黑客亲述: "倾家荡产,是你们的事! "
“倾家荡产,是你自己的错!”
近日,一个名为 Daniel 的黑客在接受采访时透露,他利用"SIM 卡交换诈骗(SIM swap scam)"绕过双重身份验证盗窃了总共价值50万美元的加密货币。
诈骗过程很简单,只需3步:
- 首先,黑客给电信公司打电话,哭诉他自己的 (其实是你的)SIM 卡丢失了;
- 然后,他们要求将你的手机号重定向到他们的手机号;
- 最后,通过拦截双重身份验证文本或窃取存储在电子邮件账户中的密码。
只是一群倒霉鬼罢了
每年有数千万美元的加密货币通过 SIM 卡交换诈骗的方式被盗。
尽管电信公司内或多或少存在某种协议来阻止这种情况发生,但据 Daniel 透露, 作为黑客,他们很容易就可以绕过这些协议。
" 总有一些办法让他们相信你 。比如,你打电话假装在 Tele2(一家瑞典电信公司)工作,然后让他们帮你转发一个号码,在你学会“伪装”之前,你根本不需要打很多电话去刻意练习。"
一旦号码被重定向,黑客还可以使用 Gmail 或 Outlook 中的"忘记密码"选项。还可以通过语音呼叫手机获得验证码。
Daniel 还透露,很多人喜欢在电子邮件帐户中保留他们的密钥(比如私钥)副本,一旦黑客黑进你的账户后,也就能控制你的加密钱包,从而偷走你所有的加密货币。
Daniel 在某一次顶风作案时,他甚至发现了数字货币交易所的密码,这让他很轻松地进入了交易所,并将他成为「倒霉鬼」的加密资产转移到了自己的钱包中。
倾家荡产,是你自己的错
Daniel 通过不断指责受害者没有使用更好的安全措施,来为自己的恶行辩护。
"好吧,你什么感觉都没有。你永远不会见到那个人,而且所有的事情都是匿名的,所以你不会因此感到内疚。"
通过劫持手机号码来盗取加密货币已经成为了一个日益严重且极具危害的现象。作为法律行动的一部分,三家移动电话运营商也被指控收受贿赂。
750万美元,10年牢狱之灾
上周,加州高等法院命令21岁的诈骗犯 Nicholas Truglia 向 Terpin 支付7580万美元的赔偿金和惩罚性损害赔偿。
本月早些时候,就有来自美国密歇根州的9个人被指控密谋通过劫持 SIM 卡窃取价值约240万美元的数字货币。黑客团伙遍布美国和爱尔兰,自称为"The Community(社区)"。
今年初,一个名叫 Joel Oritz 的20岁美国加州男子成为第一个因劫持 SIM 卡而入狱的人。他承认通过劫持40个用户的 SIM 卡窃取敏感数据,从而在受害者那里盗取了500多万美元的资产。
去年,美国企业家、加密货币投资者 Michael Terpin 对 AT&T(美国最大固网电话服务供应商及第一大移动电话服务供应商)提起诉讼,要求获取赔偿金2亿美元,原因是 AT&T 因工作疏忽而允许黑客盗取他的账户,由此损失了价值2380万美元的加密货币。
在他的投诉内容信中,有这样一句话: "AT&T 所做的事就像一家酒店给了一个小偷一把房间钥匙和一把房间保险柜的钥匙、让小偷偷走保险柜里的珠宝一样愚昧。"
打击 SIM 卡犯罪
Robert Ross 是 Truglia 事件的另一个受害者,他在骗局中损失了100万美元。今年1月,他与其他几名受害者合作搭建了一个名为"Stop SIM crime(阻止 SIM 犯罪)"的网站,以提高人们对这类危险的认知。
"这是一个正在疯狂、肆意蔓延的网络危机,"Ross说。"我也相信这里面有某些运营商的‘功劳’。"
但幸运的是,SIM 卡交换诈骗相对容易防范。主要从以下2点进行防范:
- 不使用手机号码进行双重身份认证,而是使用 Google 或 Authy 代替;
- 使用诸如 Ledger 或 Trezor 之类的硬件钱包,在交易所之外存储你的加密货币;
加密货币行业仍然缺乏安全感
据 The Block 网站的一份最近报告显示,有超过 13.5亿美元 的加密货币从交易所被盗。但尽管如此,目前市值 2290亿美元 的加密货币行业仍然严重缺乏保险业务。去年11月,来自 Coindesk 的一份报告显示,加密交易所和托管人的保险总额仅仅约为 60亿美元 。
如果你把这个数字与各大交易所数十亿美元的日交易量相比(比如币安,其24小时交易量可高达16亿美元),这个数字简直是九牛一毛。
但好在有些人已经在努力尝试了。
比如,某公司正在为使用其加密货币钱包服务的客户提供高达5000万美元的保险。其目的在于,当发生外部安全漏洞或恶意攻击行为时,为使用其钱包的用户提供财产保护。
当然,加密货币的保险业务是收费的,且存在一些打包套餐,用户需要根据自己的个人需求选择套餐并支付一定的费用。
如果用户钱包内的数字货币被盗,保险公司就会进行相应的赔偿。 但用户也不是在任何情形下都可以获得赔偿。
比如,对于一些风控机制过于宽松的公司,就需要考虑是否按价赔偿了。用户的安全问题,更多的还是靠自己。
“我并不是特别活跃,我仅仅攻击了20个人左右,就获得了50万美元, 但他们并不知道我是谁(大笑) 。”
作者 | 乔治
出品 | 区块链大本营(blockchain_camp)