Как просто осуществить хак SIM-обмена и как себя от него защитить?

Как осуществить хак SIM-обмена и как защититься от него?

Несмотря на развитие инфраструктуры кибербезопасности, онлайн-идентичность все еще подвергается множеству рисков, включая риски, связанные с взломами номеров телефонов.

В начале июля Брайан Пеллегрино, CEO LayerZero, стал одной из последних жертв атаки SIM-своп, которая позволила хакерам на короткое время захватить его аккаунт Twitter.

И мы снова в деле. Вот как прошли последние 24 часа. К счастью, мы сразу заметили взлом и начали борьбу pic.twitter.com/pjrkMfQ2vT

— Брайан Пеллегрино (@PrimordialAA) 5 июля 2023 года

• Цена биткоина нацеливается на новый рост до $31K, эта поддержка является ключевой
• Прогноз цены Bitcoin, поскольку BTC снова снижается до уровня поддержки в $30,000 – Какова следующая цель BTC?
• Сигналы искусственного интеллекта против человеческой интуиции принятие решений в крипто-трейдинге

«Я думаю, что кто-то вытащил мой бейдж из мусора и каким-то образом смог обмануть представителя, чтобы использовать его в качестве удостоверения личности при SIM-свопе, когда я покидал Collision», написал Пеллегрино вскоре после восстановления своего аккаунта Twitter.

«Это был ‘Брайан Пеллегрино – спикер’, обычный бумажный конференционный бейдж», – сказал Пеллегрино в интервью Cointelegraph.

Происшествие, связанное с неудачей Пеллегрино, может привести к тому, что пользователи предположат, что провести SIM-своп-атаку так же просто, как украсть бейдж у кого-то. Cointelegraph обратился к некоторым фирмам по криптовалютной безопасности, чтобы узнать, так ли это.

Что такое SIM-своп-атака? Насколько она серьезна?

SIM-своп-атака – это форма кражи личности, при которой злоумышленники захватывают номер телефона жертвы, позволяя им получить доступ к банковским счетам, кредитным картам или крипто-счетам.

В 2021 году Федеральное бюро расследований получило более 1600 жалоб на SIM-своп с убытками более 68 миллионов долларов. Это увеличение числа жалоб на 400% по сравнению с предыдущими тремя годами указывает на то, что SIM-своп «определенно на подъеме», – заявил директор службы безопасности CertiK Хью Брукс в интервью Cointelegraph.

«Если не откажутся от 2FA на основе SMS и операторы связи не повысят свои стандарты безопасности, мы, скорее всего, будем наблюдать рост атак», – заявил Брукс.

По словам главного информационного офицера SlowMist 23pds, SIM-своп пока не является широко распространенным, но имеет значительный потенциал для дальнейшего роста в ближайшем будущем. Он сказал:

«С ростом популярности Web3 и привлечения в отрасль всё большего числа людей вероятность атак SIM-своп также увеличивается из-за их относительно низких требований к техническим навыкам».

23pds упомянул несколько случаев SIM-своп-атак в криптовалюте за последние несколько лет. В октябре 2021 года Coinbase официально сообщила, что хакеры украли криптовалюту у по крайней мере 6000 клиентов из-за нарушения 2FA. Ранее британский хакер Джозеф О’Коннор был обвинен в 2019 году в краже примерно 800 000 долларов криптовалюты с помощью нескольких SIM-своп-атак.

Насколько сложно провести SIM-своп-атаку?

По словам представителя CertiK, SIM-своп-атаку часто можно выполнить с использованием информации, которая является общедоступной или может быть получена через социальную инженерию.

«В целом, SIM-своп может быть рассмотрен как менее требовательная атака по сравнению с более технически сложными атаками, такими как эксплойты умных контрактов или взломы бирж», – сказал Брукс.

23pds из SlowMist согласился с тем, что SIM-своп не требует высокого уровня технических навыков. Он также отметил, что такие атаки SIM-своп являются «распространенными даже в мире Web2», поэтому «не удивительно», что они появляются и в среде Web3.

«Часто для их выполнения используется социальная инженерия для обмана соответствующих операторов или сотрудников службы поддержки клиентов», – сказал 23pds.

Как предотвратить SIM-своп-атаки?

Поскольку атаки SIM-своп часто считаются не требующими высоких технических навыков хакеров, пользователи должны уделять должное внимание безопасности своей идентичности, чтобы предотвратить такие атаки.

Основной защитной мерой от SIM-своп-атаки является ограничение использования методов, основанных на SIM-картах, для проверки подлинности 2FA. Вместо использования методов, таких как SMS, лучше использовать приложения, такие как Google Authenticator или Authy, отметил Будорин из Hacken.

Главный информационный офицер SlowMist 23pds также упомянул другие стратегии, такие как многофакторная аутентификация и улучшенная проверка учетной записи, такие как дополнительные пароли. Он также настоятельно рекомендовал пользователям установить надежные PIN-коды или пароли для SIM-карт или мобильных телефонных аккаунтов.

Связано: Похищено более 765 000 долларов США в NFT после атаки SIM-свопа на Gutter Cat Gang

Еще одна мера для предотвращения SIM-свопа – правильная защита личных данных, таких как имя, адрес, номер телефона и дата рождения. Главный информационный безопасности SlowMist также рекомендует внимательно отслеживать онлайн-аккаунты на предмет любой аномальной активности.

Платформы также должны нести ответственность за поощрение безопасной практики двухфакторной аутентификации (2FA), подчеркнул Брукс из CertiK. Например, фирмы могут требовать дополнительной верификации перед разрешением изменений в информации об учетной записи и информировать пользователей о рисках SIM-свопа.

Дополнительная информация предоставлена редактором Cointelegraph Феликсом Нг.

Журнал: Asia Express: Китай расширяет тентакли ЦБЦЦ, Малайзия становится новым крипто-конкурентом Гонконга

We will continue to update BiLee; if you have any questions or suggestions, please contact us!