SIM卡交換攻擊盜幣猖獗，比特幣從業者如何自保？_SIM

來源|?bitcoinmagazine

作者|?DavidHollerith

譯者|?泓技

出品|區塊鏈大本營

使用電話號碼進行身份驗證是一種不怎么可取的安全認證方法。將比特幣交給提供加密貨幣交換或借貸等服務的第三方也會降低安全性--“不是你的秘鑰，則硬幣不屬于你”是安全性建議，這點在Twitter和比特幣圈內已廣為傳播。舉個例子：在過去十年的大部分時間里，這兩種做法的結合導致了越來越多的SIM交換攻擊，最終導致盜竊比特幣和其他加密貨幣的行為日益猖獗。

SIM卡交換是攻擊者獲得受害者無線電話帳戶控制權的一種低成本、非技術性的方式。要發起攻擊，黑客需要知道移動無線運營商如何驗證身份以及有關受害者的某些信息。通常，得到受害者的一個電話號碼就足夠了。

現在，有明確的證據表明，美國大多數擁有無線運營商電話號碼的人都容易受到SIM交換的攻擊。如果你持有不想被盜的比特幣，這一事實可能會更加令人痛苦。

SIM卡交換的興起

由哈佛大學計算機科學系和普林斯頓大學信息技術政策中心的教授和博士組成的聯合研究小組在2020年1月發表的一項經驗研究中證明了潛在的SIM交換的日益增加。

普林斯頓大學副教授，論文的作者之一阿文德·納拉亞南在推特上總結道：?“攻擊者打電話給你的載體，假裝是你，并要求將服務轉移到新的由攻擊者控制的SIM卡上。這已經夠糟糕了，但是數百個網站還在使用SMS(ShortMessageService短信服務)進行兩因素身份驗證，使你的帳戶處于危險之中。”

該研究測試了美國五家主要無線運營商的身份驗證協議--AT＆T，T-Mobile，Tracfone，USMobile和Verizon。SIM卡交換測試為每個運營商嘗試10個不同的預付費帳戶，經過測試之后，作者發現所有五個運營商都使用了被認為不安全的身份驗證方法。

納拉亞南表示：

“綜合起來，這些發現有助于解釋為什么SIM卡交換一直是一個持續存在的問題。”

黑客參與SIM卡交換攻擊并盜竊數字資產被判5年監禁:6月25日消息，化名為PlugwalkJoe的英國黑客Joseph O 'Connor在美國被判處五年監禁。其定罪源于他參與2019年4月針對一位知名加密貨幣交易所高管的SIM卡交換攻擊，導致價值約79.4萬美元的數字資產被盜。

PlugwalkJoe最初于2021年7月在西班牙被捕，于2023年4月26日被引渡到美國接受審判。為了表現出與當局合作的意愿，他于今年5月認罪。[2023/6/26 21:59:42]

更麻煩的是，SIM卡交換問題已經嚴重到在研究期間納拉亞南的手機SIM卡都被交換了。當他打電話報告欺詐行為時，其運營商的客戶服務部門在驗證了攻擊者之后就無法對教授進行驗證。最后納拉亞南通過運用研究成果來利用運營商的協議漏洞，從而重新獲得了對無線帳戶的控制。

幸運的是，納拉亞南迅速做到了這一點。一旦攻擊者控制了受害者的無線帳戶，他們就有可能進行大量的破壞。如研究中所述，這在很大程度上是由于用戶為在線訪問數字資產設置的不安全的身份驗證方法和安全性問題。此外，該研究還發現了17個網站，僅憑SIM交換就可以破壞用戶帳戶。該研究發布后不久，T-Mobile告知作者，在對其進行審查后，它已停止使用“最近的號碼”進行客戶身份驗證。

通過SIM交換盜取比特幣

SIM交換已經進行了多年。許多SIM卡交換目標屬于以下兩個類別之一：擁有珍貴社交媒體帳戶的名人，例如Twitter的首席執行官，杰克·多爾西或擁有大量加密貨幣的人。去年，在比特幣牛市鼎盛時期，一些加密貨幣所有者就被進行了SIM交換。

2019年12月，加密貨幣記者和播客LauraShin發布了一個播客片段，講述了她作為最近的SIM卡交換受害者的經歷。Shin并未遭到搶劫，但她的經歷值得注意，因為她透露，盡管她之前曾在2016年報道過該主題并在幾年前積極保護自己的帳戶，但她仍然很脆弱。

最終，使比特幣所有者比其他無線運營商客戶更容易作為SIM交換目標的事實是，比特幣交易記錄在區塊鏈上，因此它們不能被撤銷。與無線帳戶不同，當局要抓住被盜的比特幣要困難得多。

中國電信將與Conflux Network合作在香港試行支持區塊鏈的SIM卡:金色財經報道，Conflux Network 宣布將與中國電信合作于今年晚些時候在香港推出首個 BSIM 試點項目。據悉，BSIM 卡集成了 Conflux 的樹圖、雙重權益證明和工作量證明技術，可為世界上任何區塊鏈實現最高的系統性能。Conflux 希望該行為可以降低用戶進入 Web3 和 Metaverse 的門檻。[2023/2/15 12:08:45]

此外，與大多數在線銀行賬戶不同，只有少數加密貨幣交易所由FDIC保險提供擔保，該保險為會員銀行中的存款提供最高25萬美元的保險。當將比特幣的價值視為一種去中心化的不可變資產時，這是很合理的。但這也意味著安全永遠不應被視為理所當然。

正義之輪轉得太慢

企業家和投資者邁克爾·特平是高凈值加密貨幣所有者，他與人共同創立了第一個針對比特幣愛好者的天使基金，即Bitangels基金，他們都非常清楚這一宗旨。

>“正義之輪轉得很慢，”特平在接受《比特幣雜志》采訪時說。

關于Terpin案的司法糾紛卷入了他于2018年8月針對AT＆T進行的2.24億美元持續訴訟中。兩次有組織的黑客交換了Terpin的T-Mobile和AT＆T帳戶相關的SIM卡。據他介紹，第一次SIM交換后，一群攻擊者“在波士頓的兩家商店里互相毆打，以使我放棄這兩個帳戶的憑據。”

在進行了這些交換之后，黑客在Terpin開設的交換帳戶中搶了一半多一點的比特幣，“當時比特幣大約是100美元。”

第一次SIM交換后，Terpin要求兩個運營商提供更高的安全性。事實證明，AT＆T和T-Mobile各自提供了“高級配置保護選項”。但是，就像Terpin說的一樣，當T-Mobile的店內驗證“無端口”選項和AT＆T添加的六位數帳戶密碼都被證明無用時，2018年1月，一名新澤西AT＆T零售店的19歲員工出賣了Terpin的賬戶密碼，以換取100美元的賄賂。

加密銀行Avanti創始人呼吁SIM卡交換攻擊受害者支持相關立法:金色財經報道，懷俄明區塊鏈委員會創始人、加密銀行Avanti創始人兼首席執行官Caitlin Long今日在推特上呼吁其70500名追隨者中的SIM卡交換攻擊受害者于12月16日在懷俄明州立法機關作證，以支持一項有助于阻止SIM卡交換攻擊的立法。Long表示，7月份臭名昭著的推特被黑事件與SIM卡交換有關，因此，這不再只是影響加密行業的問題。[2020/12/4 23:04:05]

作為回報，這組攻擊者盜竊了2400萬美元的山寨幣。

“是的，”Terpin說，“他們唯一能得到的就是山寨幣，但那天它們恰好具有很高的價值。”

與比特幣不同，Terpin被盜的山寨幣沒有可用的錢包私鑰硬件備份選項。

盡管Terpin的上一次SIM交換發生在兩年多以前，但他說，每周都有一名新的SIM交換受害者與他聯系，以尋求幫助。如果他們真想解決的話，他會將他們指向他的法律團隊和加利福尼亞州的REACT工作組。

SIM卡交換盜賊的故事

Terpin還參與了針對NicholasTruglia的民事訴訟，NicholasTruglia是一名21歲的紐約市居民，被控通過SIM卡互換竊取2400萬美元。Truglia最初被指控從硅谷高管兼StopSIMCrime.org的創建者RossWhite竊取了100萬美元的加密貨幣。

Terpin聲稱，在Truglia的另一次SIM欺詐保釋聽證會上的證據表明Truglia可能也是他2400萬美元攻擊背后的SIM卡交換者。在Terpin襲擊的同一天，Truglia向家人和朋友發送了郵件，表明他從錢包中竊取了價值超過2000萬美元的加密貨幣，并將其轉換為比特幣，他的生活永遠改變了。盡管調查仍在進行中，但Terpin聲稱Truglia是由26人組成的分散式SIM卡交換小組的成員之一。

調查記者布萊恩·克雷布斯將Truglia的案子與盜竊SIM卡交換者的其他幾項逮捕，指控和刑罰結合在一起，對這些角色進行詳細的描述。據克雷布斯說，他們都是男性，年齡在25歲以下。

TheSandbox與支付處理器公司Simplex合作，支持直接使用法幣購買SAND:10月21日，區塊鏈游戲平臺TheSandbox宣布與與支付處理器公司Simplex達成合作，用戶可以通過Simplex的服務調用借記卡或貸記卡直接購買TheSandBox的代幣SAND。[2020/10/22]

2020年1月，一份報告指責18歲的加拿大居民SamyBensaci對區塊鏈研究小組負責人DonTapscott實施SIM交換，所幸的是這未能成功。這個故事將加密貨幣社區中的許多SIM交換目標與其在紐約市舉行的年度共識會議的出席聯系起來。它還證實了Krebs的報告，該報告將SIM交換加密貨幣盜竊行為與名為OGUsers.com的在線論壇的用戶相聯系。

比特幣和隱私專家MattOdell說：“我認為每個人總是對年輕一代采用新技術感到措手不及。”他參與了多個項目，例如共同主持“地窖故事”播客。

就像大規模采用本身一樣，比特幣和相關的SIM卡交換盜竊的現象似乎是由年輕一代針對較原始系統的受害者發起的。

選擇安全而不是方便

Webroot的安全分析師泰勒·莫菲特表示：“圍繞這項技術創造的法律總是落后的。”他指的是比特幣所有者由于其無線運營商而處于獨特的危險境地。“我看不出在未來五年內會出現，到那時，黑客已經從SIM交換盜竊加密貨幣中賺了一大筆錢。”

莫菲特是眾多認為在權衡便利性和安全性時，人們將始終傾向于便利性的人之一。這正是無線運營商賬戶和整個美國社會被設計成的方式。

但是響亮的聲音開始發出。2020年1月9日，美國六位議員簽署了致美國聯邦通信委員會主席阿吉特·派的一封信，他此前曾擔任Verizon的總顧問。該信提倡加強針對無線客戶的SIM交換欺詐保護，并指出了調查人員與REACT工作組就SIM交換總損失的聲明：“他們已經知道3000多名SIM交換受害者，這造成了7000萬美元的損失。“

這封信還解決了SIM卡交換黑客行為變得更加復雜的指控問題。現在，攻擊者還通過欺騙或強迫零售員工在其計算機上以遠程桌面協議的形式運行惡意軟件，從而直接入侵無線運營商計算機中，而不僅僅是行賄。

動態 | 美國兩名男子被起訴涉嫌SIM調換加密欺詐:據bitcoinexchangeguide報道，加利福尼亞州北部地區檢察官辦公室發布的一份新聞稿顯示，美國的執法部門已經起訴另外兩名涉嫌參與通過SIM調換詐騙加密貨幣的男子，兩人分別為Matthew Gene Ditman和Ahmad Wagaafe Hared。據稱，兩人通過使用欺騙手段控制了受害者的電話號碼，以竊取加密貨幣。如果被法院認定有罪，他們將至少被判入獄五年。[2019/2/6]

信中寫道：“你是否曾看到有關違規的報道……涉及對無線運營商的入侵，包括零售商店中的計算機以及客戶服務代理商使用的計算機？”

更加嚴重的是，這封信的立法者和作者認識到，SIM卡交換盜竊對國家安全構成了非常現實的威脅。據稱許多政府機構雇員使用不同級別的2FA。在這種假設下，有組織的黑客或民族國家行為者團體可以訪問公共官員的電子郵件帳戶，然后以幾種嚴重的破壞性方式利用該訪問權，例如從聯邦緊急事務管理局的警報和警告中發出虛假的緊急警報。

Terpin在2019年秋季向FCC發送了類似的信，其中有更具體的要求。

他寫道：“我建議FCC讓所有美國運營商都收回其私密密碼。”

這是無線運營商的核心安全故障–與銀行，航空公司和酒店不同，這些機構的無線帳戶的密碼訪問權限是基于是否具有密碼而“通過”或“失敗”，但運營商員工可以使用整個無線帳戶的密碼。主要是為了方便客戶，當客戶摔壞或丟失手機，然后急需返回我們的以移動設備為中心的世界時。但是，鑒于許多運營商商店，甚至以最大運營商名稱冠名的商店，實際上都是第三方擁有和經營的，因此這種核心安全漏洞顯得更加糟糕。

“不僅僅是電信公司的員工，”Yubico的首席產品官GuidoAppenzeller說。Yubico是一家以發明YubiKey聞名的硬件安全公司。“每個第三方零售雇員都可以訪問這些數據庫。”

在某些地區，第三方零售運營商的最低時薪每小時低至10美元，很明顯，這就是為什么零售零售商會以每100美元的價格泄露數千個帳戶密碼的原因。

保護自己免受SIM交換的影響應該是比特幣文化的一部分

從一開始，比特幣文化中就有一條深植其代碼中的共同信仰—獲得真正的自由意味著要承擔個人，財務和技術責任的新高度。隱私和操作安全沒有什么不同，通常我們不會為了方便而犧牲它們，但會在交易和借貸等牟利活動中喪失。總體而言，損失更多是提高比特幣安全性的最佳動力，但重要的是不要以為你的行李不夠大而成為盜竊的受害者。

打破常規是無線運營商未針對比特幣用戶進行優化的原因之一。大多數人不會成為SIM交換的目標，但是，根據Appenzeller的說法，如果有人“說有超過10,000美元的比特幣錢包，SIM交換無疑在經濟上對黑客有吸引力”。

還有一些更復雜，更容易獲得的惡意軟件攻擊實例，它們繞過了基于應用程序的2FA，而無需進行SIM交換。其中包括使用冒名頂替者的仿冒網站，例如上次Binance黑客攻擊中所使用的網站，以及危害更大的DNS劫持或中行為，通常由民族行為者用來從事間諜活動，例如海龜行動。

好消息是，有可用的技術可以防止SIM交換和更復雜的網絡釣魚攻擊。大眾消費者市場上最強大的2FA方法是U2F，即使用USB的兩因素身份驗證。Appenzeller表示，使用U2F消除了基于SIM卡的攻擊的風險，并消除了“網絡釣魚和其他中間人攻擊以及其他惡意軟件攻擊”。

他的公司Yubico與Google共同創建了U2F，并在其旗艦產品YubiKey中使用了U2F。這樣，YubiKey相當于2FA的硬件錢包，并且在撰寫本文時，還沒有一個用戶成為SIM交換相關盜竊的犧牲品。

如何避免SIM卡交換攻擊

對于本文，我們與幾位安全專家和比特幣社區成員進行了交談。根據這些信息，以下列出了為避免SIM卡交換攻擊而應做的“不要做的事項”：

對于初學者和普通比特幣用戶

將比特幣保存在硬件錢包中，并停止使用基于電話的2FA。

“請使用硬件設備和multisig保護你的私鑰。不要使用基于瀏覽器的錢包，因為它們具有巨大的攻擊面。請勿將基于硬件的2FA用于支持它的任何Web應用程序。不要使用SMS2FA，也不要通過電話號碼重置/恢復在線帳戶。”-JamesonLopp，比特幣核心工程師

如果你不使用比特幣進行交易，請不要將其保留在交易所中。請參閱此交易清單，這些交易所因黑客和其他惡意活動而丟失了客戶的錢。

與你的電話運營商討論加強安全性，并使用基于應用程序的身份驗證器。

“你可以要求電話運營商提供更高的安全性。你不應該使用SMS驗證器。使用GoogleAuthenticator或Authy等身份驗證應用。”

泰勒·莫菲特

對于使用無線電話帳戶共享身份的任何人

重新訪問你的無線運營商和其他在線帳戶的安全策略。你可以嘗試入侵自己的帳戶來進行測試。Twofactorauth.org是一個不錯的起點。

“從長遠來看，我認為真正的問題是為什么我們仍然使用電話號碼？檢查你是否安全的最簡單方法是嘗試使用你的電話號碼進入所有帳戶，如果可以的話，你會遇到SIM卡交換漏洞。”

—馬特·奧德爾

對于那些認為自己的比特幣硬件錢包足夠安全的人

結合使用密碼管理器和你的比特幣錢包。定期測試你的程序，即使它很簡單。

“我正在使用密碼管理器，這是一個很好的做法。與我一起工作的每個人都使用密碼管理器。”

—GuidoAppenzeller

“就密碼/密鑰管理而言，我使用多個加密USB備份的可靠密碼管理器。房屋外面至少一個備份。我總是在旅行時攜帶一份副本，偶爾與我的妻子和另一個兄弟一起進行測試和設置瀏覽。我的大部分資產位于硬件錢包上，然后適度放入比特幣核心錢包，我用它為我的所有Casa，移動應用，Lightning，beta客戶等提供資金。”

—加密貨幣播客主持人GuySwann

為了獲得最高的安全性，對消費者友好

擁有至少一個YubiKey，它們相對便宜。

“購買多個YubiKeys，并盡可能將它們用于2FA。許多密碼管理器支持YubiKey2FA，而許多Web應用程序現在支持U2F2FA，較新的YubiKeys也支持。如果Web應用程序僅支持TOTP滾動代碼，你仍然可以使用Yubico身份驗證器應用程序將數據保存在YubiKey上。”

—詹姆森·洛普

避免更復雜的攻擊

為敏感帳戶網頁添加書簽。

“Binancehack是一個很好的例子，說明應用程序2FA何時可能失敗。在這種情況下，他們正在Google中搜索Binance并選擇第一個網頁，在這種情況下，這是一個假網站，通過付費將其推到Google搜索的頂部促銷一天。你應該在敏感網頁上添加書簽，黑客可能會嘗試偽造這些網頁。”泰勒·莫菲特

積極改善你的操作安全性

為“SIM卡交換”或“黑客”和“法院案例”設置Google警報。

“作為平民，很難將操作安全性視為對其他公民重要的事物。現實世界中許多最佳的操作安全性實例--好的操作安全性和差的操作安全性-通常是從詳細描述犯罪組織的法庭文件中提取的。其他好的例子通常來自情報或軍事領域，似乎很少適用。”

—@5auth，cryptomarket和黑暗市場研究員

有關如何保護你的比特幣免受SIM交換攻擊以及如果發生意外時如何處理的更多信息，請參閱《SIM交換圣經》。當比特幣牛市時，攻擊往往會發生。

Tags：SIM比特幣加密貨幣TERsimpson幣種比特幣行情分析加密貨幣市場行情走勢water幣種

XRP