盗取比特币和其他加密货币的SIM卡劫持者变得越来越大胆了。他们不再仅仅追求易受攻击的人群,现在甚至开始寻找精通技术的目标。其中一个受害者是加密货币托管公司BitGo的工程师主管Sean Coonce。这位区块链工程师公开表示,攻击者从他的Coinbase账户窃取了价值超过10万美元的比特币,这是一个非常大胆的举动。攻击者在短短24小时的时间里成功地做到了这一点,同时小心翼翼地掩盖了所有证据。
Coonce称上周发生的这件事是他人生中“最昂贵的一课”。
劫持SIM卡盗取比特币:一种日趋常见的攻击形式
Coonce说,攻击者在上周二首次将自己的SIM卡转移到他们控制的设备上。直到自己的手机无服务之后他才意识到这一点。不久之后,他尝试登录他的谷歌账户,但失败了。
同时,攻击者在Coonce的Coinbase账户中启用了找回密码功能。然而,密码重置链接只能在24小时后发送。启动此过程后,攻击者删除了与Coinbase有关的邮件,没有留下任何证据。
一开始,Coonce怀疑SIM卡出问题是因为自己的手机掉在了地上,他在第二天换了一个新的,当时以为问题已经解决。但当天晚上,Coonce发现自己的手机信号又消失了。他还收到消息,提示他在登录自己的谷歌账户。
不幸的是,这个问题并未引起Coonce的重视,他决定在第二天早上再解决问题。但此时攻击者已经完成了Coinbase的密码重置过程,24小时已经过去。除了盗取他在Coinbase钱包中的所有币,攻击者还用Coonce存在该交易所的资金购买加密货币。然后,攻击者将盗取的比特币和其他加密货币转移到了另一个链上地址。
“SIM卡互换骗局”的发生频率越来越高了。两周前,美国密歇根州东区检察官办公室指控9名涉案人员参与了SIM卡劫持,该团伙从他们的活动中获利超过240万美元。更令人不安的是,某无线运营商的三名员工是该团伙成员,这证明内部人士有时候会和攻击者里应外合。
虽然一些SIM卡劫持的受害者选择不对无线运营商采取法律行动,但并非所有人都是逆来顺受的。举个例子,去年,比特币投资者Michael Terpin起诉美国电信巨头AT&T。Terpin的SIM卡被劫持后,他丢失了价值数百万美元的加密资产。Terpin还对一名21岁的SIM卡劫持者提起了诉讼,本月早些时候,加州最高法院在该起案件的审理中判给他7580万美元的赔偿。
最大的安全漏洞:人性
尽管总会有不法分子利用网络安全的弱点犯罪,但Coonce表示,尽管移动网络、在线服务提供商和设备制造商可以加强安全防范,但最大的漏洞依然在于人性。
Coonce承认他没有认真对待网络安全,因为他“从未遭到过攻击”。这位区块链工程师还在一定程度上归咎于懒惰:“尽管我了解自己的风险状况,但我只是太懒了,没有认真地保护我的资产。”
近日,在接受采访时,自称为Daniel的加密货币黑客也表示,如果人们没有更好地保护自己,那只能怪他们自己。