爾濱工業大學和天津大學，這些大學同時成立了7個區塊鏈實驗室。報告指出：與中國公司對于區塊鏈技術的巨大熱情相比，中國在教育層面對于區塊鏈的投入并不匹配。其中的原因之一或許是，區塊鏈依然是一個快速發展的領域，高校擔心在課堂上傳授的區塊鏈知識很有可能面臨快速過時的尷尬。[2019/12/10]

什么是SIM卡詐騙？

聲音 | 海聯金匯：在2019年可信區塊鏈峰會上獲得該項測試第一號證書:海聯金匯在互動平臺上表示，公司參加了2019年可信區塊鏈峰會。在今年的評測中，聯動優勢的“UChains區塊鏈底層平臺”一次性通過了可信區塊鏈功能測試的全部52個測試項，并在11月8日的可信區塊鏈峰會上獲得該項測試第一號證書（證書編號：No.01201901001）。[2019/11/13]

大多數的SIM卡詐騙，是通過繞過電信運營商的安全措施的方式，將受害者的SIM卡進行復制或者重新辦理，從而達到控制被盜者SIM卡的目的。而在目前的互聯網安全環境下，獲得被盜者的手機號碼控制權，通過短信驗證碼驗證機制，可以獲取被盜者絕大多數的賬戶權限，這也包括絕大多數被盜者的金融賬戶或者加密貨幣云端賬戶。而絕大多數的攻擊方式，攻擊者僅僅通過簡單的社會工程學，如：收集被盜者身份信息、盜取信件等方式，向運營商證明補辦SIM卡的是本人。而早期，大多數運營商為了使補辦流程更便捷，并不會采取實人認證、2元認證等方式。

動態 | 金融巨頭瑞銀在區塊鏈平臺we.trade上開展貿易融資:瑞士金融巨頭瑞銀（UBS）已開始在we.trade上進行貿易融資，we.trade是一個基于區塊鏈的貿易融資平臺，其成員銀行正在廣泛采用該平臺。瑞銀集團確認將于 10月初開始在we.trade上運行，從而為中小型企業（SME）提供便利。（Coindesk）[2019/10/9]

SIM卡詐騙攻擊怎么盜取你的“錢”？

我們在前面已經提到了詐騙者獲取克隆SIM卡的方法。詐騙資產通常是攻擊者的主要目標之一。在現今的支付環境和賬戶安全環境中，2FA驗證往往是通過短信驗證碼得以實現的，這也依賴于國內較為完善的實名制。在獲得他人的SIM卡控制權后，攻擊者可以進一步通過類似的icloud或者郵箱獲得個人隱私信息。試問，你的手機中是否保存了你的個人身份證或者駕照的照片？這些照片或者信息，可能就被某一個云端軟件默默地提交到了你的云端存儲賬戶中。而攻擊者在完全收集到這些信息后，可以用來提取你的個人賬戶資產；或者干脆就用你的身份信息向多個網貸機構套取貸款。

獨家 | 李剛強：金融企業進行區塊鏈探索前途光明但道路曲折:

歐洲八大金融機構已經宣布將共同開發區塊鏈技術項目，旨在記錄金融權證的發行情況。但西班牙畢爾巴鄂比斯開銀行首席執行官曾表示，目前區塊鏈技術還不成熟，金融企業仍需要面臨很多挑戰。對此，ShareX創始人李剛強在接受金色財經獨家采訪時指出，目前區塊鏈在金融領域的探索困難還較多。

首先是原有的金融法律體系不適應未來通證的法律體系，通證法律體系各國還在探索之中。其次，傳統的金融體系對從業者有嚴格限制，有牌照、從業資格、進入門檻的要求，但在token領域目前還沒有太多門檻限制，比如說合格投資者的要求等。以股權為例，李剛強指出，原來的股權投資，作為基金的出資人要有一個百萬以上的凈資產的證明，在基金出資時要超過一百萬，而在token領域則任何人可以以任何金額進行投資。第三方面，原來IPO政策也有明顯的標準，比如在國內證券市場上市凈利潤要超過三千萬，在公司的凈資產以及合規性等方面也有相關要求，但在目前的token領域對于凈利潤等沒有相關的約束條件。

同時我們還看到現有的行政部門技術的基礎設施還不完備。行政部門是中心化的機構，當用區塊鏈來登記股權，變成非中心化的時候，行政機構是否愿意進一步放權還存疑。

盡管如此，我們能夠看到市場大的方向是向好的，前途是光明的，道路確實是曲折的。今天區塊鏈的時代，就像歐洲中世紀公司制度誕生的時代一樣，一切還處于蠻荒時代，有待先行者去開拓和實踐。[2018/6/26]

而更可怕的是，由于大多數用戶圖省事，或者不了解基本的安全交易知識，攻擊者根本不需要身份信息。只需要手機號碼、短信驗證碼和密碼，就可以完成交易、提幣、發幣等一系列步驟。

如果你的手機在使用環境中突然沒有信號了，并且持續了很長時間，那就必須提高警覺了。

上圖是一人在巴西出差時所截的圖，手機突然失去信號，長達半小時左右。

在多次重啟無果后，他聯系了當地的移動運營商，才得知SIM卡被報告“丟失或被盜”，并要求作者在另一張SIM卡上激活。

早期的模擬GSM制式SIM卡是允許同一個手機號碼同時聯網的，所以這一技術早期也被用于抓小三和間諜應用上。而在后續的運營商及聯網制式升級后，絕大多數手機網絡只允許同一時間同一張SIM卡進行聯網并使用。所以國內不會出現多臺設備收到同一條短信息的情況。

如何防范SIM卡詐騙攻擊？

1.永遠不要使用弱密碼

在攻擊者獲取你的SIM卡之后，離提款僅僅只差輸入密碼一步。所以如果你使用的是弱密碼，或者是與個人信息相關的密碼，最后防線就會被攻破。

2.盡量選擇能夠實現設備識別的軟件APP

在現階段的支付和交易環境中，已經有一部分安全防范應用了IMEI識別技術。在每次用戶登錄及交易時，系統會驗證當前IMEI是否為之前登錄過的設備。

3.重要賬戶使用類似谷歌驗證器的2FA驗證

不要使用短信驗證碼作為你的交易2FA驗證！

不要使用短信驗證碼作為你的交易2FA驗證！

不要使用短信驗證碼作為你的交易2FA驗證！

4.可以考慮使用冷錢包作為保護“幣”的最后防線。

Tags：區塊鏈SIMTRAADE區塊鏈運用的技術中不包括哪一項Ac/sSIMBAINU價格Trapeza ProtocolSEADEX

波場