导读:一天时间,Coinbase账户里价值10万美元的加密资产飞灰烟灭!Bitgo的工程主管SeanCoonce以为只是因为不小心摔了手机导致SIM故障失去了移动服务,不曾料到这却是一场黑客盗币的信号。
上周三,我丢失了价值10万美元的加密货币。这笔钱在一天内就因为一次“SIM卡转移攻击”从我的Coinbase账户中消失了。
这件事已经过去好几天了,我整个人都非常沮丧。食不知味,夜不能寐,觉得自己被焦虑、懊悔和难堪的感觉浸没。
这是我人生中最昂贵的一课,我想与尽可能多的人分享我从这次事件中得到的经验教训,希望借此提高大家对这类SIM卡攻击的认识,从而加强你们在线身份的安全性。
01攻击的细节
你可能会先问一个问题,究竟什么是“SIM卡转移攻击”?为了讲清楚攻击发生的原由,需要大家先来看一下典型的在线身份验证。对于大多数人来说,下面这张图应该看起来很熟悉:
Vitalik:未来的以太坊升级或可实现在手机上运行全节点:9月5日消息,以太坊联合创始人Vitalk Buterin在韩国区块链周期间表示,从长远来看,我们有计划维护完全验证的以太坊节点,你可以在手机上运行它。
Vitalik强调了解决以太坊网络中心化问题必须解决的六个关键点,并称全节点是以太坊追求更高去中心化程度的重要组成部分。他还提到了以太坊的路线图,其中包括使用“Verkle树”的“无状态客户端”。
今日早些时候消息,Vitalik Buterin表示,节点中心化是以太坊面临的主要挑战之一,应通过降低和简化节点的运行成本来解决该问题,但完美的解决方案可能需要再等10年甚至20年。他认为,以太坊整体上最紧迫的问题是实现更高水平的可扩展性。[2023/9/5 13:19:58]
?我们手机里的SIM卡把手机号码和手机绑定在了一起;?当我们忘记邮箱账号的登录密码时,可以要求邮箱发送一个验证码给你的手机,这个验证码会被用于恢复你的邮箱账号;?我们的邮箱地址与许多在线服务绑定在了一起。
Gate.io发布安卓手机APP 2.6.7 beta版本,新增量化策略及现货网格交易功能:据官网公告,Gate.io发布安卓手机APP 2.6.7 beta版本,APP内新增量化策略功能,用户可通过九宫格量化策略入口进入;新增现货网格交易功能,用户可选择AI配置或手动创建网格策略。新用户可到官网APP下载界面进行下载,老用户可直接通过左侧栏升级。详情见原文链接。[2020/9/16]
1、授权的SIM转移
允许用户将SIM卡转移到另一台设备,是移动运营商提供的一项服务。这项服务允许用户将他们的电话号码转移到新设备上。在大多数情况下,当我们有了新手机或者要更换移动运营商时,就会发生这种情况,这是完全合法的要求。
2、SIM卡转移攻击
但是,“SIM转移攻击”是由未经授权的攻击者执行的恶意转移。攻击者把你的SIM卡转移到他们控制的手机上。然后,攻击者在你的电子邮件账户上启动密码重置流程。验证码会从你的电子邮件提供商发送到你的电话号码,攻击者会截获该电话号码,因为他们现在控制了你的SIM卡。
假冠状病手机应用程序试图获取比特币赎金:DomainTools的安全研究团队发现了一款假冒的Android应用程序COVID19Tracker,这个程序可以锁定用户的手机屏幕,并索要100美元的比特币作为赎金。(Decrypt)[2020/3/17]
下图逐步概述了攻击的流程:
?首先,攻击者会收集你的个人信息,把你锁定为攻击目标;?启动SIM卡转移申请,利用收集到的个人信息向移动服务商证明是你本人发起的申请,并要求移动服务商将你的SIM卡转移到一个由他们控制的设备上;?现在你的SIM被转移到了一个由攻击者控制的设备上;?重置邮箱密码,等待邮箱将验证码发到他们的手机上;?邮箱将验证码通过短信发送至攻击者的手机上;?攻击者获取验证码,开始重置你的邮箱密码,现在他们已经获得了你的手机和电子邮箱的控制权。
声音 | 安全公司:钱包助记词遭破解 手机root权限成关键因素:针对近日有数字钱包被破解助记词一事,北京链安安全专家c00lman分析,视频中的攻击者采用了一台越狱手机,利用root权限,打开了存在该钱包私有目录下的配置文件preferences.xml,读取加密后的助记符字段seedPhraseEntropy。而后攻击者通过逆向手段,还原了加密算法,对加密后的助记符数据进行解密,还原了助记符。
但是这段攻击视频有个前提,攻击者需要获取root权限,这在大部分攻击场景下是不具备的。事实上,该钱包已经对助记符进行了加密存储,只是攻击者逆向出了加密算法。对于这类问题,更关键的是相关应用厂商采用安全公司专业的root安全性检查方案,在用户手机系统被破解时及时提醒用户。
对此,北京链安建议:相关钱包应用加强对手机环境进行root权限检查,而各位用户也应该避免在越狱手机上使用钱包、交易所App。[2018/11/22]
一旦攻击者控制了你的电子邮箱账户,他们就会开始逐步控制你通过该电子邮件管理的任何对他们而言有利可图的在线服务。如果他们再做得过分些,甚至可以锁定你的账户而你却对此无能为力。
金色晨讯 | 纳斯达克拟推出通证化证券平台 HTC旗下Exodus将发布区块链手机:1.纳斯达克拟推出通证化证券平台 为发行STO提供便利。
2.莫迪:区块链可以改善农产品供应链。
3.HTC旗下Exodus区块链智能手机将于近期发布。
4.赞比亚银行表示数字货币非本国法定货币。
5.南非区块链创业公司创设免费在线区块链大学。
6.Squire与富士康旗下桦汉科技合作制造新一代矿机。
7.ADA创始人指责Cardano基金会不作为 将接管基金会。
8.盛松成:无法同时实现货币政策有效和去中心化。
9.杭州发布83家重点拟上市企业名单 嘉楠耘智上榜。[2018/10/14]
这里,我们稍微花点时间整理下你通过一个谷歌账户绑定的大量个人敏感信息:
?你的住址、出生日期和其他私人的个人身份信息;?有机会获取你或者你伴侣的照片;?访问你的日程表和近期的旅行日程;?访问你的私人电子邮件、文档和历史搜索记录;?获取你的联系人列表,这些联系人的私人信息以及你们之间的关系;?获取你用电子邮箱地址作为身份验证来源的所有其他在线服务。
02这次攻击事件的时间线
通过上面的铺垫,相信你对攻击者如何进行此类SIM卡转移攻击以及攻击会造成的后果有了一定的了解。
下面,我和大家详细说一下这次攻击发生过程:攻击是如何发起的,攻击过程中我的经历,以及万一你也遇到类似的情况可以做些什么来保护自己。
攻击发生的时间线,可以分为四个部分:
1、我所经历的:在我看来,我所经历的这些事或者如果你遇到类似的事情,都是你可能受到攻击的明确指标。
2、攻击者当时正在做什么:黑客潜入我的Coinbase账户时采用的策略。
3、我感受到的威胁级别:在这些事件发生时,我感受到的威胁级别。
4、我应该拥有的威胁级别:事后想来,在这些事情发生时,我希望自己拥有的威胁级别。
03经验教训和建议
这是我人生中最昂贵的一课。我在一天内永远地失去了这笔对我而言意义重大的净资产。
以下是我的一些如何加强防护措施的建议:
1、使用硬件钱包保护你的密码:无论什么时候,如果你没在交易,就把你的密码保存在硬件钱包/离线钱包/多重签名钱包,而不是把资金闲置在交易平台中。
我把Coinbase当作一个银行账户,一旦遭受攻击,没有任何可以挽回的措施。虽然我比大多数人更了解把钱放在交易平台的风险,但从未想过这种事情会发生在我身上。我现在非常后悔没有对我的加密货币采取更有力的安全措施。
2、基于手机短信服务的二次验证并不够安全:无论你想保护线上资产还是线上身份,请使用一些硬件装备来增强防护措施。这样一来,攻击者为了实施攻击,就必须在现实生活中拿到你储存密码的装备。
谷歌身份验证器和Authy可以将你的移动设备转变为这样的硬件装备,从而提高安全性,但我建议你更进一步:选一个你可以实际控制且不会被攻击者的Yubikey。
3、减少你的上网痕迹:抑制你想要在网上分享个人身份信息的冲动。在发生攻击时,所有这类公开的数据信息都有可能会被用做发起攻击的工具。
4、谷歌的语音二次验证:在某些情况下,在线服务不支持基于硬件的二次验证。这种时候,你最好创建一个谷歌语音电话号码并使用谷歌语音电话作为你二次验证的工具。
4、再创建一个电子邮件地址:不要将所有东西都绑定到同一个电子邮件地址。为一些非常重要的在线身份再创建一个邮件地址。这个邮件地址得保密,不要将它用于任何其他内容,使用基于硬件的二次验证增强这个邮件地址的安全性。
5、离线密码管理器:使用密码管理器输入密码,最好是能使用离线密码的管理器,比如PasswordStore。
04小结
我讲出这次事件始末,目的是让大家知道遭到攻击是多么容易的一件事,希望大家采纳我在上面提出的建议来加强你们的在线身份安全性。
我本可以做一些非常简单、轻松的防护措施来保护自己,我也总忍不住地去想“如果我····”,那事情的发展是不是就会完全不一样了。然而,当我这样想的时候,另外两种想法也向我袭来:懒惰和幸存者偏差。
之前我从未经历过攻击,因此我没有严肃对待我的在线安全问题。虽然我了解自己的风险状况,但我总是懒得以更严谨的态度来保护我的资产。所以,我恳请你们从我的这些错误中吸取教训。
5月31日,由火币矿池举办的“HPT闭门座谈会”在火币中国总部举行。本次会议围绕HPT生态,对火币矿池、HPT的发展现状和未来目标展开.
火星财经APP一线报道,OKEx将于今日14:00上线USDK的法币交易业务,交易手续费及挂单手续费均为零.
2017年无疑是加密市场的大牛市,这一年无论是山寨还是主流币都成爆炸式增长,涌现出千倍币、百倍币。无论投资哪种代币,收益都是非常可观的。·在经历2018年的暴跌后,市场陷入长达半年的熊市.
HT看涨期权 代码周HT看涨0607期权标的HT合约类型欧式看涨期权计价单位USDT最小价格单位0.0001USDT合约比例1:4.
前言: 随着区块链应用的范围和深度逐渐扩大,安全是必须重视的课题。区块链系统的安全受多个层面的影响,包括基础设施、算法设计、协议设计、代码实现、安全管理等.
对于全球的加密货币交易来说,今年是艰难的一年,本月也是特别艰难的一个月。据CryptoAware报道,从2011年到现在,由黑客和欺诈造成的加密货币领域的损失已经超过了26亿美元.