2 月 22 日,巨鯨用戶幣印創始人潘志彪丟失了 1500 個比特幣(價值 1500 萬美金)和接近 6 萬個比特幣現金(價值 3000 萬美金),目前價值 2.6 億元。其比特幣地址為:1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone;BCH 地址為:1Hw8dtVC9bdxDz1su9Jx3GXTgjR75FJcMK。
慢霧安全團隊目前推測:該大戶私鑰自己可以控制,他在 Reddit 上發了 BTC 簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要 SIM 卡認證,也就是說有用戶系統,可以開啟基於 SIM 卡的短信雙因素認證,猜測可能是 Blockchain.info。
目前,針對數字貨幣市場的 SIM 卡交換攻擊正在興起,本文介紹了一些遭遇 SIM 交換攻擊的案例,並且介紹了許多實用的方法來保護你的數字賬號。
使用電話號碼進行身份驗證是一種不安全的做法。將比特幣交給加密貨幣交易所或者借貸服務之類的第三方也降低了安全性:”不是你的私鑰,就不是你的幣“是一條安全性建議,這句話在 Twitter 和比特幣圈子裡比較流行。
一個其如其分的例子:在過去十年的大部分時間裡,很多用戶都把數字貨幣放在交易所或者中心化借貸服務中致使 SIM 交換攻擊越來越頻繁,最終導致用戶的比特幣和其他加密貨幣被盜。
對於攻擊者來說,SIM 交換攻擊是一種低成本、低技術門檻的竊取用戶手機賬戶的手段。發起攻擊的方式是,攻擊者需要知道電信運營商是如何驗證身份的以及有關被攻擊者的某些個人信息。但是通常情況下,僅僅需要受害者的電話號碼就可以發起攻擊。
目前,有明確的證據表明,美國多數擁有電信運營商號碼的用戶都極易受到 SIM 交換的攻擊。如果你不想丟失持有的比特幣,知道這一事實可能更會讓你感到不安。
SIM 交換攻擊的興起
由哈佛大學計算機科學系和普林斯頓大學信息技術中心的教授以及博士生組成的聯合研究小組在 2020 年 1 月發表的一項實證研究中證明了 SIM 交換攻擊潛在風險的增加。
普林斯頓大學副教授,該論文作者之一的 Arvind Narayanan 在推特上總結道:”攻擊者冒充你的身份給你的運營商打電話,並要求將服務轉移到攻擊者控制的一張新 SIM 卡上。“他還說道:”這本身已經夠糟糕了,更別提你有數百個網站都使用的手機短信來進行兩步驗證,SIM 交換攻擊使你的帳戶處於危險之中。“
這項研究測試了美國五大無線電信運營商的身份驗證協議:AT&T、T-Mobile、Tracfone、US Mobile 以及 Verizon。在每個運營商都嘗試在 10 個不同的預付費帳戶進行 SIM 交換攻擊之後,作者發現所有五個運營商都使用了被認為不安全的身份驗證方法。
Narayanan 表示:“綜合來講,這些研究發現有助於解釋 SIM 交換攻擊為什麼長久以來一直都存在。”
更麻煩的是,SIM 交換攻擊還帶來一個問題。Narayanan 承認在研究期間他遭遇了的 SIM 卡交換攻擊。當他給運營商打電話報告這一欺詐行為時,其運營商的客戶服務部門由於之前已經通過了對攻擊者的驗證,就無法對 Narayanan 進行驗證了。但是,Narayanan 通過運用他的研究成果,利用了運營商的協議漏洞,最終重新獲得了對自己賬戶的控制。
對於 Narayanan 來說,他是幸運的,因為他立刻就意識到了這一攻擊,並且重新找回了自己的賬戶。一旦攻擊者控制了受害者的電信帳戶,他們就可以進行各種破壞。正如研究中所述,這在很大程度上是由於用戶為在線訪問數字資產時使用了不安全的身份驗證方法。比如,使用基於手機短信或基於手機通話的兩步認證(2FA)方法(一旦攻擊者可以訪問您的電信帳戶,這些方法就都不安全了)或者使用極易獲得到答案的問題答案驗證方法(比如,設置的問題是媽媽的婚前姓氏是什麼)。此外,該研究還發現了 17 個網站,僅憑 SIM 交換攻擊就可以破壞用戶帳戶(此方法的基礎數據來自 twofactorauth.org 網站的數據集)。該研究報告發布後不久,T-Mobile 就告知了作者,在對其研究結果進行審查後,他們已停止支持使用 “最近撥打的號碼” 來進行客戶身份驗證。
通過 SIM 交換攻擊來盜取比特幣
SIM 交換攻擊已經進行了很多年。許多 SIM 交換攻擊的目標可以歸為以下兩個類別:擁有珍貴社交媒體帳戶的名人,例如 Twitter 的首席執行官 Jack Dorsey ;或者擁有不菲數量加密貨幣的持有者。去年,在比特幣牛市鼎盛時期,幾位加密貨幣持有者都遭遇了 SIM 交換攻擊。
2019 年 12 月,加密貨幣專欄記者和播客主 Laura Shin 發佈了一個播客,其中講述了她作為最近的 SIM 交換攻擊受害者的經歷。 Shin 的賬號並未遭受財產損失,但她的經歷值得注意,因為據她透露,儘管她之前曾在 2016 年報道過該主題,並在幾年中一直積極保護自己的賬號,但是她的賬號仍然很脆弱。
最終,使比特幣持有者比起其他人更容易成為 SIM 交換攻擊目標的原因是,比特幣交易記錄在區塊鏈上,因此它們不能被撤銷。與其他的線上帳戶不同,當局想要抓住盜取比特幣的人要困難得多(儘管可以通過區塊鏈分析來追蹤被盜的幣)。
此外,與大多數在線銀行賬戶不同,只有少數加密貨幣交易所(如 Coinbase、Gemini、ItBit 和 Binance)由 FDIC 保險提供擔保,該保險為會員銀行中的存款提供最高 25 萬美元的保險。當將比特幣的價值視為一種去中心化的、不變的資產時,這是很合理的。但是,這也意味著安全永遠不應被視為一種理所當然的服務。
正義之輪
高淨值加密貨幣所有者都熟知此事,比如 Michael Terpin,他是一名企業家,與他人共同創立了首個針對比特幣愛好者的天使基金——Bitangels 基金。
Terpin 在接受《比特幣雜誌》採訪時談到:“正義之輪轉得很慢。”
在 Terpin 案中,大法官卷入了他於 2018 年 8 月針對 AT&T 進行的 2.24 億美元的訴訟中。有組織的黑客進行了兩次攻擊,交換了 Terpin 的 T-Mobile 和 AT&T 手機帳戶的 SIM 卡。據 Terpin 稱,第一次攻擊時,一群攻擊者“在一個小時內欺騙了波士頓這兩家運營商營業廳中的員工,使運營商更換了我的 SIM 卡,讓攻擊者接管了我的認證憑證。”
在進行了 SIM 卡交換之後,黑客在 Terpin 開設的數字貨幣交易所帳戶中盜取了半個多比特幣,“當時比特幣的價格大約是 100 美元。”
在第一次遭遇 SIM 交換攻擊之後,Terpin 要求這兩個運營商提供更高的安全性。於是,AT&T 和 T-Mobile 各自提供了“高級配置保護選項”。但是,正如 Terpin 聲稱的那樣,在 2018 年 1 月,T-Mobile 的“店內驗證才能換卡服務”和 AT&T 提供的的“六位數帳號密碼服務”都被證明是毫無作用的。新澤西州 AT&T 營業廳的一名 19 歲員工在接受了 100 美金的賄賂之後,向攻擊者透露了 Terpin 的帳戶密碼。
最終,這波攻擊者盜取了價值 2400 萬美元的山寨幣。
“是的,” Terpin 說,“那些攻擊者們拿到的都是些垃圾幣,但是恰好那天那些垃圾幣的價格都很高。”
與比特幣不同,Turpin 被盜的山寨幣(TRIG,SKY 和 STEAM)都沒有支持的硬件錢包來備份他的私鑰。
即便距離 Terpin 的上一次遭遇 SIM 交換攻擊已經過去兩年多了,Terpin 說,每週都有新的 SIM 交換攻擊的受害者聯繫他尋求幫助。如果這些受害者是美國人,Terpin 就會把他的法律團隊介紹給他們,或者讓他們去聯繫加州的 REACT 行動小組。
年輕的攻擊者們
Terpin 還參與了針對 Nicholas Truglia 的民事訴訟,Nicholas Truglia 是一名 21 歲的紐約居民,被指控通過 SIM 卡交換攻擊竊取了 2400 萬美元。Truglia 最初被指控從 Ross White 的賬號竊取了價值 100 萬美元的加密貨幣,Ross White 是一名硅谷高管,創立了 StopSIMCrime.org (譯者注,該網站致力於阻止 SIM 卡犯罪)。
Terpin 聲稱,根據 Truglia 在其他 SIM 卡欺詐保釋聽證會上的證據(一個 iCloud 備份文件)表明,Truglia 可能也是竊取他 2400 萬美元案件背後的 SIM 卡交換攻擊者。在 Terpin 遭遇攻擊的同一天,Truglia 向他的家人和朋友們發送了一封郵件,他寫道,他從數字錢包中竊取了價值超過 2000 萬美元的加密貨幣,並且已經將其轉換為比特幣。他在郵件中說,他的生活徹底改變了。儘管調查仍在進行中,但 Terpin 聲稱,Truglia 是由 26 人組成的無中心 SIM 卡交換攻擊小組的成員之一。
調查記者 Brian Krebs 將 Truglia 的案子與其他幾起 SIM 卡交換案件所逮捕、指控以及宣判的對象結合起來,對這些人物進行了詳細描述。根據 Krebs 的描述,這些犯罪者都是男性,年齡普遍在 25 歲以下。
2020 年 1 月,一份報告指出,一名 18 歲的加拿大居民 Samy Bensaci 未能成功攻擊 Don Tapscott 的 SIM 卡,後者是區塊鏈研究小組的負責人。這個案例將加密貨幣社區中的許多 SIM 攻擊目標與其在紐約市舉行的年度共識會議的出席者聯繫起來了。它還證實了 Krebs 的報告,該報告中將 SIM 盜竊行為的目標與一個名為 OGUsers.com 的論壇中的用戶聯繫在了一起。
比特幣和隱私專家 Matt Odell 稱:“我認為,每個人總是對年輕一代採用的新技術感到措手不及。” Matt Odell 參與過多個項目,其中包括共同主持《密界奇談(Tales From the Crypt)》播客。
就像比特幣本身被大規模使用一樣,比特幣和相關的 SIM 卡 交換盜竊手段似乎是一種由年輕一代發起的、剝削較原始系統的受害者的現象。
放棄便利,選擇安全
Webroot 的安全分析師 Tyler Moffitt 表示:“法律總是落後於新技術的創造。”他的這一番言論指的是比特幣持有者正處於由於其無線運營商造成的危險境地。“我並不覺得在未來五年內會出現更嚴格的無線運營商消費者保護法,恐怕到那時候,黑客已經通過基於 SIM 交換攻擊來盜取了大量加密貨幣,從而賺到了一大筆錢。”
許多人在便利性和安全性時都會選擇便利性,Moffitt 也是其中之一。這正是無線運營商賬戶的設計理念和整個美國社會的運行方式。
但是有人開始發聲了。 2020 年 1 月 9 日,六位美國議員簽署了一封聯名信,這封信是致美國聯邦通信委員會(FCC)主席 Ajit Pai 的一封信,Ajit Pai 曾擔任 Verizon 的總顧問。該信提倡加強針對無線運營商客戶的 SIM 交換欺詐保護,並且信中還指出,據 REACT 行動工作組就 SIM 交換造成的總損失的調查聲明稱:“他們瞭解到全國有 3000 多名遭受 SIM 交換攻擊的受害者,造成了總計 7000 萬美元的損失。
這封信還提到了,針對 SIM 卡交換黑客行為的指控變得更加複雜的問題。目前,攻擊者還可以通過欺騙或強迫運營商員工在其計算機上以遠程桌面協議的形式運行惡意軟件,從而直接入侵無線運營商的計算機中,而不僅僅是通過行賄的手段。
信中問道:“您是否看到過類似的入侵無線運營商的報道,包括對營業廳的計算機以及客戶服務代理商的計算機進行入侵的報道?”
讓該問題更進一步的是,立法者們和這封信的作者們意識到,SIM 卡交換攻擊對國家安全構成了非常現實的威脅。據稱,許多政府機構員工都在使用不同級別的 2FA 認證手段。假設一群有組織的黑客或某些國家的民族主義者可以通過該手段訪問政府官員的電子郵件帳戶,然後利用了該訪問權限進行了嚴重的破壞行為,例如從聯邦緊急事務管理局的系統中發出虛假的緊急警報。
Terpin 在 2019 年秋季向 FCC 也發了一封類似的信,其中包含更具體的請求。
他寫道:“我建議 FCC 讓所有美國運營商都要使用密碼。”
這是無線運營商的核心安全策略的失敗之處,與銀行、航空公司和酒店不同,無線運營商判斷無線帳戶的訪問權限不是完全基於密碼的,運營商員工也可以獲知用戶的無線帳戶密碼。這一設計主要是為了在客戶摔壞或丟失手機,然後急需使用無線賬號時,為客戶提供便利服務。然而,鑑於許多運營商營業廳,甚至以最大運營商名稱冠名的營業廳,實際上都是第三方運營的店,因此這種核心安全漏洞則顯得更加嚴峻。
硬件安全公司 Yubico 的首席產品官 Guido Appenzeller 說:“不僅僅是電信公司的員工,每個第三方營業廳的僱員都可以訪問這些數據庫。”Yubico 是發明著名的 YubiKey 的公司。
除了在某些地區,第三方運營商的員工最低時薪每小時低至 10 美元,基於這一情況,其實不難理解,為什麼這些運營商的僱員會以每個賬號 100 美元的價格洩露用戶的賬號密碼。
保護自己不受 SIM 交換攻擊應是比特幣安全的一部分
比特幣文化從一開始就達成了一個共識,那就是:要獲得真正的自由就意味著,自己要為自己的個人身份、資產以及技術負責。比特幣圈子的人們通常不會為了便利性而犧牲隱私性和安全性,但是人們會因為可以從交易以及借貸服務中牟利而犧牲它們。總體而言,造成的損失越多,提升比特幣安全性的動力也就越強。但是不要以為你的幣不多就不會成為被攻擊的對象。
比特幣與傳統業務之間的差異是無線運營商未針對比特幣用戶進行優化的原因之一。大多數的用戶並不會成為 SIM 交換攻擊的目標。但是,根據 Appenzeller 的說法,如果有人“號稱有價值超過 10,000 美元的比特幣錢包,使用 SIM 交換進行攻擊無疑在經濟上對黑客具有很強的吸引力”。
還有一些更復雜、更容易成功的惡意攻擊案例,它們繞過了基於應用程序的 2FA 驗證,因此都無需使用 SIM 交換攻擊。這些攻擊手段包括使用冒名的釣魚網站(例如上次 Binance 黑客攻擊中所使用的釣魚網站)或者使用危害更大的 DNS 劫持或 DNS 汙染行為(例如海龜行動),但是這種攻擊手段通常都是由其他國家從事間諜活動的攻擊者發起的。
好消息是,技術上已經可以防止 SIM 交換攻擊和更復雜的網絡釣魚攻擊。大眾消費者市場上最強大的 2FA 方法是 U2F,即利用 USB 進行兩因素身份驗證。Appenzeller 表示,使用 U2F 可以消除基於 SIM 卡進行攻擊的風險,並消除了“網絡釣魚和其他中間人攻擊以及其他惡意軟件攻擊等攻擊方式”。
Appenzeller 的公司 Yubico 與 Google 共同創造了 U2F,並在其旗艦產品 YubiKey 進行了應用。這樣,YubiKey 相當於一個 2FA 驗證的硬件錢包。截止撰寫本文時,還沒有一個使用該產品的用戶遭受 SIM 交換的相關攻擊。
如何避免 SIM 交換攻擊
為了編纂本文,我們與幾位安全專家和比特幣社區的成員進行了交流。根據這些信息,列出了以下避免遭受 SIM 卡交換攻擊的“要做”和“不要做”的列表:
對於初學者以及普通的比特幣用戶
要將比特幣保存在硬件錢包中,不要使用基於手機的 2FA 認證。
“要使用硬件設備以及多重簽名機制來保護你的私鑰;要使用基於硬件的 2FA 驗證設備來訪問 Web 應用;不要使用短信 2FA 驗證方式;不要啟用能夠通過手機號碼重置或找回賬號的服務”—— Jameson Lopp,Bitcoin Core 的工程師
如果您不交易比特幣,請不要將比特幣保留在交易所賬號中。請參閱此交易所清單,其中涵蓋了因黑客攻擊以及其他惡意行為而導致用戶損失的交易所。
與您的電信運營商聯繫,加強其服務的安全性,並使用基於應用程序的身份驗證器,比如 Google 的身份驗證器或者 Authy。—— Tyler Moffit
對於使用手機帳戶共享身份的用戶(我們絕大多數人)
重新檢查您的電信運營商和其他在線帳戶的安全策略。您可以嘗試入侵自己的帳戶來進行測試。 可以從 Twofactorauth.org 開始。
從長遠來看,我認為真正的問題是為什麼我們仍然使用電話號碼?檢查您是否安全的最簡單方法是嘗試使用您的電話號碼進入所有帳戶,如果可以的話,您可能就會遇到 SIM 卡交換漏洞。—— Matt Odell
對於那些認為僅使用硬件錢包就能保證比特幣安全的用戶
將密碼管理器和您的比特幣錢包結合起來使用。定期測試您的程序,儘管這一程序十分簡單。
“我就正在使用密碼管理器,這是一個很棒的實踐。每個和我共事的人都在使用密碼管理器。”Guido Appenzeller 說道。
“就密碼管理器或者密鑰管理器而言,我使用了一個支持多個加密 USB 備份的可靠密碼管理器。一旦我離開家,我總是帶一份備份出門。我的大部分數字資產都放在硬件錢包上,然後我會在 Bitcoin Core 開發的錢包中存入適量的錢,這筆錢用來為我的 Casa、移動應用、閃電支付、測試階段的客戶端等提供支付資金。”—— Guy Swann,播客 Cryptoconomy 的主播
對於既希望對消費者友好,又希望獲得最高安全性的用戶
去買一個 YubiKey 吧,它真的不算貴。
“多買幾個 YubiKey 吧(用於冗餘),並儘可能將其用於 2FA 認證。許多密碼管理器都支持 YubiKey 2FA 認證。現在許多 Web 應用程序都支持 U2F 2FA,新款的 YubiKeys 也支持。如果網絡應用僅支持 TOTP(基於時間的一次性密碼),您仍然可以使用 Yubico 身份驗證器將數據安全地保存在 YubiKey 上。”—— Jameson Lopp
對於希望抵禦更復雜攻擊的用戶
將敏感帳戶網頁加入瀏覽器的書籤。
“Binance 被攻擊是基於應用程序的 2FA 認證何時可能失去其安全性的一個很好的例子。在這個案例下,用戶在 Google 的搜索結果中找到 Binance 並選擇打開了排名第一的網頁,然而這是一個釣魚網站。該網站通過一天的付費促銷競價排名活動把自己的網頁推到了 Google 搜索的頂部。您應該把敏感網頁添加到瀏覽器的書籤中,因為黑客很可能會嘗試偽造這些網頁。”—— Tyler Moffitt
積極改善你的 OPSEC(操作安全)
為“SIM 卡交換”或“黑客”和“法院訴訟”設置 Google 警報。
對於(守法)公民,很難將 OPSEC 視為一種重要的事物。在現實世界中,永遠不乏好的 OPSEC 以及糟糕的 OPSEC 的例子。很多案例都是從詳細描述犯罪組織的法庭文件中提取出來的。也有其他優秀的例子,它們通常來自於情報機構或者軍事領域,而這不太適用於普通人。—— @5auth,數字貨幣市場以及暗網市場研究員
有關如何保護您的比特幣免受 SIM 交換攻擊以及如果發生意外時如何處理的更多信息,請參閱《 SIM 交換攻擊聖經》。SIM 交換以及其他類型的攻擊通常發生在比特幣的牛市時期。
關注我並轉發此篇文章,私信我“領取資料”,即可免費獲得InfoQ價值4999元迷你書!
閱讀更多 InfoQ 的文章
