Криптовалютные аккаунты ломают через номера мобильных телефонов

GetBTC

Администратор
Команда форума
Регистрация
27 Июн 2018
Сообщения
260
Симпатии
76
Веб-сайт
getbtc.org
#1


Хакеры показали обществу, что один из самых центральных элементов онлайн-безопасности - номер мобильного телефона - в то же время является слабым звеном в структуре финансовой безопасности.

В большинстве случаев хакеры через службу поддержки телефонных компаний, например, таких как: Verizon, T-Mobile U.S., Sprint и AT&T и просят перенести контроль номера телефона жертвы на устройство, находящееся под контролем хакеров.

Как только они получат контроль над номером телефона, они могут сбросить пароли в каждой учетной записи, использующей номер телефона, в качестве резервной копии безопасности. Такой функционал представляет Google, Twitter и Facebook.

«Мой iPad , мой телефон перезагрузились. Мой компьютер проделал тот же фокус, и вот тогда по мне пробежал холодный пот и подумал:« Так, это походу серьезно », - рассказывает один из криптовалютных инвесторов, потерявший контроль над своим номером телефона в конце прошлого года.

Данный вид мошенничества растёт с небывалой скоростью. Но особенно сконцентрированная волна ударила по тем, кто тем или иным образом дал понять, что у него на балансе есть приличная сумма средств в криптовалюте.

В течение нескольких минут после получения контроля над телефоном вышеупомянутого инвестора, кибермошенники сменили пароль на цифровом кошельке валюты и спокойно вывели все деньги - около 200 000 долларов, если считать по нынешнему курсу.

Большинство жертв этих атак в в криптосообществе не хотели публично признавать это из-за боязни критики со стороны оппонентов крпиты. Но в интервью, десятки видных людей в отрасли признали, что они становились жертвами мошенничества.

«Все, кого я знаю в криптосообществе, хоть раз, но становились жертвами "угона номера"», - об этом сказал Джоби Уикс, биткоин-предпринематель.

Уикс потерял свой номер телефона и около миллиона долларов в криптовалюте в конце прошлого года, несмотря на то, что попросил своего оператора мобильной связи о дополнительной безопасности после того, как его жена и родители потеряли контроль над своими номерами телефонов.

Нападавшие, похоже, сосредоточены на тех, кто рассказывает в социальных сетях о владении криптовалютами или на тех, кто, согласно публичной информации, инвестирует в криптовалютные компании, т.е. венчурных капиталистов.

Счета в банках и брокерских фирмах и подобных учреждения не так уязвимы для этих атак, потому что эти учреждения обычно могут отменить непреднамеренные или злонамеренные транзакции, если они пойманы в течение нескольких дней.

В ряде случаев, связанных с поклонниками криптовалюты, злоумышленники держали файлы электронной почты последних для выкупа, угрожая выложить в публичный доступ интимные фотографии.

Уязвимость от подобных атак компетентных программистов и экспертов в области кибербезопасности даёт понять, что если "такие ребята" не застрахованы, то уж говорить о менее технологически подкованных жертвах. Эксперты по безопасности опасаются, что эти виды атак станут более распространенными, если операторы мобильной связи не внесут существенных изменений в сфере безопасности.

«Реальность такова, что сейчас нельзя быть уверенным в том, что ваши данные и средства в безопасности, если вы используете телефонную безопасность, независимо от её вида, типа и тд.», - сказал Майкл Перклин (Michael Perklin), глава отдела информационной безопасности одной крупной криптовалютной биржи.

Операторы мобильной связи заявили, что предпринимают всевозможные шаги, чтобы предотвратить атаки, позволяя, помимо базовых элементов безопосности, добавлять более сложные персональные идентификационные номера или PIN-коды к учетным записям.

Но этих мер явно недостаточно. В некоторых случаях взлома хакеры удерживали под контролем телефонными номера, даже когда жертвы знали, что их атакуют, и предупреждали своего оператора сотовой связи.


Адам Покорницкий, управляющий партнер Cryptochain Capital, попросил Verizon внести дополнительные меры безопасности на свой счет после того, как он узнал, что злоумышленник попытался в 13 раз (!) перевести свой номер на новый телефон.

Но через день, сказал он, хакер убедил другого агента Verizon изменить номер мистера Покорницкого, не требуя нового ПИН-кода.

Представитель Verizon, Ричард Янг, заявил, что компания не может комментировать конкретные случаи, но этот перенос телефона не был обычным явлением.

«Несмотря на то, что мы прилагаем все усилия, чтобы гарантировать, чтобы клиентские счета оставались в безопасности, иногда случаются случаи, когда автоматические процессы дают сбой или "срабатывает" человеческий фактор», - сказал он. «Мы стремимся быстро исправить эти проблемы и искать дополнительные способы повышения безопасности».

Один из экс-работников канадского оператора мобильной связи, рассказал, что большинство телефонных компаний записывают любые дополнительные запросы безопасности в примечаниях к учетной записи клиента.

Но агенты обычно действуют самостоятельно, независимо от того, что есть в заметках, и с такой же легкостью пропускают информацию "мимо глаз" о пользователе.

Уязвимость номеров телефонов является непреднамеренным последствием прогресса в сфере безопасности, Речь идёт о внедрение двухфакторной аутентификации, которая должна была помочь сделать учетную запись более безопасной.

Многие e-mail службы и финансовые фирмы требуют от клиентов связывать свои онлайн-счета с телефонными номерами, чтобы проверить их личность. Но эта система также обычно позволяет кому-то с номером телефона сбросить пароли на этих учетных записях, не зная исходных паролей. Хакер просто нажимает «забыл пароль?» И имеет новый код, отправленный на управляемый телефон.

Покорницкий был в сети в тот момент, когда его номер телефона был захвачен, и он наблюдал, как хакеры захватили все его основные аккаунты в течении нескольких минут.

«Они всё время были на шаг впереди», - комментирует он.

Скорость, с которой совершаются взломы, убедила детектив и небезразличных журналистов, что атаки обычно управляются группами хакеров, работающих сообща.

Дэнни Янг, глава службы безопасности виртуальной валюты BlockSeer, давал понять, что он вместе со своей командой нашли "концы разных ниточек", которые вели в совершенно разные страны, например, на Филиппины, при этому другие же следы вели следствие в такие страны как Турция и США.

Основная схема выглядит примерно следующим образом: хакеры звонили в службы поддержки, рассказывая и выдавая себя за жертв в рыданиях (прим. ред. - не берём это слово в кавычки, чтобы подчеркнуть актёрскую игру (анти)героев, к сожалению не лирических) о чрезвычайной ситуации, и мол телефонный номер нужно срочно переносить на новый девайс, ибо будет беда. Особенно хотим обратить ваше внимание на тот момент, что социальные хакеры парни настойчивые.

GetBTC считается одной из самых безопасных бирж пост-советского пространства. А этот канал один из самых полезных и информативных. Всех вам благ, держите руку на пульсе!
 

ktulhu

Активный пользователь
Регистрация
13 Июл 2018
Сообщения
95
Симпатии
3
Веб-сайт
zarabotokihobbi.blogspot.com
#2
Собственно здесь та же проблема что и везде, люди сами дают понять, что у них есть деньги. Человек сам обозначает себя как мишень для атаки, стоит ли удивляться, что достаточно быстро найдется немало хакеров, которые захотят его взломать, когда работаешь с криптовалютой, анонимность лучше поддерживать не только в интернете но и в реальном мире, и тогда хакеры не будут вам страшны. А так, здесь та же ситуация что и в реальном мире при ограблении, человек сам привлек внимание злоумышленников, за что и поплатился.
 
Сверху