作者:文靜 路多
物聯網智庫 整理發布
幣圈大佬一夜丟失4500多萬???
8月21日,福布斯曝光一則訴訟,當事人巴特·斯蒂芬斯起訴匿名黑客,涉嫌在今年5月盜取他價值630萬美元的加密貨幣。
要知道,斯蒂芬斯可是幣圈有頭有臉的人物,他創立的基金,Blockchain Capital基金,動不動就領投 Sam Altman 的 Worldcoin,投資Coinbase、Kraken 和 NFT 交易所 Opensea 等加密初創公司。
業界對此評價議論紛紛,看法不一:
有人認為這是美國當局所為,表示:“他們就是這樣,拿走你的錢,然后把它歸咎于黑客。”
有人表示:“加密貨幣和詐騙密不可分。這樣看來區塊鏈技術帶來的威脅比政策更大。”
更離譜的是,不光自己的加密貨幣被盜,斯蒂芬斯的公司社交賬號也被另一個黑客偷家了。
這……究竟怎么一回事?一起來扒扒。
事件經過
巴特·斯蒂芬斯( Bart Stephens)是加密貨幣基金Blockchain Capital的聯合創始人兼管理合伙人,早期著名的加密貨幣傳播者。
在8月16日向法院提交的訴訟中,他表示價值630萬美元的加密貨幣在5月份被黑客用SIM卡交換攻擊(SIM swap attack)的方式,一股腦竊取。
具體來說,一個化名為Jane Doe的黑客,使用在線和暗網上提供的個人信息,繞過斯蒂芬斯的手機運營商的安全檢查,更改了他的賬戶密碼。
在控制了斯蒂芬斯的蜂窩網絡賬戶后,黑客訂購了一部新手機,然后將他的私人手機號碼移植到新設備的SIM卡上。
隨后,黑客使用斯蒂芬斯的手機號碼,在幾個未命名的數字錢包中重置密碼并通過雙因素身份驗證,經過一番操作,修改了其數字錢包密碼,開始“系統地竊取原告的數字資產”,630萬美元就此轉移。
黑客們的囂張不至于此,在黑客在轉移630萬美元的前一天,他們還給斯蒂芬斯發郵件,吹噓說他們可以“遠程破解美國大陸任何人的電話號碼”。
不幸中的萬幸,該黑客還試圖從斯蒂芬斯擁有的托管冷錢包中竊取價值1400萬美元的比特幣和以太坊,被收到提款通知的BlockchainCapital員工阻止。否則,斯蒂芬斯損失還得翻倍。
相關部門表示,這類攻擊越來越常見,并且針對可能擁有大量加密貨幣的受害者。
目前,斯蒂芬斯已對匿名黑客提起訴訟,并呼吁加強對此類攻擊的安全防護措施。
盜竊事件發生后的第二天,斯蒂芬斯的移動服務提供商確認,他已成為SIM卡交換攻擊的目標。
大約50%的被盜資金通過加密貨幣混幣器(Cryptocurrency Tumbler)交易所轉移,這些交易所將數字資產混合在一起,以掩蓋交易來源,使得追蹤被盜的加密貨幣變得更加困難。
更離譜的是,盯上斯蒂芬斯的人竟然還不止一個。
3個月后,Blockchain Capital在Twitter的賬戶也被盜竊,還發布了多條虛假的代幣消息。
隨后,8月10日官方賬號宣布賬號已恢復安全。
有意思的是,巴特·斯蒂芬斯一直是加密貨幣的堅定支持者,經常與摩根大通首席執行官杰米·戴蒙等懷疑論者發生沖突,后者經常將比特幣標記為騙局。
斯蒂芬斯在回應此類批評時曾表示:
“我建議杰米·戴蒙和其他人先做一些功課。這不是騙局。這是一項強大的技術,將影響多個行業。”
但從過去看,SIM卡交換攻擊受害者不止斯蒂芬斯一人,這個倒霉蛋也來自幣圈。
7 月初,LayerZero 首席執行官 Bryan Pellegrino 成為 SIM 卡交換攻擊的最新受害者之一,該攻擊使黑客暫時接管了他的 Twitter。幸運的是,后來他的賬號被追回,還悠然地發帖報平安。
Bryan Pellegrino 表示,一發現手機狀態不對就意識到了是SIM卡交換攻擊,立即在公司賬號發出警告帖,并發出消息提醒親友不要上當。
接著,他開始反擊,先登錄郵箱改密碼,將黑客踢出。盡管黑客增加了其他雙因素驗證,經過一系列的操作,他終于找回自己的賬號密碼。
據Bryan Pellegrino猜測:在多倫多一次演講之后,他沒有把身份徽章帶走,結果就有人從垃圾桶里面撿走了他的身份徽章,并以此騙取了運營商的信任,進行SIM卡交換攻擊。因為盜號這個事情就在大會發生后不久。
那么黑客使用了怎樣的技術呢?
SIM卡交換攻擊
一句話概括就是:
騙子用你的信息補了張卡。
SIM卡交換攻擊,又稱SIM卡劫持,是透過冒用身份向電信業者提出申請,將被害者的電話號碼從對方的SIM卡轉移至攻擊者的一種詐騙攻擊手段。
攻擊者可借此在被害者不知情的情況下,從手機收取一次性密碼并盜取網站賬號與銀行賬戶。
這與普通的盜號可不同。盜號僅僅是獲取賬號的使用權,而SIM卡交換攻擊則能夠通過大部分二次驗證,也就是說——
即使黑客進行賬號信息、業務往來的操作,被商家發短信提醒,也無濟于事。
近些年SIM卡交換攻擊案件時有發生。
2022年初,美國相關部門對這種日漸猖獗的攻擊手段提出警告,稱旗下的網絡犯罪投訴中心在2018年到2020年間共收到320件相關投訴、損失金額達1200萬美元,但在2021年共收到1610件相關投訴、損失金額達6800萬美元,是過去三年間的五倍以上。
縱觀國內外,SIM卡交換攻擊多年來是社會工程里面的常用手段。
2018年,區塊鏈新創公司Transform Group創辦人Michael Terpin被盜取了價值2400萬美元的加密貨幣,他隨即起訴美國電信業者AT&T未能充分保護用戶安全,并求償2.24億美元;兩年后,盜取其資產的一名紐約高中生被起訴,他在犯案時年僅15歲。目前,該名攻擊者已表示愿意歸還其盜取的資產,而對AT&T的求償則被法院駁回。
2020年,普林斯頓大學信息技術政策中心的四位研究員發表了一份研究測試,他們在美國的五大電信業者申辦了共50張預付卡,再嘗試對其進行攻擊,結果有39張SIM卡成功轉移,且有兩家電信業者完全未進行身份查核。研究中還測試了140個線上服務,其中有17個可以通過這種攻擊手段來盜取賬戶。
2022年1月,中國臺灣也有攻擊案例。攻擊者繞過相對嚴格的身份認證機制,冒用被害者的身份證和健保卡影本、出入境證明、委托書等資料,掛失SIM卡后盜取網絡銀行資產,更冒用身份申辦信用卡、領取消費券和接種疫苗。
慢霧首席信息安全官23pds稱,基于SIM卡交換的黑客攻擊目前還不太普遍,但在不久的將來有進一步增加的可能性。
但他也提到了過去幾年涉及加密貨幣中SIM卡交換攻擊的一些案例,如2021年10月,由于2FA漏洞,黑客從至少6,000名客戶那里竊取了加密貨幣。
需要補充的是,一些案件并非直接依賴SIM卡交換攻擊,而是以網絡釣魚為主的“類補卡攻擊”。
例如很多騙子使用技術手段,給受害人的手機設置呼叫轉移,或者直接使用網絡電話顯示受害人號碼,然后對其家人進行詐騙。
隨著AI換臉、變聲技術演進和普及,類似的情況還會有更多,監管難度也越來越大。為了提升驗證級別,我國一些金融機構還提供了人臉識別服務,不過已有部分“先進技術”被破解造成經濟損失的案例報道。
還有一些「降維版SIM卡交換攻擊」,就是直接冒充警方或金融服務商,以涉案、辦理變更手續以免影響征信為由,騙取受害人提供驗證碼或打開會議分享手機頁面,直接獲取受害人的錢財和密碼信息。
說得感覺世界就像是黑暗森林了,隨時有人想害我——
信息時代,到底應該怎樣防范潛在的風險呢?
防范建議
至于如何預防,我們給4點小建議:
保護信息,保護信息,保護信息。
不難發現,騙子成功的前提是獲取受害者的信息。這些信息包括身份、地址、面容甚至是醫療信息,而這些信息除了灰產之外,很多都可以直接從社交網絡上獲取——
所以盡量不要在社交網絡過度分享自己隱私信息,或者偶爾發出一切無關信息進行混淆。
SIM卡其實可上鎖。
不管是中國還是美國,SIM卡其實也是可以設置密碼的,稱之為PIN碼,共4位數字,可以在用戶手機被盜、SIM卡丟失而更換設備時能起到保護作用。
通常運營商沒有設置默認開啟PIN碼,而且有簡單的默認密碼,用戶可以自行修改,不過,這個數字一定要記住,不然輸錯3次需要使用PUK碼或者到運營商處修改,非常麻煩。
減少使用或補強短信驗證,使用身份驗證程序。
我國現在實行實名制,大部分APP都可以僅僅通過手機驗證碼、郵箱驗證碼就重置密碼,這還是存在一定的風險。
越來越多的國際企業提供了身份驗證應用程序,例如Duo、Google Authenticator等,黑客們即使獲取到你的郵箱或SIM卡,也無法完全控制你的賬號。
冷靜操作,及時求助
盡管不法分子們憑借飛速發展的科技手段進行攻擊和詐騙,運營商和金融機構都有相應的安全策略,甚至是嚴格的信息安全等級保護認證和合規要求。那么為什么有這么多人受騙呢?因為有時候被唬住了,慌了神。在遇到異常情況的時候保持冷靜,及時求助,也是自我保護的方式。
一旦發生手機被盜,或者關注到類似SIM卡交換攻擊的情況,就要立刻致電運營商、銀行和等機構,并臨時凍結自己的賬戶,一舉動,不光能夠防止加重自己的損失,也能夠為身份被盜用從事不法行為進行一種證據保留。另外,對于產生直接或潛在的經濟損失,也要及時報警,維護自身權益。
那么現在,打開自己的手機想一想,你的信息,安全嗎?
