上周三我损失了10万美元。它在24小时的时间内在“SIM转移攻击”中消失,耗尽了我的Coinbase帐户。事件已经过去了四天,我被摧毁了。我寝食难安;我充满了焦虑,懊悔和尴尬。

这是我生命中最昂贵的一课,我想与尽可能多的人分享我的经验与教训。我的目标是提高对这类攻击的认识,并促使大家提高在线身份的安全性。

这仍然是非常原始的(我还没有告诉我的家人);请大家保留对本文所述的天真安全措施的判断。

攻击的细节

您可能会问自己,究竟什么是“SIM转移攻击”?为了描述攻击,我们来看一下典型的在线身份。对于大多数人来说,下图应该看起来很熟悉。

我们大多数人都有一个主电子邮件帐户,该帐户与很多其他在线帐户相关联。我们大多数人还有一个移动设备,如果你忘了密码,可以用这个移动设备来恢复您的电子邮件密码。

授权的SIM转移

将SIM卡转移到另一台设备是移动运营商为其客户提供的服务。它允许客户将他们的电话号码转移到新设备。在大多数情况下,这是完全合法的要求;当我们升级到新手机,切换移动运营商等时会发生这种情况。

SIM转移攻击

但是,“SIM转移攻击”是由未经授权的来源(攻击者)执行的恶意转移。攻击者将您的 SIM卡转移到他们控制的手机上。然后,攻击者在您的电子邮件帐户上启动密码重置流程。验证码会从您的电子邮件提供商发送到您的电话号码。 攻击者会截获该电话号码,因为他们现在控制您的SIM卡。下图逐步概括了攻击过程。

一旦攻击者控制了您的主电子邮件帐户,他们就会开始绕过您通过该电子邮件地址(银行帐户,社交媒体帐户等)管理并支配您的任何在线服务及其资产。如果他们非常恶意,他们甚至可以锁定你的帐户而你却几乎无法收回它们。

花点时间检查一下单个Google帐户绑定的大量敏感信息:

  • 您的地址,出生日期和其他私人,个人身份信息
  • 访问您(和/或您的合作伙伴)的潜在妥协照片
  • 访问您的日历和即将到来的旅行日期
  • 访问您的私人电子邮件,文档和搜索历史记录
  • 访问您的个人联系人及其私人信息以及与您的关系
  • 访问您的主电子邮件地址用作身份验证来源的所有其他在线服务

事件时间线

通过更好地掌握如何进行此类攻击以及所涉及的范围,让我们深入探讨此特定攻击的时间线。我想描绘一下攻击是如何被执行的,以及我是如何经历这些事件的,以及如果您遇到类似的症状,您可以做些什么来保护自己。

时间线分为四个部分:

  • 我所经历的:从我的观点来看所经历的事件。如果你遇到类似的事情,这些都是你可能受到攻击的明确指示。

  • 攻击者正在做什么:黑客用来进入我的Coinbase帐户的基本策略。

  • 我感知到的威胁级别:我在这些事件发生时将其归因于威胁级别。

  • 我应该拥有的威胁级别:事后看来,我希望在这些事件发生时我会拥有的威胁级别。

经验教训+建议

这是我生命中最昂贵的一节课。我在24小时内失去了相当重要比例的净值资产; 并且是不可逆的。以下是我鼓励其他人用来更好地保护自己的在线安全的一些建议: 使用硬件钱包,以确保您的加密:将您的密码到硬件钱包 /离线存储/ 多SIG钱包,只要你不交易。不要将资金闲置在交易所或法定进场。我将Coinbase视为银行账户,并且在发生攻击时你绝对没有追索权。我比大多数人更了解风险,但从未想过这样的事情会发生在我身上。我非常后悔没有采取加密安全措施。

  • 基于SMS的2FA还不够:无论您尝试在线保护的资产和/或身份如何,都要升级到基于硬件的安全性(即:攻击者为实施攻击而必须物理获取的物理内容)。虽然Google Authenticator和Authy可以将您的移动设备转变为基于硬件的安全性,但我建议您更进一步。拿起你实际控制的YubiKey,不能被欺骗。

  • 减少您的在线足迹:减少不必要地在线分享个人身份信息(出生日期,位置,嵌入其中的地理位置数据的图片等)的冲动。在发生攻击时,所有这些准公开数据都可以针对您。 Google Voice 2FA:在某些情况下,在线服务不支持基于硬件的2FA(它们依赖于较弱的基于SMS的2FA)。在这些情况下,您最好创建一个Google语音电话号码(无法通过SIM卡转移)并使用具有2-Factor Auth恢复号码的电话号码。

  • 创建辅助电子邮件地址:不是将所有内容绑定到单个电子邮件地址,而是为关键在线身份(银行帐户,社交媒体帐户,加密交换等)创建辅助地址。请勿将此电子邮件地址用于其他任何内容并将其保密。使用某种形式的基于硬件的2FA备份该地址。

  • 离线密码管理器:使用密码管理器输入密码。更好的是,使用密码存储等脱机密码管理器。lrvick拥有各种密码管理器的优秀对比图表,以及针对更具技术倾向的审查建议。

关于读者的评论

我明白这一点:鉴于我天真的安全实践,我可能就应该注定被黑客攻击。这样做不会减少受到任何伤害,并且会削弱这个故事的主旨,即:

  • 让别人知道受到伤害是多么容易
  • 使用上述知识和建议来优先考虑您的在线身份的安全性

我禁不住想到我可以做的小而轻松的事情来保护自己。我的脑海中涌现各种假设。

然而,这些想法伴随懒惰和幸存者偏见。我从来没有认真对待我的在线安全,因为我从未经历过攻击。虽然我了解自己的风险状况,但是我就是太懒导致我没有用该有的严谨来保护我的资产。

我恳请你们从这些错误中吸取教训。

参考

  1. The Most Expensive Lesson Of My Life: Details of SIM port hack