当前位置: 玩币族首页 > 区块链资产 > 口袋里的敌人 | SIM卡攻击

口袋里的敌人 | SIM卡攻击

2020-02-22 Cobo钱包来源：火星财经

—

撰文 |Cobo金库大掌柜

听说一位巨鲸因SIM卡攻击，丢失了 60000 BCH 和 1500 BTC，价值约2.6亿。除了感觉把硬件钱包用起来之外，掌柜觉得很有必要了解下SIM卡攻击！

2019年9月份，网络安全公司Adaptive Mobile发现了SIM卡存在一个严重的漏洞“Simjacker”，今天该公司公布了一份容易受到Simjacker攻击的的国家名单，包括了五大洲的 29 个国家。

18年8月15日，美国投资者Michael Terpin向AT&T提起了一起价值高达2.24亿美元的诉讼。因为他认为这家电信企业向黑客提供了访问他手机号码的途径，从而导致了一场重大的加密货币盗窃事件的发生。Michael Terpin是一位总部位于波多黎各的企业家，他也是TransformGroup inc .的首席执行官，同时他还是BitAngels（面向比特币投资人的天使团队）和数字货币基金BitAngels DApps Fund的联合创始人。Terpin声称他在7个月的时间里遭遇了两次黑客攻击，这直接导致他损失了价值2400万美元的加密货币：他向加州律师事务所Greenberg Glusker提交的长达69页的起诉书中提到了两起分别发生在2017年6月11日和2018年1月7日的黑客攻击案件。根据该文件显示，两次黑客攻击中AT&T都未能保护他的的数字身份。

什么是SIM卡诈骗？

大多数的SIM卡诈骗方法，是通过绕过电信运营商的安全措施的方式，将受害者的SIM卡进行复制或者重新办理，从而达到控制受害者SIM卡的目的。而在目前的互联网安全环境下，获得被害者的手机号码控制权，通过短信验证码验证机制，可以获取被害者绝大多数的账户权限，这也包括绝大多数受害者的金融账户或者加密货币云端账户。而绝大多数的“攻击”方式，攻击者紧紧通过简单的社会工程学，如：收集受害者身份信息，盗取被害人信件等方式，向营运商证明补办SIM卡的就是你本人。而早期，大多数营运商为了使补办流程更为方便和便捷，并不会进行实人认证，2元认证等方式。

SIM卡诈骗攻击怎么获取你的“钱”？

在前面已经说到了诈骗者获取克隆SIM卡的方法。而怎么诈取受害者资产，往往是攻击者的主要目标之一。在现今的支付环境和账户安全环境中，2FA验证往往是通过短信验证码得以实现的，这也依赖于国内实名制较于海外完善所导致。在获得你的SIM卡控制权后，攻击者可以进一步通过你的类似ICLOUD或者邮箱获得进一步的个人隐私信息。试问，你的手机中是否存着一张你的个人身份证或者驾照的照片？这些照片或者信息，可能就被某一个云端软件默默的就提交到了你的云端存储账户中。而攻击者在完全收集到这些信息后，可以通过提取你的个人账户资产或者干脆就用你的身份信息向多个网贷机构套取贷款。

而更可怕的是，大多数被害者的区块链资产往往存在云端账户之中。在各大交易所或者云端钱包中，如果不刻意设置，而且大多数用户为了使用方便或并不了解个人交易安全，攻击者根本不需要身份信息。只需要手机号码，短信验证码和密码，就可以完成交易，提币，发币等一系列步骤。