Geekly articles weekly

我一生中最昂贵的错误:有关SIM卡端口受到攻击的详细信息

哈Ha! 我向您介绍了肖恩·库恩斯(Sean Coonce)的文章“我一生中最昂贵的教训:SIM卡端口破解的详细信息”的翻译。

上星期三,我损失了超过100,000美元。 由于“ SIM卡端口受到攻击”,资金在24小时内蒸发,这清除了我的Coinbase帐户。 从那时起已经过去了四天,我感到非常震惊。 我没胃口 我无法入睡; 我充满了焦虑,良心和耻辱的感觉。

这是我一生中最昂贵的一堂课,我想与尽可能多的人分享经验和教训。 我的目标是提高人们对这类攻击的认识,并激励增强在线身份的安全性。

还是很潮湿的(我还没有告诉我的家人)。 请谴责这篇文章中描述的天真的安全做法。

攻击细节


您可能会问:“ SIM卡端口受到什么样的攻击?” 为了描述攻击,让我们首先看一个典型的在线身份。 下表对大多数人来说应该很熟悉。



我们中的许多人都有一个主要电子邮件地址,该电子邮件地址已与大量其他在线帐户相关联。 我们许多人还拥有可用于恢复忘记的电子邮件密码的移动设备。

授权的SIM卡端口


电信运营商为客户提供的一项服务是能够将SIM卡移植到另一台设备上。 这允许客户请求将他们的电话号码转移到新设备。 在大多数情况下,这是绝对合法的程序; 当我们购买新手机,更换运营商等时,就会发生这种情况。

SIM卡端口攻击


但是,“ SIM卡端口上的攻击”是攻击者从未经授权的来源产生的恶意端口。 攻击者会将您的SIM卡移植到由他控制的电话上。 然后,攻击者开始在电子邮件帐户上重置密码的过程。 由于攻击者现在控制着您的SIM卡,因此确认码将发送到您的电话号码并被攻击者截获。 下图逐步显示了攻击。



一旦攻击者获得您的电子邮件地址的访问权,他们就会开始从服务切换到服务,您在此处使用此电子邮件地址(银行,社交网络等)。如果攻击者特别有害,他可能会阻止您访问自己的电子邮件地址帐户并要求费用以返回访问权限。

让我们花点时间思考一下与一个Google帐户相关的个人信息量:

  • 您的地址,出生日期和其他可以识别您身份的个人信息;
  • 访问您和/或您的伴侣的可能带有罪名的照片;
  • 访问日历事件和休假日期;
  • 访问个人电子邮件,文档,搜索查询;
  • 访问您的个人联系人及其个人信息,以及他们对您的态度;
  • 访问所有在线服务,其中将您的主要电子邮件地址指示为输入方式。

事件顺序


为了更好地了解攻击的发生方式并查看其范围,让我们深入了解攻击本身的时间表。 我想展示如何进行攻击,我目前正在经历的事情以及在出现此类症状时可以采取哪些措施来保护自己。

时间线分为四个部分:

  • 我的经验:从我的角度来看事件是如何发生的-如果您遇到类似的事情,那么您很可能会受到攻击。
  • 攻击者的行为:攻击者用来获取我的Coinbase帐户访问权限策略。
  • 可感知的威胁级别:我对事件的重视程度。
  • 所需的威胁级别:我必须对事件给予重视。



经验教训和建议


这是我一生中最昂贵的一堂课。 我在24小时内损失了很大一部分资金; 不可撤销地 以下是一些技巧,可以帮助其他人更好地保护自己:

  • 使用物理钱包进行加密货币:每当您完成交易时,将您的加密股票转移到具有多个签名物理钱包 /离线存储/ 钱包中 。 不要将资金留在交易所。 我认为Coinbase是一个银行帐户,但是如果遭受攻击,您将无路可走。 我知道这些风险,但我从未想到这样的事情可能会发生在我身上。 我很遗憾没有采取更严肃的措施来确保我的地穴的安全性。
  • 仅基于SMS的两因素身份验证是不够的:无论您要在网络上进行什么保护,都请切换到硬件保护(例如,攻击者必须获得进行攻击的物理方法)。 虽然Google AuthenticatorAuthy可以将您的手机变成一种硬件保护,但我还是建议您更进一步。 获取一个您可以物理控制且无法替换的YubiKey
  • 减少您的在线足迹:避免不必要地共享可以识别您身份的个人信息(出生日期,位置,带有地理数据的照片等)的愿望,将来,一旦受到攻击,所有此类公共数据都可能对您起到欺骗作用。
  • Google Voice 2FA:在某些情况下,该服务可能不依赖于较弱的SMS消息,不支持硬件两因素身份验证。 然后,最好在Google语音中创建一个虚拟电话号码(无法移植)并将其用作用于双重身份验证的号码。 (译者注:此方法仅在美国有效)
  • 创建一个辅助电子邮件地址:不要将所有内容链接到一个地址,而是为关键帐户(银行,社交网络,加密货币交易所...)创建一个辅助电子邮件地址。请勿将此地址用于其他任何用途并将其保密。 请记住使用任何形式的两因素身份验证来保护该地址。
  • 离线密码管理器:使用密码管理器。 更好的是,使用脱机密码管理器,例如密码存储。 Irvik对不同的密码管理器进行了出色的比较,并为技术精明的人士提供了建议。


至于读者的评论...


考虑到我的设备安全实践,我很可能会被黑客入侵-我理解这一点。 这并没有使它变得容易,谴责只会侵蚀历史的含义,其中包括:

  • 让其他人知道危险是多么容易。
  • 使用您收到的知识和建议来优先考虑在线身份的安全性。

我不能停止思考可以保护自己的小而简单的事情。 我脑子里满是“如果...会怎样”的想法。

但是,这些想法与两种相交的感觉并存-懒惰和生存偏见。 我从未认真考虑过我的在线安全性,因为我从未遭受过攻击。 尽管我理解自己的风险,但我还是懒得以适当的严格性来保护自己的资产。

我敦促您从这些错误中学习。

Source: https://habr.com/ru/post/zh-CN453286/

More articles:


All Articles