想确保你的比特币安全?先保护好电话号码再说!
作者 | David Gogel
译者 | Guoxi
不久前,加密数字货币投资人、Wharton FinTech 前总裁 David Gogel 先后收到了两封来自不明黑客的勒索邮件。
第一个邮件这样写道:
“我将在30分钟内关闭你所有的加密数字货币交易所账户和电子邮件账户,同时我还将清空你谷歌网盘和谷歌相册中的所有文件,仔细想想看,你会去省这一个比特币么?还是说你想要自己所有的信息都消失不见?附比特币账户。”
半小时左右,他收到了第二个邮件,黑客提高了价码:
“只剩五分钟了,向这个账户中发送两个比特币,我就会恢复你的邮箱账户,你的谷歌网盘和谷歌相册也将平安无事。”
不用黑客提醒,作为加密数字货币投资人,David Gogel 在交易所中存的钱肯定比一个比特币要值钱得多。但苦于手机 SIM 卡被劫持、Google 账号被锁,而受害者本人又无法让运营商和 Google 的客服在第一时间介入,错过挽回损失的黄金时间的 Geogel 只好在 Twitter 上求助于白帽黑客:
“AT&T,你们真不要脸!” Geogel 对于 AT&T 的服务大加鞭挞:
可能是 Twitter 上的传播引起了 AT&T 的注意,客服人员开始慢吞吞地回应,要求 Geogel 先提交一堆申请表……早已心急如焚的 Geogel 只好求律师帮忙:
另一方面,为了恢复邮箱和相册的数据,David Geogel 又开始寻求 Google 安全团队的联系方式:
事后总结的时候,David Geogel 意识到,在身份盗用、加密数字货币勒索和网络攻击的三连击下,自己帐户安全性和互联网隐私性早已名存实亡。在这些黑客面前,他的所有个人信息完全就像是在“裸奔”。
Geogel 继续写道:
令人痛心的是,我并不是第一个受害者,也肯定不会是最后一个受害者。为了避免和我一样走上烈士墙,你需要做一些额外的预防措施,比如说 把基于短信验证码的双重认证机制(two-factor authentication,2FA)改为基于第三方应用程序(Google 身份验证器或 Duo)和基于硬件安全令牌(Google Titan 或 Yubico)的双重认证机制 ,当然了也可以借助大公司的力量,就比如说推动大公司投资并应用加密货币,从而使加密货币的整个使用流程更加标准化和规范化,这也是降低被黑客攻击风险的最佳方法。
为此,我在社会公益请愿网站 Change.org 上起草了一份请愿书,希望万维网联盟(World Wide Web Consortium,W3C)、美国联邦贸易委员会和美国联邦调查局等标准制定部门和执法部门将使用基于硬件安全令牌的双重认证机制列为所有互联网公司的首要任务。
为此,Geogel 深入调查了针对于他的这次黑客事件的前因后果,他发现电话号码的保护正处于黑客攻击的漩涡中心。对于 AT&T 在黑客事件的失职,David Geogel 已经准备提起集体诉讼。在诉讼有结果之前,我们可以先来看一看 Geogel 的深度分析:
在互联网上,你远没有想象中那么安全
我们用数据来说话。根据美国联邦调查局互联网犯罪投诉中心(IC3)提供的数据,在 2013 年到 2017 年的五年时间里,中心共接到约 140 万起投诉,总报告损失约 55.2 亿美元,其中由互联网促成的犯罪活动数和损失金额数都大幅度上升。
美国联邦调查局互联网犯罪投诉中心发布的总投诉数和总损失数(资料来源: https://pdf.ic3.gov/2017_IC3Report.pdf )
我们来看一下 2017 年的数据。其中社交媒体促成的犯罪活动共 19986 起,造成了 5700 万美元的损失,加密货币促成的犯罪活动共 4139 起,造成了 5900 万美元的损失。在整个 2017 年,身份盗用的受害者共有 17636 名,造成的损失高达 6900 万美元。
2017年接到的各犯罪类型的受害者数目(资料来源: https://pdf.ic3.gov/2017_IC3Report.pdf )
2017年接到的各犯罪类型的损失数目(资料来源: https://pdf.ic3.gov/2017_IC3Report.pdf )
我们生活在一个日益数字化和超连通(hyperconnected)的世界中,科技的发展在方便了我们的同时也给我们带来了很多的威胁,黑客对我们构建并过度依赖的不完善系统中的漏洞一清二楚。同黑客博弈,我们所用的工具严重落后于对手,被攻击的风险无处不在。黑客手握多个攻击向量,而且根据木桶效应,我们这些不完善系统的安全性只取决于那些安全性最薄弱的点。甚至可能我在本文中讲述的一些被攻击细节,也会给未来的黑客带来攻击的灵感,促使他们整合现有的攻击向量,从而发起更加猛烈的攻势。
2018 年的犯罪活动报告尚未公布,但不难想象受害者、投诉案件和造成的损失量都将显著提高。
请注意,美国联邦调查局互联网犯罪投诉中心提供的数据中并不包含手机 SIM 卡被非法移植的受害者数量,但我认为这些攻击方式会更频繁地出现。
在统计这些数据时,我在一篇 2016 年的博客中发现了一件很有意思的事, 美国联邦贸易委员会的首席技术专家 Lorrie Cranor 也没能躲过黑客的攻击 ,成为了一名手机 SIM 卡被非法移植的身份盗用受害者。
“2013 年 1 月,共报告了 1038 起手机 SIM 卡被非法移植的身份盗用案件,占当月报告给美国联邦贸易委员会的所有身份盗用案件的 3.2%。截至 2016 年 1 月,手机 SIM 卡被非法移植的身份盗用案件已增至 2658 起,占当月向美国联邦贸易委员会报告的所有身份盗用案件的 6.3%,且受害者分布在所有的四大主流移动运营商中。”
根据以往的经验,黑客会将目光主要集中在 Instagram 名人以及任何在社交媒体上谈论加密货币的人身上。虽说加密货币可以来交勒索的赎金,但也有一些“传统”的黑客要求受害者将赎金转移到指定的离岸银行账户中。加密货币勒索是一种新型的犯罪形式,虽然加密货币赎金的流动通常都是可追溯的(许多加密货币中的账户都是假名的而非匿名的),但个人和机构很少有可以遵循的法律先例和防护措施。使用离岸银行账户的勒索在法庭上有许多的先例,因为银行为了追踪资金的流动做了许多额外的安全保障措施。
这些攻击方式暴露了一个可以用来盗用任何人身份的漏洞,如果政治家、记者、企业家以及一些关键人物的身份被盗用,带来的后果将不堪设想。
黑客如何进行攻击?针对最薄弱环节:移动运营商。
在非法移植手机 SIM 卡的攻击中,黑客会使用你的姓名和电话号码来接管你的电话号码帐户,从而盗用你的身份。具体的流程是怎样的呢?
在美国,各大移动运营商都允许客户携号转网,而携号转网往往会有一些运营商之间的管理真空,所以大部分非法移植手机 SIM 卡的攻击都是钻了携号转网的空子。法律要求客户在携号转网时提供能证明身份的确切信息,通常也就是提供一些个人身份信息(Personally Identifiable Information,PII),就比如说你的社会安全号码(Social Security Number,SSN,类似于中国的居民身份证号码)的最后 4 位数字,你的地址,出生日期等等。鉴于这些年来数据泄露问题层出不穷,许多大公司的数据库都遭到了黑客的攻击,对于黑客来说搜集这些信息并不是什么难事。
即使你的电话号码帐户信息在过去并没有被泄露,你并不能高枕无忧,不要忘了你可能在社交媒体上分享过大量的信息。除此之外,搜集信息的方式还包括网络钓鱼。这些黑客可以轻而易举地使用这些零碎的信息通过移动运营商的身份验证。
具体是怎么做的呢?
-
黑客来到移动运营商的营业厅,出示你的个人信息,伪装成你办理携号转网业务,从而盗走你的电话号码。
-
黑客会使用社会工程学(Social Engineering,即利用受害者的心理陷阱进行欺骗等手段,从而取得自身的利益,社会工程学是每个黑客的“基本功”)方法伪造一个故事,说服移动运营商的客户服务代表跳过安全验证步骤注册新的手机 SIM 卡。黑客可能无法提供你电话号码对应的密码,但他们会主动提及你的社会安全号码最后四位或其他的个人身份信息来说服客户服务代表。如果这一步没有成功,黑客会利用搜集到的零星信息不断尝试,直到骗过了某一个客户服务代表。
-
最恐怖的情况是,黑客入侵了运营商的内部网络或者是勾结运营商内部人员注册新的手机 SIM 卡,从而绕过运营商的账户安全性验证。在洛杉矶诉讼公司 Greenberg Glusker 于 2018 年 8 月 15 日提起的一项诉讼中,加密货币投资者兼企业家 Michael Terpin 声称,AT&T 公司(美国电话电报公司,一家移动运营商)的员工一直在为手机 SIM 卡移植诈骗团伙提供帮助。Michael Terpin 说,AT&T 公司未能保护他手机数据的安全,导致黑客窃取了价值 2400 万美元的加密货币。Terpin 要求 AT&T 公司支付 2380 万美元的补偿性赔偿金和 2 亿美元的惩罚性赔偿金。以下是诉讼的一些摘录:
最令人不安的是,尽管 AT&T 公司从众多案件中了解到,一些员工通过让黑客直接访问客户信息或帮助黑客绕过 AT&T 的安全性保障程序,积极与黑客合谋进行手机 SIM 卡移植诈骗,而 AT&T 公司对此置若罔闻,并没有改进其安全性保障措施。在最近的几起案件中,执法部门甚至证实了有 AT&T 公司的员工将直接与网络恐怖分子和窃贼合谋进行手机 SIM 卡移植诈骗作为一种获利手段。
因此,AT&T 公司的用户隐私保护系统成了名副其实的现代马其诺防线(法国在第一次世界大战后,为防止德军入侵而在其东北边境地区构筑的防御体系,而在第二次世界大战中,德军轻松绕过了马其诺防线攻击法国,现在主要指看似表面坚固,实际毫无价值的事物):使用许多令人放心的术语给用户一种信息很安全的错觉。
在这种情况下,AT&T 公司隐私保护程序的漏洞非常明显,这也遵循了 AT&T 公司一贯的行事风格。作为一名经验丰富,知名度很高的加密货币投资者,原告 Michael Terpin 是 AT&T 公司的长期忠实用户,他将敏感的私人信息委托给 AT&T 公司保管,并信赖 AT&T 公司的保证以及其基于法律的承诺。考虑到所有移动运营商关于保障客户数据安全性的大肆宣传,原告相信 AT&T 公司会坚守之前的承诺,给予自己的数据十足的安全保障,扼杀可能会导致数千万美元加密货币被盗的数据泄露风险。
在发生了一起不愉快事件之后,AT&T 公司自称对原告 Michael Terpin 的电话号码账户进行了额外的保护,而一名冒充 Terpin 先生的黑客轻而易举地从与黑客合作的 AT&T 公司内部人员处获得了 Terpin 先生的电话号码,而 AT&T 营业厅的客户服务代表也没有要求黑客提供有效的身份证明或提供 Terpin 先生设置的密码。
AT&T 公司安全保障措施的不完备导致 Terpin 先生的电话号码账户被黑客盗用,最终造成了超过 2400 万美元的加密货币损失。
AT&T 公司的行为使得黑客可以轻而易举地绕过安全性保障程序盗用 Terpin 先生的电话号码账户,最终导致了 Terpin 先生的加密货币失窃。AT&T 公司所作所为就像是一家酒店给了一个冒充客户的小偷客户房间和房间保险箱的钥匙,最终导致了客户存放在保险箱里的珠宝失窃。
AT&T 公司并没有采取任何措施来保护其近 1.4 亿个客户免受手机 SIM 卡移植诈骗。因此,AT&T 公司直接对这些诈骗负有责任,因为它在很清楚地知道其客户可能会遭受手机 SIM 卡移植诈骗的情况下仍坚持使用这种毫无意义的安全保障措施。AT&T 公司之所以对此熟视无睹,是因为它已经发展成了业界的巨无霸以至于不再关心这些安全问题。
作为其中的一名受害者,我在期待一场集体诉讼来从根本上解决该问题。
保护电话号码是确保在线账户安全的关键
如果黑客通过移植手机 SIM 卡盗用了你的电话号码帐户,你能怎么应对?简单说,你已经歇菜了。因为保护你的电话号码是才是确保你在线账户安全的关键。
一旦黑客在新手机 SIM 卡上激活了你的电话号码帐户之后,你的电话号码就掌握在黑客手中了。接着,黑客就会使用你的电话号码来获取身份验证消息,并重置你所有在线账户的密码。此时,你所设置的任何基于短信验证码的双重认证机制都变得毫无意义,因为你的电话号码已经被掌控在黑客手中,他可以轻而易举地拦截来自谷歌、苹果 iCloud、Facebook、Dropbox、银行、信用卡发卡机构以及加密货币交易所等任何第三方平台的身份验证信息;此外,许多公司会致电或发短信以确认客户身份,但这在此类情形下已毫无意义。
这就是我为什么要强调,控制了你的电话号码账户就等于控制了你所有的在线账户。
更恐怖的是,在你发现移动设备无服务之前,你可能都不知道自己已经被黑客攻击,甚至你可能只是认为这个地方信号不好。
想必大家都经历过移动设备无服务的时候,如果是因为黑客攻击那将是多么恐怖的事情。
然后,当黑客更改完你的密码,窃取了你的资金以及访问了你的其他私人信息时,你可能才会注意到在线帐户无法访问或同步的问题。
紧接着,你很可能会收到一封电子邮件(不要问我怎么知道的,还记得文章开头的电子邮件吗?经验都是血的教训堆起来的),指示你将比特币发送到指定的钱包地址以重新获得数据的访问权限。这一切都发生得非常快(通常在 1 小时之内),除非你当时恰好使用的是 WiFi(因为电话号码账户被盗用你将无法使用流量上网功能)或在黑客攻击期间你恰好打开着你的电子邮件帐户,否则你将失去所有的访问权限。
防御心得:你不可能免疫黑客攻击,但总有办法降低被攻击的风险
办法还是有的。你可以为自己的电话号码账户添加额外的安全性保障措施,就比如说为自己的电话号码账户创建一个密码。美国联邦贸易委员会要求移动运营商采取一些措施以检测和防范身份盗用诈骗。许多移动运营商允许客户为自己的帐户设置密码,因此对帐户进行任何更改之前都必须先提供密码。虽然移动运营商通常会这样规定,但这个过程也并不是 100% 安全的,也可能会受到攻击。就像一句古话所说,上有政策,下有对策,客户服务代表并不总会遵循这些规定。不过,有总比没有好,以下是我在美国联邦贸易委员会官网上摘录的一些信息:
AT&T 公司提供他们称之为“额外的安全性保障”功能。一旦激活,任何与 AT&T 公司的交互,无论是通过网页,还是通过客服热线,或是在营业厅现场办理,都需要客户提供密码。你可以通过 AT&T 在线帐户或手机上的 myAT&T 应用程序打开“额外的安全性保障”功能。请注意,当你使用这个密码登录在线账户时,页面上可能会出现一条选项询问你是否不再要求提供密码,不要接受这个选项,否则你将禁用“额外的安全性保障”功能。
Sprint 公司要求每个新客户在开户时设置 PIN 码和安全问题,因此无需采取额外的安全保障措施。
T-Mobile 公司允许客户为自己的账户建立客户照管密码(customer care password)。一旦建立,客户每次致电 T-Mobile 客服时都需要提供此密码。客户可以拨打 T-Mobile 客户服务热线或访问 T-Mobile 营业厅设置客户照管密码。
Verizon 公司允许客户设置帐户 PIN 码。客户可以通过在其在线帐户中编辑个人资料,致电客户服务热线或访问 Verizon 营业厅设置账户 PIN 码。此账户 PIN 码为电话交易和某些其他交易提供了额外的安全性保障。
平时你还可以采取以下几点预防措施:
-
不要随意分发你的电话号码。有选择性地将电话号码分享给与你有业务往来的公司,并严格限制分享的频率,因为每多一次分享,就多一丝风险。提示:不要在任何可能会引起黑客注意的帐户中分享你的主要电话号码,迫不得已时将主要电话号码替换为网络电话(Voice over Internet Protocol,VOIP)号码,例如谷歌语音号码,这样做能降低你主要电话号码被攻击的风险。特别是,将你的移动运营商帐户中的可信电话号码更改为你的网络电话号码,以便于在紧急情况下恢复电话号码的控制权。你可以使用密码和双重认证机制来保障此新号码的安全性。
-
使用密码管理器为每个在线帐户生成安全,唯一的密码。就比如说使用 1Password 或 Lastpass。提示:在密码管理器上启用基于硬件安全令牌(Google Titan 或 Yubico)的双重认证机制。如果你是社会活动家、记者或其他潜在的攻击目标(就比如说你持有加密货币),Google 的高级保护(Google Advanced Protection)是你保障安全的最佳选择,有了它你只需要记住自己的恢复代码并将其与护照一起存储。
-
不要使用或者直接禁用基于短信验证码的双重认证机制。 在 2018 年,双重认证机制已成为最常用也是最重要的帐户安全保障机制。然而,许多网站不支持任何双重认证安全性机制,有些网站仅支持基于短信验证码的双重认证机制,而这是一种有严重缺陷的安全保障措施,让用户产生一种很安全的错觉。的确,实现双重认证的最简单方法是使用短信验证码,即每次尝试登录受保护的在线帐户时都会收到带有访问验证码的短信。只有少数公司支持使用基于硬件设备的双重认证机制,这是企业和政府使用的最佳标准。
-
定期清理电子邮件的收件箱。删除可能包含你个人信息的电话帐单,银行对帐单以及其他电子邮件。提示:在你的电子邮件帐户和网盘中搜索与帐户信息相关的关键字,这也是黑客通常采取的第一个步骤,尽快删除或更改这些关键字。
-
如果你持有或投资加密货币,请将你的加密货币存储在冷钱包(如 Trezor、Ledger、纸钱包、硬件钱包等等)中。提示:清除私钥所有的使用记录。因为每个网站都可能会被黑客入侵,这只是一个时间问题。
-
尝试破解自己的在线账户,发现漏洞并修复漏洞。
血的教训:必须要让运营商负起责任来
-
黑客偷走并盗用了我的身份,AT&T 和 Google 带走了我的理智,当被黑客入侵时,客户服务部门和反欺诈部门都会成为信息的孤岛,短时间内我们无法与之建立联系。我们信任自己每天使用的服务。不过一旦黑客入侵,你就是一个人在战斗。
-
在便利性和安全性之间存在明显但很可惜的妥协。许多网站仅支持基于短信验证码的双重认证机制,而这是一个明显存在缺陷的安全保障措施。我们需要向公司施压,让这些公司升级自己的安全保障系统。这些服务提供商是否犯有严重过失,违反法定义务以及未能遵守其隐私政策中的承诺?我认为是的。我们不能寄希望于他们自己做出改变,在为时已晚之前我们需要团结起来,花一些事件参与到我的请愿活动中来,签署我为万维网联盟,美国联邦贸易委员会和美国联邦调查局起草的请愿书,希望能将基于硬件安全令牌的双重认证机制列为所有互联网公司的首要任务。
基于短信验证码的双重认证机制已经凉了
-
积极参与社交媒体是一把双刃剑。如果你想成为互联网上的思想领袖,你需要付出额外的安全性代价。需要注意的是,当下的机构和公司并不知道该如何应对不断变化的 21 世纪的新威胁。我并不认为我们能够应对更复杂的、由敌对国家幕后支持的网络攻击行为。
-
美国联邦调查局不赞同用户向黑客支付赎金,因为支付赎金并不能保证用户可以重新获得其数据的访问权限。此外,支付赎金会让黑客尝到甜头,从而将目光转向更多的人,并为犯罪分子提供有利可图的环境。
-
为什么我们随意共享的社会安全号码和电话号码会是我们在线账户身份的基石?密码学上的公私钥加密技术可以让第三方在不共享这些有价值数据的情况下验证我们的身份。密码学的进步和区块链技术的大规模采用在未来将改变这种现状。
手机号码作为中心故障点,一旦出问题就会给这些互相连接系统造成严重的破坏。当下,一些民众普遍信任的机构控制和管理着大量的信息。区块链技术可以帮助从当今信息的中心化存储库转移到去中心化程度更高、强健性性更好的容错网络中。区块链技术为我们描绘了一个不依赖于中心化组织来管理我们的数据,并把数字生活的控制权下放给我们用户的美好愿景。我们应该行动起来,争取自己数据的更大权利。
给美国受害者的建议:
如果你也不幸遭遇了黑客攻击,在美国的话,我的建议是这样的:
-
首先,致电你的移动运营商,禁用新手机 SIM 卡,并恢复对你电话号码的访问权限。
-
致电那些黑客盗用你身份进行欺诈行为的公司,尽可能快地恢复你的帐户并及时止损。进行欺诈备案并调取你的信用报告,监控或直接冻结你的信用额度,以防止黑客以你的名义开立新帐户。
-
《公平信用报告法案(The Fair Credit Reporting Act ,FCRA)》规定了身份盗用受害者的权利以及企业的责任。身份盗用受害者有权向企业索取与自己身份被盗有关的交易记录副本,就比如说信用卡的申请情况。根据美国联邦法院《公平信用报告法案》的第 609(e)节,你需要按指定格式写一封用于从你的移动服务运营商处获取与身份盗用有关的业务记录的请求信。
-
向美国联邦贸易委员会报告身份盗用情况。
-
向美国联邦调查局互联网犯罪投诉中心(“IC3”)发起投诉。
-
向本地警察局提交报告。