一年前,我經歷了一場至今讓我心有餘悸的恐慌。有黑客在我不知情的情況下 盜用了我的 T-Mobile 手機 SIM 卡 ,然後有條不紊地關閉了我對大多數賬戶的訪問權限,並開始聯繫我的 Facebook 好友向他們借加密貨幣。顯而易見的是,黑客採用的社交工程策略非常可笑,但如果我的好友不是那麼精明,那麼造成的後果可能是災難性的。
快進一年時間,同樣的事情再次發生在我身上,我手機的 LTE 信號在晚上 9 點左右中斷,看起來是手機從通信網絡中斷開了。驚慌失措的我趕緊跑到電腦前,試圖在更多損失發生前盡己所能進行補救。結果顯示這次是虛驚一場,但我被搞得心跳加速,還冒了一身冷汗。我之前碰到過一次這樣的事,我實在不想再經歷第二次了。
可悲的是,我真有可能再次碰到,而你也有可能。盜用手機 SIM 卡這一類黑客攻擊仍然十分猖獗,而這也指向了唯一一種解決方案:離線保存你的加密貨幣(以及差不多你的全部生活)。
別相信任何運營商
有關盜用手機 SIM 卡類黑客攻擊的新聞報道可謂汗牛充棟。最近,加密貨幣領域的一位公關代表和投資人——邁克爾·特爾平(Michael Terpin)——因遭到黑客盜用其 AT&T 手機 SIM 卡而損失了 2400 萬美元。目前,特爾平正在起訴運營商, 索賠 2.24 億美元 。特爾平指控 AT&T 存在“欺詐和重大過失”,他的訴訟可能開創一個讓運營商感到害怕的先例。
以下內容摘自安全行業記者布萊恩·克雷布斯(Brian Krebs)的 博客 :
特爾平聲稱,在 2018 年 1 月 7 日,有人在未經授權的情況下要求 AT&T 更換他的手機 SIM 卡,這導致他的手機無法使用,其手機 SIM 卡收到的所有短信和來電都被導向一臺攻擊者手中的設備。在得到這樣的權限之後,攻擊者得以重置他跟加密貨幣賬戶有關的登錄憑證,並盜取了價值將近 2400 萬美元的數字貨幣。
雖然我們可以質疑一位加密貨幣投資者居然把錢放在一個在線錢包而且只用短信驗證進行保護,但我們自己又使用了多少依賴電郵或短信保護的服務呢?我們當中有多少人能夠抵禦讓特爾平吃了大虧的黑客攻擊呢?
還有一位加密貨幣持有者名叫 納米克·祖比(Namek Zu’bi),他的手機 SIM 卡也遭到了黑客盜用,黑客登錄進了他的 Coinbase 賬戶,換掉了他的電郵地址,試圖從他的銀行賬戶直接扣款。
“當黑客接管了我的賬戶時,他們試圖從我銀行賬戶直接扣款購買加密貨幣。但由於我在他們之前凍結了銀行賬戶,所以那個 Coinbase 賬戶似乎產生了銀行退單拒付(chargebacks)。這樣,Coinbase 對我說,抱歉,你不能恢復你的賬戶,而我們也沒法幫助你;但如果你想使用這個賬戶,你有 3000 美元的退單拒付需要處理。”他說道。
現在,祖比面臨著一個不同的問題:Coinbase 指責他拖欠了 3000 美元,而且拒絕讓他恢復對自己賬戶的訪問權限,因為他無法通過黑客更改後的電郵地址進行驗證。
他說:“我試圖求助於 Coinbase 的熱線,他們本應該在這種情況下提供幫助,但卻毫無頭緒,即便我告訴他們黑客更改了我原先賬戶的電郵地址,又用我的郵箱註冊了一個新的賬戶。在那之後,我一直在等待所謂的‘專家’給我發電郵(原本的規定是 4 個工作日作出回覆,但現在已經過去 8 天了),我仍然被鎖在自己的賬戶之外,因為 Coinbase 的客服人員無法對我進行驗證。”
這真是令人沮喪的經歷。
“作為加密貨幣的狂熱支持者和投資者,這件事令我感到困惑的是,作為應該提供機構級託管解決方案的市場領導者之一,他們卻幾乎無法處理基本的賬戶盜用欺詐。”祖比說道。
我們該如何保護自己?
我使用 Trezor 的硬件錢包已經有一段時間了,我把它放在家外的一個安全地點,並在另一個地點保存單獨的種子記錄。我持有的加密貨幣不多,但即便只是少數幾個比特幣,進行安全的存儲也是有意義的。歸根結底,如果你持有加密貨幣,你現在就是你自己的銀行。相信別人(包括法定銀行在內)能夠保障你的數字貨幣的安全,那堪稱痴心妄想。哎呀,我其實也不信任 Trezor,但他們似乎是目前 安全存儲的唯一解決方案 。
在我第一次遭到黑客攻擊時,我發佈了由加密貨幣交易所 Kraken 提供的建議,它們在今天仍然適用:
打電話給你的運營商,並且:
- 為你的賬戶設置密碼/PIN 碼
- 確保密碼適用於所有的賬戶更改操作
- 確保密碼適用於賬戶中的所有數字操作
- 詢問運營商忘記密碼會怎樣
- 詢問運營商密碼遭竊會怎樣
- 研究凍結賬戶
- 研究鎖定手機 SIM 卡
- 添加高風險標誌
- 關閉基於網頁的在線管理賬戶
- 阻止別人註冊到你的在線管理系統
- 黑進自己的賬戶
- 看看黑客會洩漏什麼信息
- 看看你能做出什麼賬戶更改
他們還建議你把自己在運營商那裡註冊的電郵地址改得面目全非,並使用跟自己常用賬戶完全隔離的一次性手機或 Google Voice 號碼,以用作雙因素短信驗證和報警。
可悲的是,做到所有這一切是相當困難的。而且,運營商也沒有讓事情變得更簡單。今年 5 月,一位名叫 保羅·羅森茨韋克(Paul Rosenzweig)的 27 歲男子成為手機 SIM 卡盜用攻擊的受害者,儘管他把 SIM 卡和賬戶進行了綁定。運營商 T-Mobile 一位居心不良的員工繞開了這種安全保護機制,竊取了羅森茨威格名下只用三個字母註冊的獨特 Twitter 和 Snapchat 賬戶。
歸根結底,沒有什麼是絕對安全的。這裡的結論很簡單:如果你也在加密貨幣圈子裡,那就想好了要遭到黑客攻擊,想好了那種經歷令人痛苦和沮喪。你現在所做的事情——設置真正的雙因素安全驗證,把加密貨幣離線存儲到硬件錢包,辛勤備份,保護好自己的密鑰——這些從長期來看將為你帶來更好的結果。歸根結底,你不會希望在早上醒來時發現手機離線,而你所有的加密貨幣都被 喬爾·奧爾蒂斯(Joel Ortiz)那樣的黑客偷走,後者是一位大學生,他現在正因“13 起身份盜竊、13 起黑客攻擊和 2 起盜竊”面臨牢獄之災。而可悲的是,在他被捕後,他偷走的那些加密貨幣都未能追回。
Techcrunch
John Biggs@johnbiggs / Aug 21, 2018
閱讀更多 STEP智能科技 的文章
