一年前,我经历了一场至今让我心有余悸的恐慌。有黑客在我不知情的情况下盗用了我的T-Mobile手机SIM卡,然后有条不紊地关闭了我对大多数账户的访问权限,并开始联系我的Facebook好友向他们借加密货币。显而易见的是,黑客采用的社交工程策略非常可笑,但如果我的好友不是那么精明,那么造成的后果可能是灾难性的。

快进一年时间,同样的事情再次发生在我身上,我手机的LTE信号在晚上9点左右中断,看起来是手机从通信网络中断开了。惊慌失措的我赶紧跑到电脑前,试图在更多损失发生前尽己所能进行补救。结果显示这次是虚惊一场,但我被搞得心跳加速,还冒了一身冷汗。我之前碰到过一次这样的事,我实在不想再经历第二次了。

可悲的是,我真有可能再次碰到,而你也有可能。盗用手机SIM卡这一类黑客攻击仍然十分猖獗,而这也指向了唯一一种解决方案:离线保存你的加密货币(以及差不多你的全部生活)。

别相信任何运营商

有关盗用手机SIM卡类黑客攻击的新闻报道可谓汗牛充栋。最近,加密货币领域的一位公关代表和投资人——迈克尔·特尔平(Michael Terpin)——因遭到黑客盗用其AT&T手机SIM卡而损失了2400万美元。目前,特尔平正在起诉运营商,索赔2.24亿美元。特尔平指控AT&T存在“欺诈和重大过失”,他的诉讼可能开创一个让运营商感到害怕的先例。

以下内容摘自安全行业记者布莱恩·克雷布斯(Brian Krebs)的博客:

特尔平声称,在2018年1月7日,有人在未经授权的情况下要求AT&T更换他的手机SIM卡,这导致他的手机无法使用,其手机SIM卡收到的所有短信和来电都被导向一台攻击者手中的设备。在得到这样的权限之后,攻击者得以重置他跟加密货币账户有关的登录凭证,并盗取了价值将近2400万美元的数字货币。

虽然我们可以质疑一位加密货币投资者居然把钱放在一个在线钱包而且只用短信验证进行保护,但我们自己又使用了多少依赖电邮或短信保护的服务呢?我们当中有多少人能够抵御让特尔平吃了大亏的黑客攻击呢?

还有一位加密货币持有者名叫纳米克·祖比(Namek Zu’bi),他的手机SIM卡也遭到了黑客盗用,黑客登录进了他的Coinbase账户,换掉了他的电邮地址,试图从他的银行账户直接扣款。

“当黑客接管了我的账户时,他们试图从我银行账户直接扣款购买加密货币。但由于我在他们之前冻结了银行账户,所以那个Coinbase账户似乎产生了银行退单拒付(chargebacks)。这样,Coinbase对我说,抱歉,你不能恢复你的账户,而我们也没法帮助你;但如果你想使用这个账户,你有3000美元的退单拒付需要处理。”他说道。

现在,祖比面临着一个不同的问题:Coinbase指责他拖欠了3000美元,而且拒绝让他恢复对自己账户的访问权限,因为他无法通过黑客更改后的电邮地址进行验证。

他说:“我试图求助于Coinbase的热线,他们本应该在这种情况下提供帮助,但却毫无头绪,即便我告诉他们黑客更改了我原先账户的电邮地址,又用我的邮箱注册了一个新的账户。在那之后,我一直在等待所谓的‘专家’给我发电邮(原本的规定是4个工作日作出回复,但现在已经过去8天了),我仍然被锁在自己的账户之外,因为Coinbase的客服人员无法对我进行验证。”

这真是令人沮丧的经历。

“作为加密货币的狂热支持者和投资者,这件事令我感到困惑的是,作为应该提供机构级托管解决方案的市场领导者之一,他们却几乎无法处理基本的账户盗用欺诈。”祖比说道。

我们该如何保护自己?

我使用Trezor的硬件钱包已经有一段时间了,我把它放在家外的一个安全地点,并在另一个地点保存单独的种子记录。我持有的加密货币不多,但即便只是少数几个比特币,进行安全的存储也是有意义的。归根结底,如果你持有加密货币,你现在就是你自己的银行。相信别人(包括法定银行在内)能够保障你的数字货币的安全,那堪称痴心妄想。哎呀,我其实也不信任Trezor,但他们似乎是目前安全存储的唯一解决方案。

在我第一次遭到黑客攻击时,我发布了由加密货币交易所Kraken提供的建议,它们在今天仍然适用:

打电话给你的运营商,并且:

  • 为你的账户设置密码/PIN码

  • 确保密码适用于所有的账户更改操作

  • 确保密码适用于账户中的所有数字操作

  • 询问运营商忘记密码会怎样

  • 询问运营商密码遭窃会怎样

  • 研究冻结账户

  • 研究锁定手机SIM卡

  • 添加高风险标志

  • 关闭基于网页的在线管理账户

  • 阻止别人注册到你的在线管理系统

  • 黑进自己的账户

  • 看看黑客会泄漏什么信息

  • 看看你能做出什么账户更改

他们还建议你把自己在运营商那里注册的电邮地址改得面目全非,并使用跟自己常用账户完全隔离的一次性手机或Google Voice号码,以用作双因素短信验证和报警。

可悲的是,做到所有这一切是相当困难的。而且,运营商也没有让事情变得更简单。今年5月,一位名叫保罗·罗森茨韦克(Paul Rosenzweig)的27岁男子成为手机SIM卡盗用攻击的受害者,尽管他把SIM卡和账户进行了绑定。运营商T-Mobile一位居心不良的员工绕开了这种安全保护机制,窃取了罗森茨威格名下只用三个字母注册的独特Twitter和Snapchat账户。

归根结底,没有什么是绝对安全的。这里的结论很简单:如果你也在加密货币圈子里,那就想好了要遭到黑客攻击,想好了那种经历令人痛苦和沮丧。你现在所做的事情——设置真正的双因素安全验证,把加密货币离线存储到硬件钱包,辛勤备份,保护好自己的密钥——这些从长期来看将为你带来更好的结果。归根结底,你不会希望在早上醒来时发现手机离线,而你所有的加密货币都被乔尔·奥尔蒂斯(Joel Ortiz)那样的黑客偷走,后者是一位大学生,他现在正因“13起身份盗窃、13起黑客攻击和2起盗窃”面临牢狱之灾。而可悲的是,在他被捕后,他偷走的那些加密货币都未能追回。

翻译:王灿均(@何无鱼)

声明:本文来自TechCrunch中文版,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。