DIA:手机号验证不堪一击? Coinbase用户遭遇SIM卡转移攻击

攻前些天有人的Coinbase账号遭遇了SIMPortAttack,损失了超过10万美金的数字货币,很惨痛。击过程大概是:攻击者通过社会工程学等手法拿到目标用户的隐私,并到运营商得到一张新的SIM卡,然后通过同样的手机号轻松搞定目标用户在Coinbase上的权限。

Dialect与Solana手机团队合作,将推出开源聊天应用Dial:7月6日消息,智能消息传递协议Dialect宣布与Solana Mobile团队合作,为SMS构建核心消息传递基础设施和开发人员工具,并将推出消费者级别的开源消息传递应用程序Dial。

Dialect为Solana上超过15个DApp的消息传递提供支持。Dial应用程序能让用户直接从钱包进行私信和群聊,其智能消息标准在消息中签署交易不涉及任何Web2身份。接下来的几个月中,Dialect将分阶段开源移动工具,完成Dial应用程序的发布,为核心SMS工具做出贡献。[2022/7/6 1:54:43]

SIM都被转移了,这就很麻烦了,基本来说我们很多在线服务都是通过手机号来做的二次验证或直接身份验证,这是一个非常中心化的认证方式,手机号成为攻击的弱点。

动态 | 富士康区块链手机Finney预计11月上线:据CoinTelegraph消息,Sirin Labs和富士康子公司联合发布的区块链手机Finney将于2018年11月上线。Sirin Labs曾在去年的ICO中募得1.578亿美元,由足球巨星梅西助力。[2018/7/11]

这个攻击以前在国内也有不少案例,运营商的风控策略也越来越强大,但策略这东西总是有绕过方式,这种方式主要就是社会工程学,当然也不排除其他方式的结合。

Jeremy Gardner发推称向政府官员了解到海关有权搜索手机中的加密财产:2月20日Jeremy Gardner发推文称前晚与政府官员共进晚餐了解到.海关或边境代理有权搜查手机中的加密资产,无论是托管在Coinbase或其他的托管机构;“如果被发现超过1万美元并且没有申报,那么你就完了。”[2018/2/23]

不是我不信任运营商或中心化服务,而是这种重要的资产,大家要更加谨慎了,大额的数字货币是不是应该有更安全的存放方式?相关平台的安全风控策略是不是也该多琢磨如何再提升提升?

攻击示意图见下面,第一张图是正常流程,第二张图是攻击流程。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:521ms