Только медийное адаптивное
Только медийное адаптивное

Рост обмена SIM-картами: как и почему биткойнерам необходимо защищать себя

4

Использование номера телефона для аутентификации личности является плохой практикой безопасности. Передача биткойна третьему лицу, например, обмену криптовалютой или кредитному сервису, также снижает безопасность — «не ваши ключи, не ваши монеты» — это рекомендация по безопасности, которой часто пользуются в Twitter и в биткойн-подосфере.

Пример: в течение большей части последнего десятилетия комбинация этих двух методов привела к увеличению числа атак подкачки SIM-карт, заканчивающихся кражей биткойнов и других криптовалют.

Замена SIM-карты — это недорогой нетехнический способ для злоумышленников получить контроль над учетной записью беспроводного телефона жертвы. Чтобы осуществить атаку, хакеру необходимо знать, как операторы мобильной связи проверяют подлинность личности и некоторую часть информации о своей жертве. Часто для этого требуется только номер телефона жертвы.

Теперь есть однозначные свидетельства того, что большинство людей в Соединенных Штатах, у которых есть учетные записи телефонных номеров с операторами беспроводной связи, уязвимы для замены SIM-карт. Если у вас есть биткойн, который вы не хотите потерять, этот факт может быть еще более мучительным.

Повышение обмена SIM-картами

Этот повышенный потенциал замены SIM-карт был доказан в эмпирическом исследовании, опубликованном в январе 2020 года совместной группой профессоров и докторов наук. студенты факультета компьютерных наук Гарвардского университета и Центра политики информационных технологий Принстонского университета.

«Злоумышленник звонит вашему оператору, притворяется вами и просит перенести услугу на новую SIM-карту, которую злоумышленник контролирует», — пишет он. Арвинд Нараянанадъюнкт-профессор в Принстоне и один из авторов статьи, в суммирование через твиттер. «Это достаточно плохо, но сотни сайтов используют SMS для двухфакторной аутентификации, подвергая риску ваши аккаунты».

В ходе исследования был проверен протокол аутентификации пяти основных операторов беспроводной связи США — AT & T, T-Mobile, Tracfone, US Mobile и Verizon. После попытки замены SIM-карты на 10 разных аккаунтах с предоплатой для каждого оператора, авторы обнаружили, что все пять операторов использовали методы аутентификации, которые считались небезопасными.

«В совокупности эти выводы помогают объяснить, почему обмен SIM-картами является такой постоянной проблемой», — заявил Нараянан.

Еще более тревожно, что замена SIM-карт — это такая проблема, что Нараянан признал, что SIM-карта его телефона была заменена во время исследования. Когда он позвонил, чтобы сообщить о мошенничестве, отдел обслуживания клиентов его перевозчика не смог проверить его даже после проверки его злоумышленника. В итоге Нараянан восстановил контроль над своей беспроводной учетной записью, применив свое исследование, чтобы воспользоваться уязвимостью протокола своего оператора.

К счастью, Нараянан сделал это быстро. Как только злоумышленник получает контроль над беспроводной учетной записью жертвы, у него появляется множество возможностей нанести ущерб. Как указывается в исследовании, это в значительной степени связано с небезопасными методами аутентификации, которые пользователи устанавливают для доступа к цифровым ресурсам в Интернете, такими как 2FA на основе SMS или вызовов (они небезопасны, когда злоумышленник имеет доступ к вашей беспроводной учетной записи) и вопросами безопасности. включая легко доступную общедоступную информацию, такую ​​как девичья фамилия матери. Кроме того, в ходе исследования также были обнаружены 17 веб-сайтов, на которых учетные записи пользователей могут быть скомпрометированы только на основе замены SIM-карты (основа для этого метода взята из набора данных twofactorauth.org). Вскоре после выпуска исследования T-Mobile сообщила авторам, что после его рассмотрения оно прекратило использование «последних номеров» для аутентификации клиентов.

Таргетирование биткойнов через SIM-свопы

Смена SIM-карты происходила в течение многих лет. Многие цели обмена SIM-картами попадают в одну, если не в обе следующие категории: знаменитость с дорогой учетной записью в социальных сетях, например, генеральный директор Twitter, Джек Дорси или кто-то, кто владеет разумным количеством криптовалюты. Несколько владельцев криптовалют были SIM-карта поменялась в прошлом году в разгар биткойн-бега.

В декабре 2019 года журналист и подкастер криптовалюты Лора Шин выпустила эпизод подкаста о своем собственном опыте недавней жертвы подмены SIM-карт. Шин не ограбили, но ее опыт примечателен тем, что она показала, что, несмотря на то, что она ранее освещала эту тему в 2016 году и активно защищала свои счета много лет назад, она все еще оставалась уязвимой.

В конечном счете, то, что делает владельцев биткойнов более привлекательными целями обмена SIM-карт, чем другие клиенты беспроводных операторов, заключается в том, что транзакции биткойнов регистрируются в блокчейне, поэтому их нельзя отменить. В отличие от беспроводных учетных записей, похищенные биткойны властям гораздо сложнее конфисковать (хотя это можно отследить с помощью анализа цепочки блоков).

Кроме того, в отличие от большинства банковских онлайн-счетов, только несколько криптовалютных бирж, таких как Coinbase, Gemini, ItBit и Binance.US, защищены страховкой FDIC, которая страхует депозиты в банках-членах на сумму до 250 000 долларов США. Рассматривая ценность биткойна как децентрализованного и неизменного актива, это имеет смысл. Но это также означает, что безопасность никогда не должна восприниматься как должное.

Интересное  Украина: новый президент хочет легализовать Bitcoin & Co.

Колеса правосудия

Владельцы криптовалюты с высокими доходами, такие как Майкл Терпин, предприниматель и инвестор, который стал одним из основателей первого ангельского фонда для энтузиастов биткойнов, фонда Битангелов, слишком осведомлены об этом принципе.

«Колеса правосудия медленно затираются», — сказал Терпин в интервью Биткойн Журнал,

Правосудие по делу Терпина запуталось в продолжающемся судебном процессе против AT & T в размере 224 миллионов долларов, который он подал в августе 2018 года. Дважды организованная группа хакеров обменивала SIM-карты, подключенные к счетам Терпина в T-Mobile и AT & T. По его словам, впервые группа злоумышленников «обманула людей в двух магазинах в Бостоне в течение часа друг от друга, чтобы сдать мои учетные данные для обеих учетных записей».

После этих обменов хакеры получили чуть больше половины биткойнов на обменном счете, который Терпин открыл «когда биткойн был около 100 долларов».

После этой первой замены SIM-карты Терпин попросил обоих своих операторов о большей безопасности. Оказалось, что AT & T и T-Mobile каждый предлагал «более высокий уровень защиты». Но и опция T-Mobile для проверки в магазине «нет порта», и добавление AT & T шестизначного пин-кода учетной записи оказались бесполезными, когда, как Терпин Утверждается, что в январе 2018 года 19-летний сотрудник магазина розничной торговли AT & T в Нью-Джерси отказался от пароля учетной записи Терпина в обмен на взятку в размере 100 долларов.

Взамен группа злоумышленников закончила с альткойнами 24 миллиона долларов.

«Правильно, — сказал Терпин, — единственное, что они могли получить, — это« чушь », но в тот день они оказались очень ценными».

В отличие от биткойнов, у похищенных альткойнов Терпина (TRIG, SKY и STEEM) не было доступных вариантов резервного копирования закрытого ключа аппаратного кошелька.

Несмотря на то, что последний обмен SIM-карты Терпина произошел более двух лет назад, он сказал, что каждую неделю с ним связывается новая жертва замены SIM-карты, обращающаяся за помощью. Если они в штате, он направляет их в свою юридическую команду и Калифорнийскую целевую группу РЕАКТ.

Lil ’Swappers

Терпин также участвует в гражданском иске против Николаса Трулья, 21-летнего жителя Нью-Йорка, обвиняемого в краже 24 миллионов долларов посредством обмена SIM-карт. Первоначально Truglia обвиняли в краже криптовалюты на 1 миллион долларов у руководителя Кремниевой долины и создателя StopSIMCrime.org Росса Уайта.

Терпин утверждал, что доказательства на другом слушании о мошенничестве с SIM-картой от Truglia — резервное копирование файла iCloud — указывают на то, что Truglia также может быть подменщиком SIM-карты после его атаки на 24 миллиона долларов. В тот же день, когда Терпин атаковал, Трулья отправил родным и друзьям сообщения, в которых указывалось, что он украл из кошелька криптовалюту на сумму более 20 миллионов долларов, превратил ее в биткойн и его жизнь изменилась навсегда. Хотя расследования оставались спокойными, Терпин утверждал, что Трулья был одним из членов децентрализованной группы по обмену SIM-карт из 26 человек.

Собирая воедино дело Труглии с несколькими другими арестами, обвинениями и приговорами за кражу SIM-карт за кражу валюты, журналист-расследователь Брайан Кребс выложил подробные описания этих персонажей. По словам Кребса, все они мужчины и моложе 25 лет.

В январе 2020 года появилось сообщение об обвинении 18-летнего жителя Канады Сэми Бенсаки в неудачной замене SIM-карты Дона Тапскотта, главы исследовательской группы Blockchain. Эта история связывает многие цели обмена SIM-карт в сообществе криптовалют с их участием в ежегодной конференции Consensus, проводимой в Нью-Йорке. Он также подтвердил отчет Кребса, связав кражу криптовалюты с использованием SIM-карты с пользователями онлайн-форума, известного как OGUsers.com.

«Я думаю, что все всегда будут застигнуты врасплох принятием молодым поколением новых технологий», — сказал Мэтт Оделл, эксперт по биткойнам и конфиденциальности, участвующий в нескольких проектах, таких как совместное размещение подкаста «Tales From the Crypt».

Как и в случае самого массового усыновления, похоже, что кража биткойнов и связанных с ними SIM-карт — это явление, инициированное молодым поколением для эксплуатации жертв более примитивной системы.

Выбор безопасности, а не удобства

«Законы, разрабатываемые вокруг этой технологии, всегда сильно отстают», — сказал Тайлер Моффитт, аналитик по безопасности из Webroot, ссылаясь на уникально опасный сценарий, которому владельцы биткойнов оказываются благодаря своим операторам беспроводной связи. «Я не могу видеть (ужесточение законов о защите прав потребителей услуг связи) в течение следующих пяти лет, и к тому времени хакеры получат немалые деньги за кражу криптовалюты на основе обмена SIM-картами».

Моффитт относится к числу тех, кто считает, что когда дело доходит до взвешивания удобства и безопасности, люди всегда будут склоняться к удобству. Именно так были разработаны учетные записи операторов беспроводной связи и американского общества в целом.

Интересное  Отчет о биткойнах сентябрь 2019 г. - инвентаризация после краха

Но громкие голоса начинают высказываться. 9 января 2020 года письмо, подписанное шестью законодателями США, было отправлено Аджиту Паю, председателю Федеральной комиссии по связи (FCC), который ранее занимал должность генерального советника Verizon. Выступая за усиленную защиту от мошенничества с подменой SIM-карт для клиентов беспроводных сетей, в письме указывалось на заявление следователей из Целевой группы REACT об общем повреждении подкачки SIM-карт: «Они знают о более чем 3000 жертвах подкачки SIM-карт, на которые приходится 70 миллионов долларов убытков. по всей стране », — говорится в письме.

В этом письме также рассматривается вопрос о предполагаемых утверждениях о том, что взлом SIM-карт стал более изощренным. Злоумышленники теперь также взламывают компьютеры беспроводных операторов, обманывая или заставляя сотрудников розничной торговли запускать вредоносные программы в виде протоколов удаленных рабочих столов на своих компьютерах в дополнение к откровенному взяточничеству.

«Вы видели сообщения о нарушениях… связанных со взломом операторов беспроводной связи, включая компьютеры в розничных магазинах и те, которые используются агентами по обслуживанию клиентов?» — спросили в письме.

Сделав еще один шаг, законодатели и авторы этого письма признали, что обмен SIM-картами представляет собой реальную угрозу национальной безопасности. Это согласно утверждению, что многие сотрудники государственных учреждений используют различные уровни 2FA. В соответствии с этим предположением, организованная группа хакеров или субъектов национального государства может получить доступ к учетным записям электронной почты государственных должностных лиц, а затем использовать этот доступ несколькими существенно вредными способами, такими как выдача ложного экстренного оповещения из предупреждений и предупреждений Федерального агентства по чрезвычайным ситуациям. система.

Осенью 2019 года Терпин направил аналогичное письмо в FCC с более конкретной просьбой.

«Я рекомендую FCC сделать так, чтобы все носители в США покрывали свои пароли», — написал он.

Это основной недостаток безопасности операторов беспроводной связи — в отличие от банков, авиакомпаний и отелей, где доступ к учетной записи является «пропущенным» или «ошибочным» на основании наличия пароля или нет, пароли беспроводной учетной записи доступны для сотрудников оператора. Главным образом, это для удобства, когда клиент ломает или теряет свой телефон, а затем отчаянно нуждается в возвращении в наш мобильный, ориентированный на мир. Тем не менее, эта основная уязвимость безопасности выглядит намного хуже, учитывая, что многие магазины, даже с именами крупнейших операторов, на самом деле являются франшизами, которыми владеют и управляют третьи стороны.

«Это не просто сотрудники телекоммуникационной компании», — сказал Гвидо Аппенцеллер, директор по продуктам в Yubico, компании, занимающейся защитой аппаратных средств, наиболее известной своими изобретениями YubiKey. «Каждый сторонний розничный сотрудник может получить доступ к этим базам данных».

В дополнение к тому факту, что минимальная почасовая оплата для стороннего розничного перевозчика в некоторых местах составляет всего 10 долларов в час, становится ясно, почему у розничного работника может быть стимул утечки нескольких тысяч паролей учетных записей по цене 100 долларов в год. поп-музыка.

Защита себя от подмены SIM-карт должна быть частью Биткойна

В биткойн-культуре есть общая черта, которая, возможно, была заложена в ее коде с самого начала — обретение истинной свободы означает принятие нового уровня личной, финансовой и технологической ответственности. Конфиденциальность и операционная безопасность ничем не отличаются, и зачастую они приносятся в жертву не ради удобства, а ради выгоды от таких действий, как торговля и кредитование. В целом, возможность потерять больше — лучшая мотивация для повышения безопасности Биткойн, но важно не стать жертвой кражи, предполагая, что ваши сумки недостаточно велики.

Этот отказ от соглашения является одной из причин, почему операторы беспроводной связи не оптимизируют работу для пользователей биткойнов. Большинство людей не станут мишенями для обмена SIM-картами, но, по словам Аппенцеллера, если кто-то «скажет более 10 000 долларов в биткойн-кошельке, замена SIM-карты, безусловно, станет экономически привлекательной для хакеров».

Есть также примеры более изощренных и легко доступных вредоносных атак, которые обходят 2FA на основе приложений без необходимости замены SIM-карты. К ним относятся использование мошеннических веб-сайтов-мошенников, таких как тот, что использовался во время последнего взлома Binance, а также более зловещие угоны или отравления DNS, обычно используемые субъектами национальных государств для шпионажа, такие как операции морская черепаха.

Хорошая новость заключается в том, что существуют технологии для защиты от подмены SIM-карт и более сложных фишинговых атак. Самый сильный метод 2FA, доступный на рынке массовых потребителей, — это U2F, или двухфакторная аутентификация с использованием USB. Использование U2F устраняет риски, связанные с SIM-картами, как риск, а также «фишинг и другие атаки типа« злоумышленник в середине »и другие вредоносные атаки», согласно Appenzeller.

Его компания Yubico создала U2F с Google и с тех пор использовала его в своем флагманском продукте YubiKey. Таким образом, YubiKey является аппаратным кошельком, эквивалентным 2FA, и на момент написания этой статьи ни один из его пользователей не стал жертвой кражи, связанной с обменом SIM-карты.

Интересное  Так преступники используют биткойны и другие криптовалюты

Как избежать замены SIM-карты

В этой статье мы поговорили с несколькими экспертами по безопасности и членами сообщества биткойнов. Основываясь на этой информации, вот список того, что можно и чего нельзя делать, чтобы избежать атаки подкачки с SIM-карты:

Для начинающих и средних пользователей Биткойн

Держите биткойны в аппаратном кошельке и перестаньте использовать телефон 2FA.

«Защитите свои личные ключи с помощью аппаратных устройств и мультисигналов. Не используйте кошельки на основе браузера, поскольку они имеют огромные поверхности атаки. Используйте аппаратный 2FA для любого веб-приложения, которое его поддерживает. Не используйте SMS 2FA и не разрешайте сбрасывать / восстанавливать онлайн-аккаунты по номеру телефона ».

— Джеймсон Лопп, главный инженер Bitcoin

Если вы не совершаете сделки с биткойнами, не держите их на бирже. Посмотрите этот список бирж, которые потеряли деньги своих клиентов от хаков и другой гнусной деятельности.

Обсудите, как повысить безопасность с вашим оператором телефонной связи и используйте аутентификаторы на основе приложений.

«Вы можете попросить больше безопасности с вашим оператором телефонной связи. Вы не должны использовать SMS-аутентификаторы. Используйте приложения для аутентификации, такие как Google Authenticator или Authy ».

Тайлер Моффит

Для тех, кто поделился своей личностью со своей учетной записью беспроводного телефона (большинство из нас)

Пересмотрите политики безопасности вашего оператора беспроводной связи и других учетных записей в Интернете. Вы можете проверить это, пытаясь взломать ваши собственные учетные записи. Twofactorauth.org — хорошее место для начала.

«Я думаю, что в долгосрочной перспективе реальный вопрос заключается в том, почему мы до сих пор используем номера телефонов? Самый простой способ проверить, насколько вы защищены, — это попытаться войти во все свои учетные записи с помощью номера телефона, если у вас есть уязвимость, связанная с заменой SIM-карты ».

— Мэтт Оделл

Для тех, кто думает, что их биткойн безопасен с аппаратным кошельком в одиночку

Используйте менеджер паролей в сочетании с вашими биткойн-кошельками. Регулярно проверяйте свою процедуру, даже если она проста.

«Я использую менеджер паролей, это отличная практика. Каждый, с кем я работаю, использует менеджер паролей ». — Гвидо Аппенцеллер

«Что касается управления паролями / ключами, я использую надежный менеджер паролей с несколькими зашифрованными резервными копиями USB. По крайней мере, один вдали от дома (и) один в доме. Я всегда приношу с собой копию, когда путешествую, время от времени провожу тестирование и обзор настроек с моей женой и другим братом. (Большая часть (моих) стековых стеков (есть) на аппаратных кошельках, а затем умеренные суммы в кошельке Bitcoin Core, который я использую для пополнения всех своих Casa, мобильных приложений, Lightning, бета-клиентов и т. Д. »

— Гай Суонн, ведущий подкаста Cryptoconomy

Для высшей степени безопасности, дружелюбной к потребителям

Получите хотя бы один YubiKey, они относительно недорогие.

«Купите несколько YubiKeys (для избыточности) и используйте их для 2FA, когда это возможно. Многие менеджеры паролей поддерживают YubiKey 2FA, в то время как многие веб-приложения теперь поддерживают U2F 2FA, который также поддерживается более новыми YubiKeys. Если веб-приложение поддерживает только скользящие коды TOTP, вы все равно можете защитить эти данные на YubiKey с помощью приложения аутентификации Yubico. «

— Джеймсон Лопп

Чтобы избежать более сложных атак

Добавьте в закладки конфиденциальные веб-страницы аккаунта.

«Взлом Binance — хороший пример того, когда приложение 2FA может дать сбой. В этом случае они ищут Binance в Google и выбирают первую веб-страницу, которая в данном случае была фальшивым веб-сайтом, который был помещен в топ поиска Google через платные продвижение в течение дня. Вы должны добавить в закладки чувствительные веб-страницы, которые хакеры могут попытаться подделать ».

Тайлер Моффит

Проактивно улучшить ваш OPSEC

Установите оповещение Google для «Смена SIM-карты» или «Хакер» и «Судебное дело».

«Как гражданское лицо, трудно рассматривать OPSEC как нечто важное для других (законопослушных) граждан. Многие из лучших примеров OPSEC в реальном мире — хорошие OPSEC и плохие OPSEC — часто извлекаются из судебных документов, в которых подробно описывается преступная организация. Другие хорошие примеры часто поступают из разведки или военных секторов и редко кажутся применимыми ».

— @ 5auth, криптомаркет и исследователь темного рынка.

Для получения дополнительной информации о том, как обезопасить свой биткойн от атак подкачки с SIM-карты и что делать, если с вами что-то случится, см. Замена Библии на SIM-карте, Атаки, обмен SIM-картами и т. Д., Как правило, случаются, когда биткойн находится на стадии «бычьего хода».

. (tagsToTranslate) 2fa (t) майкл терпин (t) замена сима (t) беспроводная связь (t) yubico

Только медийное адаптивное
Только медийное адаптивное
Только медийное адаптивное

Оставьте ответ

Ваш электронный адрес не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

id id in ante. odio ipsum justo venenatis