SIM卡交换攻击猖獗，比特币从业者如​​何自保？

作者：大卫·霍勒瑞斯

译者：洪吉

使用电话号码进行身份验证是一种不太理想的安全身份验证方法。将比特币提供给提供加密货币交换或借贷等服务的第三方也会降低安全性——“不是你的钥匙，不是你的硬币”是安全建议，这已在 Twitter 和比特币圈子中广泛传播。

恰当的例子：这两种做法的结合导致在过去十年的大部分时间里，SIM 交换攻击的数量不断增加，最终导致比特币和其他加密货币的猖獗盗窃。SIM 交换是攻击者控制受害者无线电话帐户的一种低成本、非技术性的方法。要发起攻击，黑客需要知道移动无线运营商如何验证受害者的身份和某些信息。通常，获得受害者的一个电话号码就足够了。现在，有明确的证据表明，美国大多数拥有无线运营商电话号码的人都容易受到 SIM 卡交换的影响。如果您持有不想被盗的比特币，这一事实可能会更加令人痛苦。

SIM交换的兴起

哈佛大学计算机科学系和普林斯顿大学信息技术政策中心的教授和博士联合研究小组在 2020 年 1 月发表的一项实证研究表明，SIM 交换的潜力越来越大。普林斯顿大学副教授、论文作者之一 Arvind Narayanan 在 Twitter 上总结道：“攻击者打电话给你的运营商，假装是你，并要求将服务转移到一个由攻击者。这已经够糟糕的了，但数百个网站仍在使用 SMS（短消息服务）进行双重身份验证，使您的帐户处于危险之中。”

该研究测试了美国五家主要无线运营商的身份验证协议——AT&T、T-Mobile、Tracfone、US Mobile 和 Verizon。在 SIM 卡交换测试为每个运营商尝试了 10 个不同的预付费账户后，作者发现所有五家运营商都使用了被认为不安全的身份验证方法。“总而言之，这些发现有助于解释为什么 SIM 交换一直是一个持续存在的问题，”Narayanan 说。

更糟糕的是，SIM 交换问题非常严重，以至于 Narayanan 的手机 SIM 卡在研究期间被交换了。当他打电话报告欺诈行为时，他的运营商的客户服务部门在验证了攻击者后无法对教授进行身份验证。最终，Narayanan 利用他的研究利用了运营商的协议漏洞，重新获得了对无线账户的控制权。幸运的是，纳拉亚南很快就做到了。

一旦攻击者控制了受害者的无线帐户，他们就有可能造成很大的破坏。正如研究中指出的那样，这主要是由于用户设置了不安全的身份验证方法来在线访问数字资产（例如基于 SMS 或基于呼叫的 2FA，一旦攻击者可以访问您的无线帐户就很难访问）。不安全）和安全问题（涉及现成的公共信息，例如母亲的娘家姓）。

此外，该研究发现 17 个网站，仅 SIM 交换就可能危及用户帐户（这种方法的基础来自 twofactorauth.org 数据集）。该研究发表后不久，T-Mobile 通知作者，在对其进行审查后，它已停止使用“最近的号码”进行客户身份验证。

通过 SIM 交换窃取比特币

SIM交换已经进行了多年。许多 sim-swap 目标属于以下两类之一：拥有珍贵社交媒体账户的名人，例如 Twitter 的首席执行官 Jack Dorsey，或拥有大量加密货币的人。去年暗网货币派币，在比特币牛市的高峰期，一些加密货币所有者进行了 SIM 卡交换。

2019 年 12 月，加密货币记者兼播客 Laura Shin 发布了一个播客片段，讲述了她最近作为 SIM 卡交换受害者的经历。申没有被抢劫，但她的经历值得注意，因为她透露，尽管她曾在 2016 年报道过这个话题，并在几年前积极保护她的账户，但她仍然很脆弱。

归根结底，让比特币所有者比其他无线运营商客户更容易针对 SIM 交换的原因是比特币交易记录在区块链上，因此无法撤销。与无线账户不同，当局要捕获被盗的比特币要困难得多（尽管可以通过区块链分析进行追踪）。

此外，与大多数在线银行账户不同，只有少数加密货币交易所，如 Coinbase、Gemini、ItBit 和 Binance.US 由 FDIC 保险承保，该保险为成员银行的存款提供高达 250,000 美元的保险。将比特币的价值视为一种去中心化的不可变资产时，这是完全有道理的。但这也意味着永远不应将安全视为理所当然。

正义之轮转得太慢

企业家兼投资人迈克尔·特平（Michael Terpin）是一位高净值加密货币所有者，他与人共同创立了第一个面向比特币爱好者的天使基金 Bitangels Fund，他深知这一目的。“正义的车轮很慢，”特平在接受比特币杂志采访时说。关于 Terpin 案件的司法纠纷与他在 2018 年 8 月对 AT&T 进行的 24 亿美元诉讼有关。两名有组织的黑客交换了与 Terpin 的 T-Mobile 和 AT&T 账户相关的 SIM 卡。

据他介绍，在第一次 SIM 交换后，一群攻击者“在波士顿的两家商店互相殴打，让我放弃这两个账户的凭据。” 在这些交换之后，黑客在 Terpin 开设了一个交易所，从账户中抢走了一半多一点的比特币，“当时大约是 100 美元”。在第一次 SIM 交换之后，Terpin 要求两家运营商提供更高的安全性。

事实证明，AT&T 和 T-Mobile 都提供“高级配置保护选项”。但是，正如 Terpin 所说，2018 年 1 月，一名 19 岁的年轻人在新泽西州的一家 AT&T 零售店，当时 T-Mobile 的店内验证“无端口”选项和 AT&T 添加的六位数帐户密码都被证明无用。该员工出售了 Terpin 的帐户密码以换取 100 美元的贿赂。

作为回报，这群攻击者偷走了 2400 万美元的山寨币。“是的，”Terpin 说，“他们唯一能得到的就是山寨币，但那天它们碰巧非常有价值。” 与比特币不同，Terpin 被盗的山寨币（TRIG、SKY 和 STEEM）不提供钱包私钥硬件备份选项。

尽管 Terpin 的最后一次 SIM 卡交换发生在两年多前，但他表示，每周都会有新的 SIM 卡交换受害者联系他寻求帮助。如果他们真的想和解，他会将他们指向他的法律团队和加利福尼亚的 REACT 工作组。

SIM交换小偷的故事

Terpin 还参与了针对 21 岁的纽约市居民 Nicholas Truglia 的民事诉讼，他被指控通过 SIM 卡交换窃取 2400 万美元。Truglia 最初被指控从硅谷高管和 StopSIMCrime.org 创建者罗斯怀特那里窃取了 100 万美元的加密货币。Terpin 声称，在 Truglia 的其他 SIM 欺诈保释听证会上的证据（iCloud 备份文件）表明，Truglia 也可能是他 2400 万美元攻击背后的 SIM 交换者。

在 Terpin 袭击的同一天，Truglia 向家人和朋友发送了电子邮件，称他从钱包中偷走了价值超过 2000 万美元的加密货币并将其转换为比特币，他的生活永远改变了。尽管调查仍在进行中，但 Terpin 声称 Truglia 是一个 26 人的去中心化 SIM 交换团队的一员。调查记者布赖恩·克雷布斯 (Brian Krebs) 将 Truglia 的案件与其他几起因盗窃 SIM 卡交换者的逮捕、指控和判刑结合起来，提供了角色的详细描述。据克雷布斯说，他们都是男性，年龄在 25 岁以下。

2020 年 1 月，一份报告指责 18 岁的加拿大居民 Samy Bensaci 对区块链研究小组的负责人 Don Tapscott 实施 SIM 交换，但不幸的是没有成功。这个故事将加密货币社区中的许多 SIM 交换目标与他们参加纽约市年度共识会议联系起来。它还证实了 Krebs 的报告，该报告将 SIM 交换加密货币盗窃与名为 OGUsers.com 的在线论坛的用户联系起来。

“我认为每个人总是对年轻一代采用新技术感到措手不及，”比特币和隐私专家马特奥德尔说，他参与了诸如共同主持“地窖故事”播客等项目。与大规模采用本身一样，比特币和相关 SIM 交换盗窃现象似乎是由年轻一代发起的，目标是更原始系统的受害者。

选择安全而不是便利

“围绕这项技术制定的法律总是落后，”Webroot 的安全分析师 Tyler Moffitt 说，他指的是比特币所有者由于他们的无线运营商而处于独特的危险境地。“我认为未来五年内 [更严格的运营商消费者保护法] 不会出现，届时黑客已经通过 SIM 卡交换盗窃加密货币而发了大财。”

莫菲特是众多相信在称量便利性和安全性时，人们总是倾向于便利性的人之一。这正是无线运营商帐户和整个美国社会的设计方式。但巨响开始传出。2020 年 1 月 9 日，六名美国立法者签署了一封致美国联邦通信委员会 (FCC) 主席 Ajit Pai 的信，后者曾担任 Verizon 的总法律顾问。

这封信主张为无线客户提供更强有力的 SIM 卡交换欺诈保护，并指出调查人员与 REACT 工作组就 SIM 卡交换总损失发表的声明：“他们已经认识了 3,000 多名 SIM 交换受害者，造成了 7000 万美元的损失。”还解决了有关 SIM 交换黑客攻击变得更加复杂的指控。攻击者现在还通过欺骗或强迫零售员工以远程桌面协议的形式在其计算机上运行恶意软件来直接渗透无线运营商计算机，而不仅仅是行贿。

“您是否看到过违规报告……涉及对无线运营商的入侵，包括零售店中的计算机和客户服务代理使用的计算机？” 信读了。更严重的是，这封信的立法者和作者承认 SIM 卡交换盗窃对国家安全构成了非常现实的威胁。据称，许多政府机构雇员使用不同级别的 2FA。

在这种假设下，有组织的黑客或民族国家行为者可以访问公职人员的电子邮件帐户，然后以几种严重破坏性的方式利用该访问权限，例如来自联邦紧急事务管理局的虚假紧急警报的警报和警告。Terpin 在 2019 年秋季向 FCC 发送了一封类似的信函，提出了更具体的要求。

“我建议 FCC 让所有美国运营商收回他们的秘密密码，”他写道。这是无线运营商的核心安全故障——不像银行、航空公司和酒店，无线账户的密码访问是基于密码是“通过”还是“失败”，但运营商员工可以使用密码进行整个无线帐户。主要是为了方便客户在手机摔坏或丢失，然后迫切需要回到我们以移动为中心的世界时。

但是，由于许多运营商商店，即使是那些以最大运营商名称命名的商店，实际上都是第三方拥有和经营的，这一核心安全漏洞变得更加严重。“这不仅仅是电信员工，”Yubico 的首席产品官 Guido Appenzeller 说。Yubico 是一家以发明 YubiKey 而闻名的硬件安全公司。“每个第三方零售员工都可以访问这些数据库。”

在某些地区，第三方零售运营商的最低工资低至每小时 10 美元，这显然是零售零售商每 100 美元泄露数千个帐户密码的原因。

保护自己免受 SIM 卡交换应该是比特币文化的一部分

从一开始，比特币文化在其代码的深处就有一个共同的信念——实现真正的自由意味着承担个人、财务和技术责任的新高度。隐私和运营安全也不例外，通常我们不会为了方便而牺牲它们，而是为了交易和借贷等盈利活动。总体而言，丢失更多是比特币安全的最佳动力，但重要的是不要因为您的行李不够大而成为盗窃的受害者。打破常规是无线运营商没有针对比特币用户进行优化的原因之一。

大多数人不会成为 SIM 卡交换的目标，但根据 Appenzeller 的说法，如果有人“说有一个超过 10,000 美元的比特币钱包，那么 SIM 卡交换肯定在经济上对黑客有吸引力”。还有更复杂且更容易获得的恶意软件攻击示例，它们绕过基于应用程序的 2FA 而无需 SIM 交换。其中包括使用冒名顶替者的网络钓鱼网站，例如在上次 Binance 黑客攻击中使用的网站，以及危害更大的 DNS 劫持或中毒，通常被种族行为者用于间谍活动，例如海龟行动。

好消息是，有一些技术可以防止 SIM 卡交换和更复杂的网络钓鱼攻击。大众消费市场中最强的 2FA 方法是 U2F，它是使用 USB 的双因素身份验证。使用 U2F 消除了基于 SIM 的攻击的风险暗网货币派币，并消除了“网络钓鱼和其他中间人攻击以及其他恶意软件攻击，”Appenzeller 说。他的公司 Yubico 与 Google 共同创建了 U2F，并在其旗舰产品 YubiKey 中使用了 U2F。通过这种方式，YubiKey 相当于 2FA 的硬件钱包，在撰写本文时，没有一个用户成为 SIM 卡交换相关盗窃的牺牲品。

如何避免 SIM 卡交换攻击

在本文中，我们采访了几位安全专家和比特币社区的成员。根据这些信息，这里列出了避免 SIM 交换攻击的“注意事项”列表： 对于初学者和普通比特币用户 将比特币保存在硬件钱包中并停止使用基于手机的 2FA。

“请使用硬件设备和多重签名保护您的私钥。不要使用基于浏览器的钱包，因为它们具有巨大的攻击面。不要将基于硬件的 2FA 用于任何支持它的 Web 应用程序。不要使用 SMS 2FA ，并且不要通过电话号码重置/恢复在线帐户。” - Jameson Lopp，比特币核心工程师

如果您不交易比特币，请不要将其存放在交易所。请参阅此因黑客攻击和其他恶意活动而损失客户资金的交易所列表 ()。与您的电话运营商讨论加强安全性和使用基于应用程序的身份验证器。

“你可以向你的手机运营商询问更多的安全性。你不应该使用 SMS 身份验证器。使用像 Google Authenticator 或 Authy 这样的身份验证应用程序。” 泰勒·莫菲特

对于使用无线电话帐户共享身份的任何人（我们大多数人）

重新访问您的无线运营商和其他在线帐户的安全策略。您可以尝试破解您自己的帐户作为测试。Twofactorauth.org 是一个很好的起点。

“从长远来看，我认为真正的问题是为什么我们仍然使用电话号码？检查您是否安全的最简单方法是尝试使用您的电话号码进入所有帐户，如果可以的话，您将拥有一个SIM交换孔。” — 马特·奥德尔

对于那些认为他们的比特币硬件钱包足够安全的人

将密码管理器与您的比特币钱包结合使用。定期测试你的程序，即使它很简单。

“我正在使用密码管理器，这是一种很好的做法。与我一起工作的每个人都使用密码管理器。” — Guido Appenzeller “在密码/密钥管理方面，我使用多个加密的 USB 备份 可靠的密码管理器。屋外至少有一个备份（屋内至少有一个备份）。我总是随身携带一份副本旅行，偶尔和我的妻子和另一个兄弟一起做测试和设置浏览。我的一些资产在一个硬件钱包上，然后适度地放入比特币核心钱包，我用它来资助我所有的 Casa、移动应用程序、Lightning 、测试版客户端等。” — Guy Swann，Crypto 播客的主持人

消费者友好的最大安全性

至少拥有一个 YubiKey，它们相对便宜。

“购买多个 YubiKey（用于冗余）并尽可能将它们用于 2FA。许多密码管理器支持 YubiKey 2FA，而许多 Web 应用程序现在支持 U2F 2FA，更新的 YubiKeys 也是如此。如果 Web 应用程序仅支持 TOTP 滚动代码，您可以仍然使用 Yubico Authenticator 应用程序将数据保存在 YubiKey 上。” -詹姆森循环

避免更复杂的攻击

为敏感帐户页面添加书签。

“Binance hack 是应用 2FA 何时失败的一个很好的例子。在这种情况下，他们在 Google 中搜索 Binance 并选择第一个网页，在这种情况下是一个假网站，获得报酬以将其推送到 Google 搜索的顶部一天。您应该为黑客可能试图伪造的敏感页面添加书签。” Tyler Moffitt

积极提高您的运营安全性

为“SIM 交换”或“黑客攻击”和“法庭案件”设置 Google 提醒。

“作为平民，很难将运营安全视为对其他（守法）公民很重要的事情。许多最佳操作安全性的真实示例——良好的操作安全性和差的操作安全性——通常来自详细描述犯罪组织的法庭文件。其他好的例子通常来自情报或军事领域，似乎很少适用。” — @5auth，加密市场和黑暗市场研究员。

有关如何保护您的比特币免受 SIM 交换攻击以及发生事故时该怎么做的更多信息，请参阅 SIM 交换圣经。当比特币看涨时，攻击（SIM 交换或其他）往往会发生。