想確保你的比特幣安全?先保護好電話號碼再說!
作者 | David Gogel
譯者 | Guoxi
編輯 | 波波
不久前,加密數字貨幣投資人、Wharton FinTech 前總裁 David Gogel 先後收到了兩封來自不明黑客的勒索郵件。
第一個郵件這樣寫道:
“我將在30分鐘內關閉你所有的加密數字貨幣交易所賬戶和電子郵件賬戶,同時我還將清空你谷歌網盤和谷歌相簿中的所有檔案,仔細想想看,你會去省這一個比特幣麼?還是說你想要自己所有的資訊都消失不見?附比特幣賬戶。”
半小時左右,他收到了第二個郵件,黑客提高了價碼:
“只剩五分鐘了,向這個賬戶中傳送兩個比特幣,我就會恢復你的郵箱賬戶,你的谷歌網盤和谷歌相簿也將平安無事。”
不用黑客提醒,作為加密數字貨幣投資人,David Gogel 在交易所中存的錢肯定比一個比特幣要值錢得多。但苦於手機 SIM 卡被劫持、Google 賬號被鎖,而受害者本人又無法讓運營商和 Google 的客服在第一時間介入,錯過挽回損失的黃金時間的 Geogel 只好在 Twitter 上求助於白帽黑客:
“AT&T,你們真不要臉!” Geogel 對於 AT&T 的服務大加鞭撻:
可能是 Twitter 上的傳播引起了 AT&T 的注意,客服人員開始慢吞吞地迴應,要求 Geogel 先提交一堆申請表……早已心急如焚的 Geogel 只好求律師幫忙:
另一方面,為了恢復郵箱和相簿的資料,David Geogel 又開始尋求 Google 安全團隊的聯絡方式:
事後總結的時候,David Geogel 意識到,在身份盜用、加密數字貨幣勒索和網路攻擊的三連擊下,自己帳戶安全性和網際網路隱私性早已名存實亡。在這些黑客面前,他的所有個人資訊完全就像是在“裸奔”。
Geogel 繼續寫道:
令人痛心的是,我並不是第一個受害者,也肯定不會是最後一個受害者。為了避免和我一樣走上烈士牆,你需要做一些額外的預防措施,比如說把基於簡訊驗證碼的雙重認證機制(two-factor authentication,2FA)改為基於第三方應用程式(Google 身份驗證器或 Duo)和基於硬體安全令牌(Google Titan 或 Yubico)的雙重認證機制,當然了也可以藉助大公司的力量,就比如說推動大公司投資並應用加密貨幣,從而使加密貨幣的整個使用流程更加標準化和規範化,這也是降低被黑客攻擊風險的最佳方法。
為此,我在社會公益請願網站 Change.org 上起草了一份請願書,希望全球資訊網聯盟(World Wide Web Consortium,W3C)、美國聯邦貿易委員會和美國聯邦調查局等標準制定部門和執法部門將使用基於硬體安全令牌的雙重認證機制列為所有網際網路公司的首要任務。
為此,Geogel 深入調查了針對於他的這次黑客事件的前因後果,他發現電話號碼的保護正處於黑客攻擊的漩渦中心。對於 AT&T 在黑客事件的失職,David Geogel 已經準備提起集體訴訟。在訴訟有結果之前,我們可以先來看一看 Geogel 的深度分析:
在網際網路上,你遠沒有想象中那麼安全
我們用資料來說話。根據美國聯邦調查局網際網路犯罪投訴中心(IC3)提供的資料,在 2013 年到 2017 年的五年時間裡,中心共接到約 140 萬起投訴,總報告損失約 55.2 億美元,其中由網際網路促成的犯罪活動數和損失金額數都大幅度上升。
美國聯邦調查局網際網路犯罪投訴中心釋出的總投訴數和總損失數(資料來源:https://pdf.ic3.gov/2017_IC3Report.pdf)
我們來看一下 2017 年的資料。其中社交媒體促成的犯罪活動共 19986 起,造成了 5700 萬美元的損失,加密貨幣促成的犯罪活動共 4139 起,造成了 5900 萬美元的損失。在整個 2017 年,身份盜用的受害者共有 17636 名,造成的損失高達 6900 萬美元。
2017年接到的各犯罪型別的受害者數目(資料來源:https://pdf.ic3.gov/2017_IC3Report.pdf)
2017年接到的各犯罪型別的損失數目(資料來源:https://pdf.ic3.gov/2017_IC3Report.pdf)
我們生活在一個日益數字化和超連通(hyperconnected)的世界中,科技的發展在方便了我們的同時也給我們帶來了很多的威脅,黑客對我們構建並過度依賴的不完善系統中的漏洞一清二楚。同黑客博弈,我們所用的工具嚴重落後於對手,被攻擊的風險無處不在。黑客手握多個攻擊向量,而且根據木桶效應,我們這些不完善系統的安全性只取決於那些安全性最薄弱的點。甚至可能我在本文中講述的一些被攻擊細節,也會給未來的黑客帶來攻擊的靈感,促使他們整合現有的攻擊向量,從而發起更加猛烈的攻勢。
2018 年的犯罪活動報告尚未公佈,但不難想象受害者、投訴案件和造成的損失量都將顯著提高。
請注意,美國聯邦調查局網際網路犯罪投訴中心提供的資料中並不包含手機 SIM 卡被非法移植的受害者數量,但我認為這些攻擊方式會更頻繁地出現。
在統計這些資料時,我在一篇 2016 年的部落格中發現了一件很有意思的事,美國聯邦貿易委員會的首席技術專家 Lorrie Cranor 也沒能躲過黑客的攻擊,成為了一名手機 SIM 卡被非法移植的身份盜用受害者。
“2013 年 1 月,共報告了 1038 起手機 SIM 卡被非法移植的身份盜用案件,佔當月報告給美國聯邦貿易委員會的所有身份盜用案件的 3.2%。截至 2016 年 1 月,手機 SIM 卡被非法移植的身份盜用案件已增至 2658 起,佔當月向美國聯邦貿易委員會報告的所有身份盜用案件的 6.3%,且受害者分佈在所有的四大主流移動運營商中。”
根據以往的經驗,黑客會將目光主要集中在 Instagram 名人以及任何在社交媒體上談論加密貨幣的人身上。雖說加密貨幣可以來交勒索的贖金,但也有一些“傳統”的黑客要求受害者將贖金轉移到指定的離岸銀行賬戶中。加密貨幣勒索是一種新型的犯罪形式,雖然加密貨幣贖金的流動通常都是可追溯的(許多加密貨幣中的賬戶都是假名的而非匿名的),但個人和機構很少有可以遵循的法律先例和防護措施。使用離岸銀行賬戶的勒索在法庭上有許多的先例,因為銀行為了追蹤資金的流動做了許多額外的安全保障措施。
這些攻擊方式暴露了一個可以用來盜用任何人身份的漏洞,如果政治家、記者、企業家以及一些關鍵人物的身份被盜用,帶來的後果將不堪設想。
黑客如何進行攻擊?針對最薄弱環節:移動運營商。
在非法移植手機 SIM 卡的攻擊中,黑客會使用你的姓名和電話號碼來接管你的電話號碼帳戶,從而盜用你的身份。具體的流程是怎樣的呢?
在美國,各大移動運營商都允許客戶攜號轉網,而攜號轉網往往會有一些運營商之間的管理真空,所以大部分非法移植手機 SIM 卡的攻擊都是鑽了攜號轉網的空子。法律要求客戶在攜號轉網時提供能證明身份的確切資訊,通常也就是提供一些個人身份資訊(Personally Identifiable Information,PII),就比如說你的社會安全號碼(Social Security Number,SSN,類似於中國的居民身份證號碼)的最後 4 位數字,你的地址,出生日期等等。鑑於這些年來資料洩露問題層出不窮,許多大公司的資料庫都遭到了黑客的攻擊,對於黑客來說蒐集這些資訊並不是什麼難事。
即使你的電話號碼帳戶資訊在過去並沒有被洩露,你並不能高枕無憂,不要忘了你可能在社交媒體上分享過大量的資訊。除此之外,蒐集資訊的方式還包括網路釣魚。這些黑客可以輕而易舉地使用這些零碎的資訊通過移動運營商的身份驗證。
具體是怎麼做的呢?
黑客來到移動運營商的營業廳,出示你的個人資訊,偽裝成你辦理攜號轉網業務,從而盜走你的電話號碼。
黑客會使用社會工程學(Social Engineering,即利用受害者的心理陷阱進行欺騙等手段,從而取得自身的利益,社會工程學是每個黑客的“基本功”)方法偽造一個故事,說服移動運營商的客戶服務代表跳過安全驗證步驟註冊新的手機 SIM 卡。黑客可能無法提供你電話號碼對應的密碼,但他們會主動提及你的社會安全號碼最後四位或其他的個人身份資訊來說服客戶服務代表。如果這一步沒有成功,黑客會利用搜集到的零星資訊不斷嘗試,直到騙過了某一個客戶服務代表。
最恐怖的情況是,黑客入侵了運營商的內部網路或者是勾結運營商內部人員註冊新的手機 SIM 卡,從而繞過運營商的賬戶安全性驗證。在洛杉磯訴訟公司 Greenberg Glusker 於 2018 年 8 月 15 日提起的一項訴訟中,加密貨幣投資者兼企業家 Michael Terpin 聲稱,AT&T 公司(美國電話電報公司,一家移動運營商)的員工一直在為手機 SIM 卡移植詐騙團伙提供幫助。Michael Terpin 說,AT&T 公司未能保護他手機資料的安全,導致黑客竊取了價值 2400 萬美元的加密貨幣。Terpin 要求 AT&T 公司支付 2380 萬美元的補償性賠償金和 2 億美元的懲罰性賠償金。以下是訴訟的一些摘錄:
最令人不安的是,儘管 AT&T 公司從眾多案件中瞭解到,一些員工通過讓黑客直接訪問客戶資訊或幫助黑客繞過 AT&T 的安全性保障程式,積極與黑客合謀進行手機 SIM 卡移植詐騙,而 AT&T 公司對此置若罔聞,並沒有改進其安全性保障措施。在最近的幾起案件中,執法部門甚至證實了有 AT&T 公司的員工將直接與網路恐怖分子和竊賊合謀進行手機 SIM 卡移植詐騙作為一種獲利手段。
因此,AT&T 公司的使用者隱私保護系統成了名副其實的現代馬其諾防線(法國在第一次世界大戰後,為防止德軍入侵而在其東北邊境地區構築的防禦體系,而在第二次世界大戰中,德軍輕鬆繞過了馬其諾防線攻擊法國,現在主要指看似表面堅固,實際毫無價值的事物):使用許多令人放心的術語給使用者一種資訊很安全的錯覺。
在這種情況下,AT&T 公司隱私保護程式的漏洞非常明顯,這也遵循了 AT&T 公司一貫的行事風格。作為一名經驗豐富,知名度很高的加密貨幣投資者,原告 Michael Terpin 是 AT&T 公司的長期忠實使用者,他將敏感的私人資訊委託給 AT&T 公司保管,並信賴 AT&T 公司的保證以及其基於法律的承諾。考慮到所有移動運營商關於保障客戶資料安全性的大肆宣傳,原告相信 AT&T 公司會堅守之前的承諾,給予自己的資料十足的安全保障,扼殺可能會導致數千萬美元加密貨幣被盜的資料洩露風險。
在發生了一起不愉快事件之後,AT&T 公司自稱對原告 Michael Terpin 的電話號碼賬戶進行了額外的保護,而一名冒充 Terpin 先生的黑客輕而易舉地從與黑客合作的 AT&T 公司內部人員處獲得了 Terpin 先生的電話號碼,而 AT&T 營業廳的客戶服務代表也沒有要求黑客提供有效的身份證明或提供 Terpin 先生設定的密碼。
AT&T 公司安全保障措施的不完備導致 Terpin 先生的電話號碼賬戶被黑客盜用,最終造成了超過 2400 萬美元的加密貨幣損失。
AT&T 公司的行為使得黑客可以輕而易舉地繞過安全性保障程式盜用 Terpin 先生的電話號碼賬戶,最終導致了 Terpin 先生的加密貨幣失竊。AT&T 公司所作所為就像是一家酒店給了一個冒充客戶的小偷客戶房間和房間保險箱的鑰匙,最終導致了客戶存放在保險箱裡的珠寶失竊。
AT&T 公司並沒有採取任何措施來保護其近 1.4 億個客戶免受手機 SIM 卡移植詐騙。因此,AT&T 公司直接對這些詐騙負有責任,因為它在很清楚地知道其客戶可能會遭受手機 SIM 卡移植詐騙的情況下仍堅持使用這種毫無意義的安全保障措施。AT&T 公司之所以對此熟視無睹,是因為它已經發展成了業界的巨無霸以至於不再關心這些安全問題。
作為其中的一名受害者,我在期待一場集體訴訟來從根本上解決該問題。
保護電話號碼是確保線上賬戶安全的關鍵
如果黑客通過移植手機 SIM 卡盜用了你的電話號碼帳戶,你能怎麼應對?簡單說,你已經歇菜了。因為保護你的電話號碼是才是確保你線上賬戶安全的關鍵。
一旦黑客在新手機 SIM 卡上激活了你的電話號碼帳戶之後,你的電話號碼就掌握在黑客手中了。接著,黑客就會使用你的電話號碼來獲取身份驗證訊息,並重置你所有線上賬戶的密碼。此時,你所設定的任何基於簡訊驗證碼的雙重認證機制都變得毫無意義,因為你的電話號碼已經被掌控在黑客手中,他可以輕而易舉地攔截來自谷歌、蘋果 iCloud、Facebook、Dropbox、銀行、信用卡髮卡機構以及加密貨幣交易所等任何第三方平臺的身份驗證資訊;此外,許多公司會致電或發簡訊以確認客戶身份,但這在此類情形下已毫無意義。
這就是我為什麼要強調,控制了你的電話號碼賬戶就等於控制了你所有的線上賬戶。
更恐怖的是,在你發現移動裝置無服務之前,你可能都不知道自己已經被黑客攻擊,甚至你可能只是認為這個地方訊號不好。
想必大家都經歷過移動裝置無服務的時候,如果是因為黑客攻擊那將是多麼恐怖的事情。
然後,當黑客更改完你的密碼,竊取了你的資金以及訪問了你的其他私人資訊時,你可能才會注意到線上帳戶無法訪問或同步的問題。
緊接著,你很可能會收到一封電子郵件(不要問我怎麼知道的,還記得文章開頭的電子郵件嗎?經驗都是血的教訓堆起來的),指示你將比特幣傳送到指定的錢包地址以重新獲得資料的訪問許可權。這一切都發生得非常快(通常在 1 小時之內),除非你當時恰好使用的是 WiFi(因為電話號碼賬戶被盜用你將無法使用流量上網功能)或在黑客攻擊期間你恰好開啟著你的電子郵件帳戶,否則你將失去所有的訪問許可權。
防禦心得:你不可能免疫黑客攻擊,但總有辦法降低被攻擊的風險
辦法還是有的。你可以為自己的電話號碼賬戶新增額外的安全性保障措施,就比如說為自己的電話號碼賬戶建立一個密碼。美國聯邦貿易委員會要求移動運營商採取一些措施以檢測和防範身份盜用詐騙。許多移動運營商允許客戶為自己的帳戶設定密碼,因此對帳戶進行任何更改之前都必須先提供密碼。雖然移動運營商通常會這樣規定,但這個過程也並不是 100% 安全的,也可能會受到攻擊。就像一句古話所說,上有政策,下有對策,客戶服務代表並不總會遵循這些規定。不過,有總比沒有好,以下是我在美國聯邦貿易委員會官網上摘錄的一些資訊:
AT&T 公司提供他們稱之為“額外的安全性保障”功能。一旦啟用,任何與 AT&T 公司的互動,無論是通過網頁,還是通過客服熱線,或是在營業廳現場辦理,都需要客戶提供密碼。你可以通過 AT&T 線上帳戶或手機上的 myAT&T 應用程式開啟“額外的安全性保障”功能。請注意,當你使用這個密碼登入線上賬戶時,頁面上可能會出現一條選項詢問你是否不再要求提供密碼,不要接受這個選項,否則你將禁用“額外的安全性保障”功能。
Sprint 公司要求每個新客戶在開戶時設定 PIN 碼和安全問題,因此無需採取額外的安全保障措施。
T-Mobile 公司允許客戶為自己的賬戶建立客戶照管密碼(customer care password)。一旦建立,客戶每次致電 T-Mobile 客服時都需要提供此密碼。客戶可以撥打 T-Mobile 客戶服務熱線或訪問 T-Mobile 營業廳設定客戶照管密碼。
Verizon 公司允許客戶設定帳戶 PIN 碼。客戶可以通過在其線上帳戶中編輯個人資料,致電客戶服務熱線或訪問 Verizon 營業廳設定賬戶 PIN 碼。此賬戶 PIN 碼為電話交易和某些其他交易提供了額外的安全性保障。
平時你還可以採取以下幾點預防措施:
不要隨意分發你的電話號碼。有選擇性地將電話號碼分享給與你有業務往來的公司,並嚴格限制分享的頻率,因為每多一次分享,就多一絲風險。提示:不要在任何可能會引起黑客注意的帳戶中分享你的主要電話號碼,迫不得已時將主要電話號碼替換為網路電話(Voice over Internet Protocol,VOIP)號碼,例如谷歌語音號碼,這樣做能降低你主要電話號碼被攻擊的風險。特別是,將你的移動運營商帳戶中的可信電話號碼更改為你的網路電話號碼,以便於在緊急情況下恢復電話號碼的控制權。你可以使用密碼和雙重認證機制來保障此新號碼的安全性。
使用密碼管理器為每個線上帳戶生成安全,唯一的密碼。就比如說使用 1Password 或 Lastpass。提示:在密碼管理器上啟用基於硬體安全令牌(Google Titan 或 Yubico)的雙重認證機制。如果你是社會活動家、記者或其他潛在的攻擊目標(就比如說你持有加密貨幣),Google 的高階保護(Google Advanced Protection)是你保障安全的最佳選擇,有了它你只需要記住自己的恢復程式碼並將其與護照一起儲存。
不要使用或者直接禁用基於簡訊驗證碼的雙重認證機制。在 2018 年,雙重認證機制已成為最常用也是最重要的帳戶安全保障機制。然而,許多網站不支援任何雙重認證安全性機制,有些網站僅支援基於簡訊驗證碼的雙重認證機制,而這是一種有嚴重缺陷的安全保障措施,讓使用者產生一種很安全的錯覺。的確,實現雙重認證的最簡單方法是使用簡訊驗證碼,即每次嘗試登入受保護的線上帳戶時都會收到帶有訪問驗證碼的簡訊。只有少數公司支援使用基於硬體裝置的雙重認證機制,這是企業和政府使用的最佳標準。
定期清理電子郵件的收件箱。刪除可能包含你個人資訊的電話帳單,銀行對帳單以及其他電子郵件。提示:在你的電子郵件帳戶和網盤中搜索與帳戶資訊相關的關鍵字,這也是黑客通常採取的第一個步驟,儘快刪除或更改這些關鍵字。
如果你持有或投資加密貨幣,請將你的加密貨幣儲存在冷錢包(如 Trezor、Ledger、紙錢包、硬體錢包等等)中。提示:清除私鑰所有的使用記錄。因為每個網站都可能會被黑客入侵,這只是一個時間問題。
嘗試破解自己的線上賬戶,發現漏洞並修復漏洞。
血的教訓:必須要讓運營商負起責任來
黑客偷走並盜用了我的身份,AT&T 和 Google 帶走了我的理智,當被黑客入侵時,客戶服務部門和反欺詐部門都會成為資訊的孤島,短時間內我們無法與之建立聯絡。我們信任自己每天使用的服務。不過一旦黑客入侵,你就是一個人在戰鬥。
在便利性和安全性之間存在明顯但很可惜的妥協。許多網站僅支援基於簡訊驗證碼的雙重認證機制,而這是一個明視訊記憶體在缺陷的安全保障措施。我們需要向公司施壓,讓這些公司升級自己的安全保障系統。這些服務提供商是否犯有嚴重過失,違反法定義務以及未能遵守其隱私政策中的承諾?我認為是的。我們不能寄希望於他們自己做出改變,在為時已晚之前我們需要團結起來,花一些事件參與到我的請願活動中來,簽署我為全球資訊網聯盟,美國聯邦貿易委員會和美國聯邦調查局起草的請願書,希望能將基於硬體安全令牌的雙重認證機制列為所有網際網路公司的首要任務。
基於簡訊驗證碼的雙重認證機制已經涼了
積極參與社交媒體是一把雙刃劍。如果你想成為網際網路上的思想領袖,你需要付出額外的安全性代價。需要注意的是,當下的機構和公司並不知道該如何應對不斷變化的 21 世紀的新威脅。我並不認為我們能夠應對更復雜的、由敵對國家幕後支援的網路攻擊行為。
美國聯邦調查局不贊同使用者向黑客支付贖金,因為支付贖金並不能保證使用者可以重新獲得其資料的訪問許可權。此外,支付贖金會讓黑客嚐到甜頭,從而將目光轉向更多的人,併為犯罪分子提供有利可圖的環境。
為什麼我們隨意共享的社會安全號碼和電話號碼會是我們線上賬戶身份的基石?密碼學上的公私鑰加密技術可以讓第三方在不共享這些有價值資料的情況下驗證我們的身份。密碼學的進步和區塊鏈技術的大規模採用在未來將改變這種現狀。
手機號碼作為中心故障點,一旦出問題就會給這些互相連線系統造成嚴重的破壞。當下,一些民眾普遍信任的機構控制和管理著大量的資訊。區塊鏈技術可以幫助從當今資訊的中心化儲存庫轉移到去中心化程度更高、強健性性更好的容錯網路中。區塊鏈技術為我們描繪了一個不依賴於中心化組織來管理我們的資料,並把數字生活的控制權下放給我們使用者的美好願景。我們應該行動起來,爭取自己資料的更大權利。
給美國受害者的建議:
如果你也不幸遭遇了黑客攻擊,在美國的話,我的建議是這樣的:
首先,致電你的移動運營商,禁用新手機 SIM 卡,並恢復對你電話號碼的訪問許可權。
致電那些黑客盜用你身份進行欺詐行為的公司,儘可能快地恢復你的帳戶並及時止損。進行欺詐備案並調取你的信用報告,監控或直接凍結你的信用額度,以防止黑客以你的名義開立新帳戶。
《公平信用報告法案(The Fair Credit Reporting Act ,FCRA)》規定了身份盜用受害者的權利以及企業的責任。身份盜用受害者有權向企業索取與自己身份被盜有關的交易記錄副本,就比如說信用卡的申請情況。根據美國聯邦法院《公平信用報告法案》的第 609(e)節,你需要按指定格式寫一封用於從你的移動服務運營商處獲取與身份盜用有關的業務記錄的請求信。
向美國聯邦貿易委員會報告身份盜用情況。
向美國聯邦調查局網際網路犯罪投訴中心(“IC3”)發起投訴。
向本地警察局提交報告。
原文連結:https://tokeneconomy.co/how-to-upgrade-your-arsenal-to-protect-against-cyber-warfare-for-crypto-non-crypto-internet-d25d944d62c2
對於中國的廣大讀者來說,這起發生在美國的黑客事件,有不少地方值得我們借鑑。但借鑑需因地制宜,其中需要我們進一步優化的措施又有哪些呢?歡迎留言分享
偷偷告訴你
,標星看大圖更舒服喲!
推薦閱讀
大力戳 ↑↑↑ 加入讀者群,備註姓名+公司
(內容轉載請加微信:171075719)
(商務合作請加微信:fengyan-1101)