Несмотря на рост инфраструктуры кибербезопасности, онлайн-идентификация по-прежнему сталкивается со многими рисками, в том числе связанными со взломом телефонных номеров.
В начале июля генеральный директор LayerZero Брайан Пеллегрино стал одной из последних жертв атаки с подменой SIM-карты, которая позволила хакерам ненадолго захватить его Twitter.
И… мы снова в деле. По сути, это была моя жизнь за последние 24 часа. К счастью, мы сразу увидели взлом и началась битва pic.twitter.com/pjrkMfQ2vT
— Брайан Пеллегрино (@PrimordialAA) 5 июля 2023 г.
«Я предполагаю, что кто-то вытащил мой бейдж из корзины и каким-то образом смог обманом заставить представителя использовать его в качестве удостоверения личности для обмена SIM-картой, когда я покидал Collision», — написал Пеллегрино вскоре после того, как ему вернули его аккаунт в Твиттере.
«Это был «Брайан Пеллегрино — спикер», просто ваш обычный бумажный значок конференции», — сказал Пеллегрино .
Инцидент, связанный с несчастным случаем Пеллегрино, может привести к тому, что пользователи решат, что выполнить взлом SIM-карты так же просто, как просто захватить чей-то значок. Коинтелеграф обратился к некоторым фирмам, занимающимся безопасностью криптовалют, чтобы выяснить, так ли это.
Что такое взлом SIM-карты? Насколько оно большое?
Взлом с подменой SIM-карты — это форма кражи личных данных, когда злоумышленники получают номер телефона жертвы, позволяя им получить доступ к банковским счетам, кредитным картам или крипто-счетам.
В 2021 году Федеральное бюро расследований получило более 1600 жалоб на замену SIM-карт, повлекших за собой убытки на сумму более 68 миллионов долларов. Это представляет собой увеличение количества жалоб, полученных за три предыдущих года, на 400%, что указывает на то, что подмена SIM-карт «определенно растет», сказал директор CertiK по операциям безопасности Хью Брукс.
«Если не будет отхода от двухфакторной аутентификации на основе SMS и поставщики телекоммуникационных услуг не повысят свои стандарты безопасности, мы, вероятно, увидим, что число атак продолжит расти», — заявил Брукс.
По словам директора по информационной безопасности SlowMist (CISO) 23pds, подмена SIM-карт в настоящее время не слишком распространена, но в ближайшем будущем она может вырасти еще больше. Он постановил:
«По мере того, как популярность Web3 растет и привлекает все больше людей в отрасль, вероятность атак с подменой SIM-карты также увеличивается из-за относительно более низких технических требований».
23pds упомянул несколько случаев, связанных со взломом SIM-карты в криптовалюте за последние несколько лет. В октябре 2021 года Coinbase официально сообщила, что хакеры украли криптовалюту как минимум у 6000 клиентов из-за нарушения 2FA. Ранее в 2019 году британскому хакеру Джозефу О’Коннору было предъявлено обвинение в краже около 800 000 долларов в криптовалюте с помощью взлома нескольких SIM-карт.
Насколько сложно взломать SIM-карту?
По словам исполнительного директора CertiK, взлом SIM-карт часто можно осуществить с помощью информации, которая находится в открытом доступе или может быть получена с помощью социальной инженерии.
«В целом подмена SIM-карты может рассматриваться как более низкий барьер для входа для злоумышленников по сравнению с более технически сложными атаками, такими как эксплойты смарт-контрактов или взломы бирж», — сказал Брукс.
23pds из SlowMist согласились с тем, что замена SIM-карты не требует технических навыков высокого уровня. Он также отметил, что такой обмен SIM-картами «распространен даже в мире Web2», поэтому «неудивительно», что он появляется и в среде Web3.
«Часто это проще реализовать, поскольку для обмана соответствующих операторов или персонала службы поддержки используется социальная инженерия», — сказал 23pds.
Как предотвратить взлом SIM-карты?
Поскольку атаки с подменой SIM-карт часто считаются нетребовательными с точки зрения технических навыков хакеров, пользователи должны уделять должное внимание безопасности своей личности, чтобы предотвратить такие взломы.
Основной мерой защиты от взлома подмены SIM-карты является ограничение использования методов на основе SIM-карты для проверки 2FA. Будорин отметил, что вместо того, чтобы полагаться на такие методы, как SMS, лучше использовать такие приложения, как Google Authenticator или Authy.
SlowMist CISO 23pds также упомянул дополнительные стратегии, такие как многофакторная аутентификация и расширенная проверка учетной записи, такие как дополнительные пароли. Он также настоятельно рекомендовал пользователям устанавливать надежные PIN-коды или пароли для SIM-карт или учетных записей мобильных телефонов.
Связанный: NFT на сумму более 765 тысяч долларов украдены после атаки подкачки SIM-карты на Gutter Cat Gang
Еще одна мера, позволяющая избежать замены SIM-карты, — это надлежащая защита личных данных, таких как имя, адрес, номер телефона и дата рождения. SlowMist CISO также рекомендовал тщательно проверять онлайн-аккаунты на предмет любой аномальной активности.
Платформы также должны нести ответственность за продвижение безопасных методов 2FA, подчеркнул Брукс из CertiK. Например, фирмы могут потребовать дополнительной проверки, прежде чем разрешать внесение изменений в информацию об учетной записи, и информировать пользователей о рисках, связанных с подменой SIM-карты.
Дополнительное сообщение редактора Феликса Нг.
Журнал: Asia Express: Китай расширяет щупальца CBDC, Малайзия — новый криптоконкурент Гонконга
Источник: Сointеlеgrаph
