防不勝防: 爲什么大量加密推特账號被盜發布釣魚鏈接?應如何防範

發表於 2023-08-28 10:33 作者: 吳說Real

來源:Cointelegraph;編譯:吳說區塊鏈

7 月 21 日 Uniswap 創始人 Hayden Adams 的 Twitter 账號被黑並發布了包含釣魚鏈接的推文。據悉此次被黑可能是一種 SIM 卡盜竊,即攻擊者接管受害者的電話號碼,使他們能夠訪問銀行账戶、信用卡或账戶。

7 月 23 日,Coinlist 的帳戶也被黑客入侵,並發布了釣魚鏈接。以及此前 7 月 5 日 LayerZero 的推特账戶被盜,6 月份 DEX 交易聚合平台 Slingshot 官方推特账戶被盜和 BitBoy 創始人 Ben Armstrong  推特账戶被盜等等。爲什么大量加密账號遭到盜取?用戶應如何防範?

以下是 Cointelegraph 一文的全文翻譯:

由於 SIM 卡置換攻擊通常被視爲對技術技能要求不高,用戶必須對自己的身份安全保持警惕。盡管網絡安全基礎設施在不斷提升,但在线身份仍面臨許多風險,包括與用戶電話號碼被黑客攻擊相關的風險。

在 7 月初,LayerZero 的首席執行官 Bryan Pellegrino 就成爲最新的 SIM 卡置換攻擊的受害者之一,這使黑客短暫地接管了他的 Twitter 账號。Pellegrino 在重新取回 Twitter 账號後很快寫道:“我猜,有人從垃圾桶裏拿走了我的證件,並且在我離开 Collision 的時候,以某種方式欺騙代理商,將其作爲SIM卡置換的身份證明。” Pellegrino 向 Cointelegraph 表示:“那只是一張‘Bryan Pellegrino —— 演講者’的普通紙質會議證件。”

Pellegrino 的這次遭遇可能會讓用戶認爲,執行 SIM 卡置換攻擊就像拿別人的證件一樣簡單。Cointelegraph 已聯系到一些加密貨幣安全公司,以了解這是否是事實。

什么是 SIM 卡置換攻擊

SIM 卡置換攻擊是一種身份盜竊的形式,攻擊者接管受害者的電話號碼,從而能夠訪問其銀行账戶、信用卡或加密貨幣账戶。

2021 年,美國聯邦調查局收到了超過 1600 起涉及超過 6800 萬美元損失的 SIM 卡置換投訴。與之前三年收到的投訴相比,這表示投訴量增長了 400%,這表明 SIM 卡置換攻擊“肯定在上升”,CertiK 的安全運營主管 Hugh Brooks 告訴 Cointelegraph。Brooks 表示:“如果不從依賴短信的兩步驗證中脫離出來,且電信供應商不提高他們的安全標准,我們可能會看到攻擊的數量繼續增長。”

據慢霧安全公司首席信息安全官 23pds 表示,SIM 卡置換攻擊現在並不十分普遍,但在不久的將來有顯著的增長潛力。他說:“隨着 Web3 的受歡迎程度增加,吸引更多人進入這個行業,由於其相對較低的技術要求,SIM 卡置換攻擊的可能性也會增加。”

23pds 提到了過去幾年中涉及加密貨幣的SIM卡置換黑客攻擊的一些案例。2021 年 10 月,Coinbase 官方披露,由於兩步驗證(2FA)的漏洞,黑客至少從 6000 名客戶那裏竊取了加密貨幣。此前,英國黑客 Joseph O'Connor 在 2019 年因通過多次 SIM 卡置換攻擊竊取大約 80 萬美元的加密貨幣而被起訴。

執行 SIM 卡置換攻擊的難度有多大

根據 CertiK 的高管,SIM 卡置換攻擊通常可以利用公开的信息或通過社會工程技術獲取的信息來完成。CertiK 的 Brooks 說:“總的來說,與技術要求更高的攻擊,如智能合約利用或交易所黑客攻擊相比,SIM 卡置換可能被視爲攻擊者的入門門檻較低。”

SlowMist 的 23pds 同意 SIM 卡置換不需要高級的技術技能。他還指出,這種 SIM 卡置換在 Web2 世界中“普遍存在”,因此在 Web3 環境中出現也“並不奇怪”。他說:“執行起來通常更容易,通過社會工程技巧來欺騙相關運營商或客戶服務人員。”

如何防止 SIM 卡置換攻擊

由於 SIM 卡置換攻擊通常在黑客的技術技能方面不需要太高的要求,用戶必須對他們的身份安全保持警惕,以防止此類攻擊。

防止 SIM 卡置換攻擊的核心保護措施是限制使用基於 SIM 卡的二次驗證方法。Hacken 的 Budorin 指出,與其依賴 SMS 等方法,不如更好地使用 Google Authenticator 或 Authy 這樣的應用。

SlowMist 的 23pds 也提到了更多的策略,如多因素認證和增強的账戶驗證,比如額外的密碼。他還強烈建議用戶爲 SIM 卡或手機账戶設置強密碼或 PIN 碼。

避免 SIM 卡置換的另一種方法是保護個人數據,如姓名、地址、電話號碼和出生日期。SlowMist 的 23pds 還建議仔細審查在线账戶是否有任何異常活動。

CertiK 的 Brooks 強調,平台也應負責推廣安全的二次驗證實踐。例如,公司可以在允許更改账戶信息前要求額外的驗證,並教育用戶了解 SIM 卡置換的風險。

標題:防不勝防: 爲什么大量加密推特账號被盜發布釣魚鏈接?應如何防範

地址:https://www.coinsdeep.com/article/38011.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

你可能還喜歡