導讀:一天時間,Coinbase 賬戶裡價值 10 萬美元的加密資產飛灰煙滅!BitGo 的工程主管 Sean Coonce 以為只是因為不小心摔了手機導致 SIM 故障失去了移動服務,不曾料到這卻是一場駭客盜幣的訊號。
上週三,我丟失了價值10萬美元的加密貨幣。這筆錢在一天內就因為一次“SIM卡轉移攻擊”從我的 Coinbase 賬戶中消失了,這件事已經過去好幾天了,我整個人都非常沮喪。食不知味,夜不能寐,覺得自己被焦慮、懊悔和難堪的感覺浸沒。
這是我人生中最昂貴的一課,我想與儘可能多的人分享我從這次事件中得到的經驗教訓,希望藉此提高大家對這類SIM卡攻擊的認識,從而加強你們線上身份的安全性。
01 攻擊的細節
你可能會先問一個問題,究竟什麼是“SIM 卡轉移攻擊”?為了講清楚攻擊發生的原由,需要大家先來看一下典型的線上身份驗證。對於大多數人來說,下面這張圖應該看起來很熟悉:
我們手機裡的 SIM 卡把手機號碼和手機繫結在了一起; • 當我們忘記郵箱賬號的登入密碼時,可以要求郵箱傳送一個驗證碼給你的手機,這個驗證碼會被用於恢復你的郵箱賬號; • 我們的郵箱地址與許多線上服務繫結在了一起。
1、授權的 SIM 轉移
允許使用者將 SIM 卡轉移到另一臺裝置,是移動運營商提供的一項服務。這項服務允許使用者將他們的電話號碼轉移到新裝置上。在大多數情況下,當我們有了新手機或者要更換移動運營商時,就會發生這種情況,這是完全合法的要求。
2、SIM 卡轉移攻擊
但是,“SIM 轉移攻擊”是由未經授權的攻擊者執行的惡意轉移。攻擊者把你的 SIM 卡轉移到他們控制的手機上。然後,攻擊者在你的電子郵件賬戶上啟動密碼重置流程。驗證碼會從你的電子郵件提供商傳送到你的電話號碼,攻擊者會截獲該電話號碼,因為他們現在控制了你的 SIM 卡。
下圖逐步概述了攻擊的流程:
首先,攻擊者會收集你的個人資訊,把你鎖定為攻擊目標; • 啟動 SIM 卡轉移申請,利用收集到的個人資訊向移動服務商證明是你本人發起的申請,並要求移動服務商將你的 SIM 卡轉移到一個由他們控制的裝置上; • 現在你的 SIM 被轉移到了一個由攻擊者控制的裝置上; • 重置郵箱密碼,等待郵箱將驗證碼發到他們的手機上; • 郵箱將驗證碼透過簡訊傳送至攻擊者的手機上; • 攻擊者獲取驗證碼,開始重置你的郵箱密碼,現在他們已經獲得了你的手機和電子郵箱的控制權。
一旦攻擊者控制了你的電子郵箱賬戶,他們就會開始逐步控制你透過該電子郵件管理的任何對他們而言有利可圖的線上服務(如銀行賬戶、社交媒體賬戶等)。如果他們再做得過分些,甚至可以鎖定你的賬戶而你卻對此無能為力。
這裡,我們稍微花點時間整理下你透過一個谷歌賬戶繫結的大量個人敏感資訊:
你的住址、出生日期和其他私人的個人身份資訊; • 有機會獲取你或者你伴侶的照片; • 訪問你的日程表和近期的旅行日程; • 訪問你的私人電子郵件、文件和歷史搜尋記錄; • 獲取你的聯絡人列表,這些聯絡人的私人資訊以及你們之間的關係; • 獲取你用電子郵箱地址作為身份驗證來源的所有其他線上服務。
02 這次攻擊事件的時間線
透過上面的鋪墊,相信你對攻擊者如何進行此類 SIM 卡轉移攻擊以及攻擊會造成的後果有了一定的瞭解。
下面,我和大家詳細說一下這次攻擊發生過程:攻擊是如何發起的,攻擊過程中我的經歷,以及萬一你也遇到類似的情況可以做些什麼來保護自己。
攻擊發生的時間線,可以分為四個部分:
1、我所經歷的:在我看來,我所經歷的這些事或者如果你遇到類似的事情,都是你可能受到攻擊的明確指標。
2、攻擊者當時正在做什麼:駭客潛入我的 Coinbase 賬戶時採用的策略。
3、我感受到的威脅級別:在這些事件發生時,我感受到的威脅級別。
4、我應該擁有的威脅級別:事後想來,在這些事情發生時,我希望自己擁有的威脅級別。
03 經驗教訓和建議
這是我人生中最昂貴的一課。我在一天內永遠地失去了這筆對我而言意義重大的淨資產。
以下是我的一些如何加強防護措施的建議:
1、使用硬體錢包保護你的密碼:無論什麼時候,如果你沒在交易,就把你的密碼儲存在硬體錢包/離線錢包/多重簽名錢包,而不是把資金閒置在交易平臺中。
我把 Coinbase 當作一個銀行賬戶,一旦遭受攻擊,沒有任何可以挽回的措施。雖然我比大多數人更瞭解把錢放在交易平臺的風險,但從未想過這種事情會發生在我身上。我現在非常後悔沒有對我的加密貨幣採取更有力的安全措施。
2、基於手機簡訊服務的二次驗證並不夠安全:無論你想保護線上資產還是線上身份,請使用一些硬體裝備來增強防護措施。這樣一來,攻擊者為了實施攻擊,就必須在現實生活中拿到你儲存密碼的裝備。
谷歌身份驗證器和 Authy 可以將你的移動裝置轉變為這樣的硬體裝備,從而提高安全性,但我建議你更進一步:選一個你可以實際控制且不會被攻擊者欺騙的 Yubikey(一個小型USB裝置)。
3、減少你的上網痕跡:抑制你想要在網上分享個人身份資訊的衝動(比如,你的出生日期、住址、帶有地理位置資訊的圖片等)。在發生攻擊時,所有這類公開的資料資訊都有可能會被用做發起攻擊的工具。
4、谷歌的語音二次驗證:在某些情況下,線上服務不支援基於硬體的二次驗證(它們依賴於安全性較弱的簡訊服務二次驗證)。這種時候,你最好建立一個谷歌語音電話號碼(它無法透過SIM卡轉移)並使用谷歌語音電話作為你二次驗證的工具。
4、再建立一個電子郵件地址:不要將所有東西都繫結到同一個電子郵件地址。為一些非常重要的線上身份(如銀行賬戶、社交媒體賬戶、加密貨幣交易平臺等)再建立一個郵件地址。這個郵件地址得保密,不要將它用於任何其他內容,使用基於硬體的二次驗證增強這個郵件地址的安全性。
5、離線密碼管理器:使用密碼管理器輸入密碼,最好是能使用離線密碼的管理器,比如Password Store(一個用於管理密碼的軟體)。
04 小結
我講出這次事件始末,目的是讓大家知道遭到攻擊是多麼容易的一件事,希望大家採納我在上面提出的建議來加強你們的線上身份安全性。
我本可以做一些非常簡單、輕鬆的防護措施來保護自己,我也總忍不住地去想“如果我····”,那事情的發展是不是就會完全不一樣了。然而,當我這樣想的時候,另外兩種想法也向我襲來:懶惰和倖存者偏差。
之前我從未經歷過攻擊,因此我沒有嚴肅對待我的線上安全問題。雖然我瞭解自己的風險狀況,但我總是懶得以更嚴謹的態度來保護我的資產。所以,我懇請你們從我的這些錯誤中吸取教訓。
