手机号验证不堪一击? Coinbase用户遭遇SIM卡转移攻击_SIM:BASE

攻前些天有人的Coinbase账号遭遇了SIMPortAttack,损失了超过10万美金的数字货币,很惨痛。击过程大概是:攻击者通过社会工程学等手法拿到目标用户的隐私,并到运营商得到一张新的SIM卡,然后通过同样的手机号轻松搞定目标用户在Coinbase上的权限。

加密货币公司Censo推出基于手机的自托管服务:金色财经报道,加密货币公司 Censo 为机构和小型组织推出基于手机的自托管服务,Censo 采用了密钥分片技术,并通过移动设备中存在的安全硬件 enclave 及生物识别来保护密钥安全。[2023/6/12 21:31:50]

SIM都被转移了,这就很麻烦了,基本来说我们很多在线服务都是通过手机号来做的二次验证或直接身份验证,这是一个非常中心化的认证方式,手机号成为攻击的弱点。

三星Galaxy手机用户可以通过第三方钱包管理加密货币:三星Galaxy手机用户可以通过第三方钱包管理加密货币。(金十)[2021/5/13 22:00:11]

这个攻击以前在国内也有不少案例,运营商的风控策略也越来越强大,但策略这东西总是有绕过方式,这种方式主要就是社会工程学,当然也不排除其他方式的结合。

声音 | 互联网安全专家:手机过热可能是遭到恶意挖矿软件攻击:根据Businessinsider消息,近日,互联网安全公司ESET的专家表示,如果手机在没有缘由的情况下发生过热、运行缓慢或是电量快速耗尽的状况,那么很可能是遭到了恶意挖矿软件的攻击,这将对设备产生永久性的损坏。对此,专家提示可以随时更新操作系统和应用程序至最新版本,或避免安装未知来源的应用程序来确保设备的安全。[2018/9/2]

不是我不信任运营商或中心化服务,而是这种重要的资产,大家要更加谨慎了,大额的数字货币是不是应该有更安全的存放方式?相关平台的安全风控策略是不是也该多琢磨如何再提升提升?

攻击示意图见下面,第一张图是正常流程,第二张图是攻击流程。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:15ms0-3:817ms