Geekly articles weekly

Kesalahan paling mahal dalam hidup saya: detail tentang serangan pada port kartu SIM

Halo, Habr! Saya mempersembahkan kepada Anda terjemahan artikel โ€œPelajaran Paling Mahal Dari Hidup Saya: Detail peretasan port SIMโ€ oleh Sean Coonce.

Rabu lalu, saya kehilangan lebih dari $ 100.000. Uang menguap dalam waktu 24 jam sebagai akibat dari "serangan terhadap port kartu SIM", yang membersihkan akun Coinbase saya. Empat hari telah berlalu sejak itu, dan saya hancur. Saya tidak punya nafsu makan; Saya tidak bisa tidur; Saya dipenuhi dengan perasaan cemas, hati nurani dan malu.

Itu adalah pelajaran paling mahal dalam hidup saya, dan saya ingin berbagi pengalaman dan pelajaran dengan sebanyak mungkin orang. Tujuan saya adalah untuk meningkatkan kesadaran orang-orang tentang jenis serangan ini dan memotivasi Anda untuk meningkatkan keamanan identitas online Anda.

Masih sangat lembab (saya masih belum memberi tahu keluarga saya tentang ini); silakan tinggalkan pengaduan tentang praktik keamanan naif yang dijelaskan dalam pos ini.

Detail Serangan


Anda mungkin bertanya: "Serangan apa ini pada port kartu SIM?" Untuk menggambarkan serangan, pertama mari kita lihat identitas online yang khas. Bagan di bawah ini harus familier bagi sebagian besar dari Anda.



Banyak dari kita memiliki alamat email utama yang terhubung ke sejumlah besar akun online lainnya. Banyak dari kita juga memiliki perangkat seluler yang dapat digunakan untuk memulihkan kata sandi email yang terlupakan.

Port SIM resmi


Salah satu layanan yang ditawarkan operator telekomunikasi kepada pelanggan adalah kemampuan untuk porting kartu SIM ke perangkat lain. Ini memungkinkan pelanggan untuk meminta transfer nomor telepon mereka ke perangkat baru. Dalam kebanyakan kasus, ini adalah proses yang mutlak legal; ini terjadi ketika kita membeli telepon baru, mengganti operator, dll.

Serangan port SIM


Namun, "serangan pada port kartu SIM" adalah port berbahaya yang dihasilkan dari sumber yang tidak sah oleh penyerang. Penyerang akan porting kartu SIM Anda ke telepon yang dikendalikan olehnya. Kemudian penyerang memulai proses pengaturan ulang kata sandi pada akun email. Kode konfirmasi dikirim ke nomor telepon Anda dan dicegat oleh penyerang, karena ia sekarang mengontrol kartu SIM Anda. Diagram di bawah ini menunjukkan serangan langkah demi langkah.



Segera setelah penyerang mendapatkan akses ke alamat email Anda, mereka mulai beralih dari satu layanan ke layanan, di mana Anda menggunakan alamat email ini (bank, jejaring sosial, dll.) Jika penyerang sangat berbahaya, ia dapat memblokir Anda dari mengakses sendiri akun dan meminta biaya untuk mengembalikan akses.

Mari ngelantur sebentar dan pikirkan tentang jumlah informasi pribadi yang dikaitkan dengan satu akun Google:

  • alamat Anda, tanggal lahir dan informasi pribadi lainnya yang mengidentifikasi Anda;
  • akses ke foto yang berpotensi memberatkan Anda dan / atau pasangan Anda;
  • akses ke acara kalender dan tanggal liburan;
  • akses ke email pribadi, dokumen, permintaan pencarian;
  • akses ke kontak pribadi Anda dan informasi pribadi mereka , serta sikap mereka terhadap Anda;
  • akses ke semua layanan online di mana alamat email utama Anda diindikasikan sebagai sarana masuk.

Urutan acara


Untuk lebih memahami bagaimana serangan itu terjadi dan untuk melihat cakupannya, mari selami garis waktu serangan itu sendiri. Saya ingin menunjukkan bagaimana serangan itu dilakukan, apa yang saya alami saat ini dan apa yang dapat Anda lakukan untuk melindungi diri jika terjadi gejala seperti itu.

Garis waktu dibagi menjadi empat bagian:

  • Apa yang saya alami: bagaimana peristiwa terjadi dari sudut pandang saya - jika Anda mengalami sesuatu seperti itu, maka kemungkinan besar Anda sedang diserang.
  • Apa yang dilakukan penyerang: taktik yang digunakan penyerang untuk mendapatkan akses ke akun Coinbase saya.
  • Tingkat ancaman yang dirasakan: Arti penting yang saya lampirkan pada peristiwa tersebut.
  • Level ancaman yang diinginkan: signifikansi yang harus saya lampirkan pada peristiwa.



Pelajaran yang dipetik dan rekomendasi


Itu adalah pelajaran paling mahal dalam hidup saya. Saya kehilangan sebagian besar modal saya dalam 24 jam; tidak dapat dibatalkan. Berikut adalah beberapa tips untuk membantu orang lain melindungi diri mereka dengan lebih baik:

  • Gunakan dompet fisik untuk cryptocurrency: transfer saham crypto Anda ke dompet fisik / penyimpanan offline / dompet dengan beberapa tanda tangan setiap kali Anda tidak menyelesaikan transaksi. Jangan tinggalkan dana di bursa. Saya menganggap Coinbase sebagai rekening bank, tetapi Anda tidak akan memiliki jalan keluar jika terjadi serangan. Saya tahu tentang risiko ini, tetapi saya tidak pernah berpikir bahwa hal seperti ini bisa terjadi pada saya. Saya sangat menyesal bahwa saya tidak mengambil tindakan lebih serius untuk memastikan keamanan ruang bawah tanah saya.
  • Otentikasi dua faktor berdasarkan SMS tidak cukup: tidak peduli apa yang ingin Anda lindungi di jaringan, beralihlah ke perlindungan perangkat keras (misalnya, sesuatu yang fisik yang harus dimiliki oleh penyerang untuk melancarkan serangan). Meskipun Google Authenticator atau Authy dapat mengubah ponsel Anda menjadi semacam perlindungan perangkat keras, saya akan merekomendasikan untuk melangkah lebih jauh. Dapatkan YubiKey yang Anda kontrol secara fisik dan yang tidak dapat diganti.
  • Kurangi jejak online Anda: atasi keinginan untuk membagikan informasi pribadi yang tidak perlu yang dapat mengidentifikasi Anda (tanggal lahir, lokasi, foto dengan geodata, dll.) Semua jenis data publik ini dapat mempermainkan Anda di masa depan jika terjadi serangan .
  • Google Voice 2FA: dalam beberapa kasus, layanan mungkin tidak mendukung otentikasi dua faktor perangkat keras, bergantung pada pesan SMS yang lebih lemah. Maka itu akan menjadi ide yang baik untuk membuat nomor telepon virtual di Google Voice (yang tidak dapat porting) dan menggunakannya sebagai nomor untuk otentikasi dua faktor. (catatan penerjemah: metode ini hanya berfungsi di AS)
  • Buat alamat email sekunder: alih-alih menautkan semua hal ke satu alamat, buat alamat email sekunder untuk akun penting (bank, jejaring sosial, pertukaran mata uang kripto ...) Jangan gunakan alamat ini untuk hal lain dan jaga kerahasiaannya . Ingatlah untuk melindungi alamat ini dengan segala bentuk otentikasi dua faktor.
  • Pengelola kata sandi offline: gunakan pengelola kata sandi. Lebih baik lagi, gunakan pengelola kata sandi offline, seperti Penyimpanan Kata Sandi. Irvik memiliki perbandingan yang sangat baik antara manajer kata sandi yang berbeda serta rekomendasi untuk yang lebih mengerti secara teknis.


Adapun komentar pembaca ...


Mengingat praktik keamanan perangkat saya, saya mungkin pantas diretas - saya mengerti itu. Ini tidak membuatnya lebih mudah, dan penghukuman hanya mengikis makna sejarah, yang terdiri dari:

  • Biarkan orang lain tahu betapa mudahnya membahayakan.
  • Gunakan pengetahuan dan rekomendasi yang Anda terima untuk memprioritaskan keamanan identitas online Anda.

Saya tidak bisa berhenti memikirkan hal-hal kecil dan sederhana yang dapat saya lakukan untuk melindungi diri. Kepalaku penuh dengan pemikiran tentang "bagaimana jika ..."

Namun, pikiran-pikiran ini saling berkorelasi dengan dua perasaan yang bersilangan - kemalasan dan bias untuk bertahan hidup. Saya tidak pernah menganggap serius keamanan online saya karena saya tidak pernah mengalami serangan. Dan meskipun saya memahami risiko saya, saya terlalu malas untuk melindungi aset saya dengan ketelitian yang tepat.

Saya mendorong Anda untuk belajar dari kesalahan ini.

Source: https://habr.com/ru/post/id453286/

More articles:


All Articles