TED:区块链入门丨如何防范SIM卡攻击?_加密货币

本文作者:CoboVault安全练习生

2019年9月,网络安全公司AdaptiveMobile发现了SIM卡存在一个严重的漏洞「Simjacker」,最近该公司公布了一份容易受到Simjacker攻击的的国家名单,包括了五大洲的29个国家。

2018年8月15日,美国投资者MichaelTerpin向AT&T提起了一起价值高达2.24亿美元的诉讼。因为他认为这家电信企业向黑客提供了访问他手机号码的途径,从而导致了一场重大的加密货币盗窃事件。MichaelTerpin是一位总部位于波多黎各的企业家,他也是TransformGroupinc.的首席执行官,同时他还是BitAngels和数字货币基金BitAngelsDAppsFund的联合创始人。Terpin声称他在7个月的时间里遭遇了两次黑客攻击,这直接导致他损失了价值2400万美元的加密货币——他向加州律师事务所GreenbergGlusker提交的长达69页的起诉书中提到了两起分别发生在2017年6月11日和2018年1月7日的黑客攻击案件,该文件显示,两次黑客攻击中AT&T都未能保护他的的数字身份。

新华文轩:公司旗下子公司“知信链”平台主要利用区块链技术提供版权存证、网络出版等服务:金色财经报道,新华文轩(601811.SH)8月18日在投资者互动平台表示,公司旗下子公司“知信链”平台主要利用区块链技术提供版权存证、网络出版等服务。目前业务整体规模不大,占公司营业收入、利润比例较小。公司将继续研究行业与科技融合发展的趋势,完善技术创新机制,推动产业链升级,促进融合发展。[2023/8/21 18:11:54]

什么是SIM卡?

大多数的SIM卡,是通过绕过电信运营商的安全措施的方式,将受害者的SIM卡进行复制或者重新办理,从而达到控制被盗者SIM卡的目的。而在目前的互联网安全环境下,获得被盗者的手机号码控制权,通过短信验证码验证机制,可以获取被盗者绝大多数的账户权限,这也包括绝大多数被盗者的金融账户或者加密货币云端账户。而绝大多数的攻击方式,攻击者仅仅通过简单的社会工程学,如:收集被盗者身份信息、盗取信件等方式,向运营商证明补办SIM卡的是本人。而早期,大多数运营商为了使补办流程更便捷,并不会采取实人认证、2元认证等方式。

声音 | 李杰力:区块链技术在大宗商品交易方面是有三个层面的价值:2019年12月18日,蚂蚁区块链大宗商品产业数字协同峰会在上海召开。蚂蚁区块链总经理李杰力表示,区块链技术在大宗商品交易方面是有三个层面的价值:第一、由于区块链的特征是多方参与、不可篡改的特征,让大宗商品交易过程中的数据和存证更加真实可信,将全面促进在商品溯源、司法存证保护方面的深入发展;第二、基于更加可信的数据,将有效地促进大宗商品资产的交易和生产资料的流转;第三、当大宗商品交易过程中,生产、物流、金融等过程全面升级为可信的数字化资产之后,势必将催生出新型的资产形式,如期货交易也将呈现新的面貌。[2019/12/21]

SIM卡攻击怎么盗取你的“钱”?

现场|中国电子商会专职副会长:区块链技术或将成为构建价值互联网的基石:金色财经现场报道,今日,2018中国国际区块链产业融合峰会暨区块链产品与应用展在石家庄举行,中国电子商会专职副会长郭全啟在会上表示:“区块链技术作为新兴的电子信息技术,在数字领域中发挥着越来越大的作用,应用场景也越来越广泛。数据显示,随着区块链的不断发展和深化,区块链技术或将成为构建价值互联网的基石,区块链将从数字货币向非金融领域渗透扩散,并与云计算结合越发紧密这将使得跨链互联互通的需求进一步凸显。事实上,区块链技术正在通过自动化流程数字化,实物资产代替化以及智能和约等来推动企业的数字化转型。助力数字经济的快速发展。”[2018/9/21]

我们在前面已经提到了者获取克隆SIM卡的方法。资产通常是攻击者的主要目标之一。在现今的支付环境和账户安全环境中,2FA验证往往是通过短信验证码得以实现的,这也依赖于国内较为完善的实名制。在获得他人的SIM卡控制权后,攻击者可以进一步通过类似的icloud或者邮箱获得个人隐私信息。试问,你的手机中是否保存了你的个人身份证或者驾照的照片?这些照片或者信息,可能就被某一个云端软件默默地提交到了你的云端存储账户中。而攻击者在完全收集到这些信息后,可以用来提取你的个人账户资产;或者干脆就用你的身份信息向多个网贷机构套取贷款。

声音 | 复旦大学陈文君:区块链还处于“凌晨五六点” 亟需法律先行界定底线:据每经网报道,昨日,在一场围绕区块链与法律服务的论坛上,复旦大学张江研究院数字经济研究中心执行主任陈文君表示,现在区块链还处于非常早期的阶段,就像凌晨五六点钟的样子,这个时间节点需要“法律先行”。在陈文君看来,在区块连技术的研究和项目中,也要具备法律底线思维,持牌业务禁区不要碰,要对消费者进行保护、触及到民生的不要碰 。[2018/7/30]

而更可怕的是,由于大多数用户图省事,或者不了解基本的安全交易知识,攻击者根本不需要身份信息。只需要手机号码、短信验证码和密码,就可以完成交易、提币、发币等一系列步骤。

如果你的手机在使用环境中突然没有信号了,并且持续了很长时间,那就必须提高警觉了。

上图是一人在巴西出差时所截的图,手机突然失去信号,长达半小时左右。

在多次重启无果后,他联系了当地的移动运营商,才得知SIM卡被报告“丢失或被盗”,并要求作者在另一张SIM卡上激活。

早期的模拟GSM制式SIM卡是允许同一个手机号码同时联网的,所以这一技术早期也被用于抓小三和间谍应用上。而在后续的运营商及联网制式升级后,绝大多数手机网络只允许同一时间同一张SIM卡进行联网并使用。所以国内不会出现多台设备收到同一条短信息的情况。

如何防范SIM卡攻击?

1.永远不要使用弱密码

在攻击者获取你的SIM卡之后,离提款仅仅只差输入密码一步。所以如果你使用的是弱密码,或者是与个人信息相关的密码,最后防线就会被攻破。

2.尽量选择能够实现设备识别的软件APP

在现阶段的支付和交易环境中,已经有一部分安全防范应用了IMEI识别技术。在每次用户登录及交易时,系统会验证当前IMEI是否为之前登录过的设备。

3.重要账户使用类似谷歌验证器的2FA验证

不要使用短信验证码作为你的交易2FA验证!

不要使用短信验证码作为你的交易2FA验证!

不要使用短信验证码作为你的交易2FA验证!

4.可以考虑使用冷钱包作为保护“币”的最后防线。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:15ms0-6:473ms