У разработчика BitGo украли 100 тысяч долларов в криптовалюте

У разработчика BitGo украли 100 тысяч долларов в криптовалюте

В понедельник Шон Кунс, инженер-проектировщик фирмы по предоставлению кастодиальных услуг BitGo, признал, что стал жертвой атаки с заменой SIM-карты (взломом SIM-порта), в результате которого 100 000 долларов были похищены с его учетной записи на Coinbase.

Что еще более важно, он решил «повысить осведомленность об этих типах атак», предоставив подробный отчет о том, что произошло, и что он узнал из этого очень неудачного инцидента.

Атака с обменом SIM-карты - это вид мошенничества, который включает захват чужого номера мобильного телефона с помощью методов социальной инженерии, так что злоумышленник получает доступ к номеру телефона жертвы через другую SIM-карту, полученную вместо настоящей. После этого хакер может «перехватить любые одноразовые пароли, отправленные с помощью SMS или телефонных звонков, отправленных жертве», тем самым обойдя любые функции безопасности учетных записей (будь то банковские счета, учетные записи в социальных сетях и т. д.), которые полагаются на подтверждения через SMS или телефонные звонки.

В своем блоге Шон объяснил, что такое «авторизованный перенос с SIM-карты», описал анатомию типичной «атаки на SIM-порт», представил график событий прошлой недели и перечислил уроки, которые он извлек из этого неприятного опыта.

Вот, что обычно происходит при этом виде атак:

* На вас нацелились хакеры, а это значит, что они «собирают личную информацию о вас». (Естественно, одним из видов информации является номер вашего мобильного телефона)

* Хакеры используют эту информацию, чтобы притвориться вами, когда связываются с вашим оператором мобильной связи.

* Потом хакер убеждает агента по обслуживанию клиентов, что он является законным владельцем этой учетной записи, оправдываясь, что SIM-карта, в настоящее время связанная с этим номером, повреждена, потеряна или недоступна (например, в результате потери телефона).

* Хакеры просят агента по обслуживанию клиентов заменить SIM-карту (которая связана с этим номером телефона). Это означает, что ваша существующая SIM-карта больше не зарегистрирована под номером вашего мобильного телефона и вместо этого связана с новой SIM-картой, предоставленной хакерам вашим оператором мобильной связи.

* Затем хакеры запрашивают сброс пароля на вашей основной учетной записи электронной почты, что приводит к отправке проверочного кода по SMS на мобильный телефон, захваченный хакерами.

* Затем хакеры устанавливают новый пароль для вашей основной учетной записи электронной почты и принимают его, что означает, что теперь у них есть доступ к «любым онлайн-службам, которыми вы управляете через этот адрес электронной почты».

Вот так выглядят этапы атаки, описанной Шоном, в отношении которой он приводит следующие советы:


* Не рассматривайте свою учетную запись на криптовалютной бирже (например, Coinbase) как банковский счет. Другими словами, убедитесь, что ваши крипто-средства хранятся в «аппаратном кошельке / автономном хранилище / многоцелевом кошельке» всякий раз, когда «вы не совершаете сделки».

* Вместо того чтобы полагаться на двухфакторную аутентификацию на основе SMS (2FA), которую можно легко взломать, как описано выше, используйте либо «аппаратную безопасность» (например, устройство YubiKey от Yubico), либо приложение «Аутентификатор» (например, Google Authenticator).

* Делитесь в сети как можно меньшим количеством "личной информации".

* Используйте дополнительный адрес электронной почты (защищенный с помощью аппаратного 2FA) для «ваших критически важных сетевых идентификаторов (банковских счетов, учетных записей в социальных сетях, криптообменников и т. д.)» И не «используйте этот адрес электронной почты для других целей». 

* Используйте автономный менеджер паролей для хранения ваших паролей.


Шона следует поблагодарить за его открытость и честность. Его бесценный совет заслуживает распространения среди широкой аудитории, поскольку, несмотря на растущую частоту атак с заменой SIM-карт в последние несколько лет, кажется, что большинство людей все еще не делают достаточно для защиты своих учетных записей в Интернете, и этот тип атаки может коснуться даже очень умных людей.

Например, 27 января Дави Ван, известный член криптосообщества, которая является партнером-основателем инвестиционной фирмы Primitive Ventures, специализирующейся на криптовалютах, сообщила, что стала жертвой взлома через подмену SIM-карты. 


В последующем твите она дала такой совет своим фолловерам:

«Мобильный телефон - это ваше слабое место, постарайтесь, при возможности, не использовать его в процессах верификации»

По материалам cryptoglobe.com

Читайте также

6762020-03-23

Digital Revolution: ФСБ шпионит за гражданами при помощи интернета

Группа хакеров Digital Revolution обвиняет Кремль в тотальном контроле устройств интернета вещей, который открывает спецслужбам доступ к массовой кибератаке.

Безопасность
4422020-06-24

Пользователи Telegram из России и Ирана стали жертвами утечки данных

Приложение для обмена сообщениями Telegram подверглось утечке информации его пользователей в даркнет.

Безопасность

Последние статьи из раздела Безопасность

Свежее видео на канале

Выбор редакции

310942018-01-30

Bitcoin: пирамида или нет?

С января 2009 года, когда был сгенерирован первый генезиз-блок bitcoin-сети, прошло уже девять лет, но до сих пор всякого рода "эксперты" ломают копья в спорах: являются ли криптовалюты финансовой пирамидой или нет. Быстрый рост доходности bitcoin и прибыли тех, кто раньше стал участником этой системы, пугает схожестью с пирамидами 90-х.

Bitcoin
218662018-04-28

on-chain и off-chain управление: за и против

Чтобы понять важность управления блокчейном и дискуссии вокруг этого вопроса, сначала нужно определить что такое управление блокчейном, его роль и цели. Управление блокчейном в сфере криптовалют состоит из двух пунктов: правил протокола (кода) и экономических стимулов, на которых основана сеть.

Blockchain
178412018-06-25

Поиск серых майнеров в недрах Chrome и Opera

Вы уже знаете как javascript-майнеры попадают на страницы интернет-ресурсов. Теперь попробуем разобраться как же выяснить какая именно из множества открытых вкладок использует Ваши ресурсы для добычи криптовалюты.

Безопасность
162002018-06-08

Принимаем оплату в bitcoin: Часть первая, теоретическая

Интернет полон статей о том, какое прекрасное будущее готовит нам blockchain, как это "стильно, модно и инновационно". Однако информации, как практически воспользоваться всем этим великолепием, крайне мало. Попробуем частично восполнить этот пробел.

Обучение
82972019-07-30

Ethereum 2.0: Меняем майнинг на стейкинг

Запуск Ethereum 2.0 приближается, по словам разработчиков, официальный релиз состоится в 2020 году, Одной из первых функций обновления будет стейкинг - возможность заработать на инвестициях в ETH.

Ethereum
53342020-04-19

Топ 10 крипто кошельков в 2020 году

По мере роста популярности криптовалют растет и спрос на качественные и безопасные криптовалютные кошельки. Представляем топ 10 крипто кошельков в 2020 году.

Кошельки