SIM卡交换黑客有多容易,如何防范?

如何防范SIM卡交换黑客?

尽管网络安全基础设施不断提升,但在线身份仍面临许多风险,包括与电话号码被黑客入侵相关的风险。

今年7月初,LayerZero首席执行官布赖恩·佩莱格里诺成为SIM卡交换攻击的最新受害者之一,这使得黑客能够短暂接管他的Twitter账号。

我们又回来了。这基本上就是我过去24小时的生活。幸运的是,我们立即察觉到了入侵,并展开了战斗。

— 布赖恩·佩莱格里诺(@PrimordialAA)2023年7月5日

“我猜想有人从垃圾桶中抓到了我的胸卡,并成功地欺骗了代表使用它作为SIM卡交换的身份证明,当时我正在离开Collision大会,”佩莱格里诺在重新获得Twitter账号后不久写道。

“这只是‘布赖恩·佩莱格里诺-演讲者’,只是一张普通的纸质会议胸卡,”佩莱格里诺告诉Cointelegraph。

佩莱格里诺遭遇的事件可能导致用户认为进行SIM卡交换攻击就像是抓走某人的胸卡那样容易。Cointelegraph已经联系了一些加密货币安全公司,以了解是否是这样。

什么是SIM卡交换攻击?它有多大?

SIM卡交换攻击是一种身份盗窃形式,攻击者接管受害者的电话号码,从而获取对银行账户、信用卡或加密账户的访问权限。

2021年,联邦调查局收到了超过1600起涉及SIM卡交换的投诉,涉及的损失超过6800万美元。CertiK的安全运营总监休·布鲁克斯告诉Cointelegraph,这一数字较三年前的投诉数量增加了400%,表明SIM卡交换“肯定在不断上升。”

“如果不放弃基于短信的双重认证,电信提供商不提高安全标准,我们很可能会看到攻击继续增长,”布鲁克斯说。

根据SlowMist的首席信息安全官23pds的说法,SIM卡交换目前并不太普遍,但它有很大的潜力在不久的将来进一步增加。他说:

“随着Web3的普及并吸引更多人加入这个行业,SIM卡交换攻击的可能性也随之增加,因为它的技术要求相对较低。”

23pds提到了过去几年中涉及SIM卡交换攻击的一些案例。2021年10月,Coinbase正式披露,黑客由于2FA漏洞从至少6000名客户那里窃取了加密货币。此前,英国黑客约瑟夫·奥康纳(Joseph O’Connor)因多次SIM卡交换攻击窃取了大约80万美元的加密货币而被起诉。

进行SIM卡交换攻击有多难?

根据CertiK的高管说法,SIM卡交换攻击通常可以使用公开可得的信息或通过社会工程学获取。

“总的来说,与技术要求更高的攻击(如智能合约漏洞或交易所攻击)相比,SIM卡交换攻击可能被视为入门门槛较低的攻击方式。”布鲁克斯说。

SlowMist的23pds也同意,SIM卡交换并不需要高级技术技能。他还指出,这种SIM卡交换在Web2世界中“普遍存在”,因此在Web3环境中出现也“并不奇怪”。

“它通常更容易执行,使用社会工程学来欺骗相关运营商或客服人员,”23pds说。

如何防止SIM卡交换攻击?

由于SIM卡交换攻击在黑客技术方面并不要求过高,用户必须对身份安全进行尽职调查,以防止此类攻击。

SIM卡交换攻击的核心防护措施是限制使用基于SIM卡的双重认证验证方法。与依赖短信等方法不同,用户应该更好地使用Google Authenticator或Authy等应用程序,Hacken的布多林指出。

SlowMist的首席信息安全官23pds还提到了更多策略,例如多因素认证和加强的账户验证,例如额外的密码。他还强烈建议用户为SIM卡或手机账户设置强密码。

相关文章: 在对Gutter Cat Gang进行SIM交换攻击后,总价值超过765,000美元的NFT被盗

另一种避免SIM交换的措施是妥善保护个人数据,如姓名、地址、电话号码和出生日期。SlowMist的首席信息安全官还建议仔细审查在线账户是否存在异常活动。

平台还应负责推广安全的双重验证实践,CertiK的Brooks强调。例如,公司可以要求在允许更改账户信息之前进行额外验证,并向用户教育有关SIM交换风险的知识。

由Cointelegraph编辑Felix Ng提供的额外报道。

杂志: 亚洲快报:中国扩大中央银行数字货币的影响力,马来西亚成为香港的新加密竞争对手