bomj (OP)
|
|
January 22, 2020, 02:50:24 PM |
|
Преамбула: На днях прочитал еще об одной краже крипты с использованием SIM-свопинга. Ранее слышал об этом краем уха и имел небольшое представление, но решил еще раз перечитать. На мой взгляд одной из лучших статей(даже среди англоязычных) оказалась инструкция автора Виктора Сикирина, опубликованная на ресурсе DeCenter: Что такое SIM-свопинг и как защитить от него свои крипто-активыПостить здесь ее считаю некорректным к автору и ресурсу, да и перевода она не требует. Опубликую 1-й абзац, чтобы было представление о статье и о SIM-свопинге (ну а читать или не читать, думать вам): Привязывать аккаунт к SIM-карте давно стало стандартом безопасности в банках и различных финансовых сервисах, в том числе и в криптовалютных. Кажется, что двухфакторная аутентификация надежно защищает данные и активы. Но на деле это не так: в апреле студент из Калифорнии получил 10 лет тюрьмы за кражу криптовалют с помощью SIM-карт. 21-летний Джоэл Ортиз смог украсть порядка $7.5 миллиона в криптовалютах через так называемый SIM-свопинг (обмен сим-картами) — мошенническую схему, в рамках которой злоумышленники получают доступ к информации жертвы, а затем обращаются к оператору сотовой связи и просят перевыпустить SIM-карту, выдавая себя за другого человека. С помощью SIM-свопинга крадут криптовалюты на миллионы долларов. DeCenter разобрался, насколько SIM-свопинг угрожает держателям криптовалют и как обезопасить свои крипто-активы. <.......>
В общем-то статья мне показалась полезной и заставила еще раз задуматься о безопасности.
|
|
|
|
|
|
|
|
|
The Bitcoin network protocol was designed to be extremely flexible. It can be used to create timed transactions, escrow transactions, multi-signature transactions, etc. The current features of the client only hint at what will be possible in the future.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
investgroup
|
|
January 22, 2020, 02:53:55 PM |
|
просто любое удобство для восстановления - дырка в безопасности!
|
|
|
|
madnessteat
Legendary
Offline
Activity: 2226
Merit: 1983
|
|
January 22, 2020, 03:26:25 PM |
|
Сейчас же на большинстве нормальных бирж включена поддержка Google Authenticator, плюс ко всему ведутся логи по IP, и если пользователь заходит с нового IP, то необходимо подтвердить действие с почты. В качестве дополнительной защиты на почту можно также привязать двойную аутентификацию. Полагаю, что такую связку будет не просто обойти.
|
| . .Duelbits. | │ | | │ | ▄▄█▄▄░░▄▄█▄▄░░▄▄█▄▄ ███░░░░███░░░░███ ▀░░░▀░░▀░░░▀░░▀░░░▀ ▄░░░░░░░░░░░░ ▀██████████ ░░░░░███░░░░▀ ░░█░░░███▄█░░░█ ░░██▌░░███░▀░░██▌ ░█░██░░███░░░█░██ ░█▀▀▀█▌░███░░█▀▀▀█▌ ▄█▄░░░██▄███▄█▄░░▄██▄ ▄███▄ ░░░░▀██▄▀ | . REGIONAL SPONSOR | | ███▀██▀███▀█▀▀▀▀██▀▀▀██ ██░▀░██░█░███░▀██░███▄█ █▄███▄██▄████▄████▄▄▄██ ██▀ ▀███▀▀░▀██▀▀▀██████ ███▄███░▄▀██████▀█▀█▀▀█ ████▀▀██▄▀█████▄█▀███▄█ ███▄▄▄████████▄█▄▀█████ ███▀▀▀████████████▄▀███ ███▄░▄█▀▀▀██████▀▀▀▄███ ███████▄██▄▌████▀▀█████ ▀██▄███▀██▄█▄▄▄██▄████▀ ▀▀██████████▄▄███▀▀ ▀▀▀▀█▀▀▀▀ | . EUROPEAN BETTING PARTNER | |
|
|
|
taikuri13
Legendary
Offline
Activity: 1218
Merit: 1589
|
Сейчас же на большинстве нормальных бирж включена поддержка Google Authenticator, плюс ко всему ведутся логи по IP, и если пользователь заходит с нового IP, то необходимо подтвердить действие с почты. В качестве дополнительной защиты на почту можно также привязать двойную аутентификацию. Полагаю, что такую связку будет не просто обойти.
Почему то многие упоминают именно Гугл, когда речь идет об аутентификации. На самом деле есть инструменты поудобнее, чем этот, всеми рекомендуемый. Ну и да, при желании можно и это обойти, поэтому в той статье от ТС - указаны хорошие рекомендации по хранению и по сохранению анонимности. Дополнительно почитать тут: https://habr.com/ru/post/483134/https://tproger.ru/news/2fa-exploit/
|
|
|
|
StartupAnalyst
Sr. Member
Offline
Activity: 728
Merit: 317
Crypto Casino & Sportsbook
|
|
January 22, 2020, 09:00:32 PM |
|
Про этот SIM-свопинг слышал в Украине, читал новость как-то о том что банду из 4-х человек арестовали, они заказывали перевыпуск сим карты и снимали деньги с банковской карты, из интересного помню что организатором и главой была сорока семилетняя женщина.
|
|
|
|
Grattis
Member
Offline
Activity: 255
Merit: 10
|
|
January 23, 2020, 07:08:39 AM |
|
У любого оператора связи можно написать заявление чтобы не делали перевыпуск симки по доверенности а только при лично явке заявителя. Отчасти так можно решить проблему но если мошенники работают в компании сотового оператора то ничего не спасет от такого взлома.
|
|
|
|
taikuri13
Legendary
Offline
Activity: 1218
Merit: 1589
|
|
January 23, 2020, 07:31:43 AM |
|
У любого оператора связи можно написать заявление чтобы не делали перевыпуск симки по доверенности а только при лично явке заявителя. Отчасти так можно решить проблему но если мошенники работают в компании сотового оператора то ничего не спасет от такого взлома.
Одним из вариантов, если необходим номер телефона - будет специальное трудоустройство одного из мошенников к оператору сотовой связи. Если сумма денежных средств достаточно большая, на эту операцию тратится время. Однако, это все больше используется для фиатных средств. Избежать этого можно - не привязывая аккаунты к сим-карте.
|
|
|
|
kzv
Legendary
Offline
Activity: 1722
Merit: 1285
OpenTrade - Open Source Cryptocurrency Exchange
|
|
January 23, 2020, 07:48:07 AM |
|
Избежать этого можно - не привязывая аккаунты к сим-карте.
Ну да, а лучше вообще сотовыми не пользоваться и ходить в шапочке из фольги с бумажной сберкнижкой... Правда их (книжки) вроде не выдают уже ((
|
|
|
|
esmanthra
|
|
January 23, 2020, 08:06:11 AM Merited by Symmetrick (1) |
|
Кажется, что двухфакторная аутентификация надежно защищает данные и активы используют двухфакторную аутентификацию и к которым привязана симка Называть аутентификацию через СМС "двухфакторной" некорректно. Аутентификация через СМС носит название " двухэтапной аутентификации". И это важно, потому что показывает понимание, как эти процессы устроены. А иначе мы приходим к пункту в статье, озаглавленному: Не используйте двухфакторную аутентификацию В то время как именно двухфакторную аутентификацию нам и надо использовать. Если у мошенников будут ваши паспортные данные, скан или копия паспорта, их шансы обмануть доверчивых сотрудников сотового оператора резко возрастают И не только сотового оператора. Например, они могут понабрать кредитов.
|
|
|
|
witcher_sense
Legendary
Offline
Activity: 2310
Merit: 4313
🔐BitcoinMessage.Tools🔑
|
|
January 23, 2020, 08:18:17 AM |
|
Одним из вариантов, если необходим номер телефона - будет специальное трудоустройство одного из мошенников к оператору сотовой связи. Если сумма денежных средств достаточно большая, на эту операцию тратится время. Однако, это все больше используется для фиатных средств. Избежать этого можно - не привязывая аккаунты к сим-карте.
Если вопрос касается действительно крупных сумм, то такой способ не подойдет мошеннику, потому что могут проверить всех людей, недавно устроившихся на работу и выявить подозреваемого. Конечно, можно планировать все заранее, но это уже из раздела фантастики и обычно очень большие деньги не защищены только смсками. Вообще, тут проблема не в продажных работниках, и не в регистрации по номеру телефона. Сама концепция сим-карт уже давно устарела, физические сим-карты используются с момента создания первых мобильных телефонов. Мобильные телефоны изменились кардинально, но способ связи с оператором так и остался зависим от пластиковой карты, которую можно легко скопировать. Возможно, что электронные сим-карты как-то решают проблемы с их кражей или копированием, но прогресс не стоит на месте и даже такую технологию научаться взлаиывать и использовать против пользователя.
|
|
|
|
taikuri13
Legendary
Offline
Activity: 1218
Merit: 1589
|
~ Мобильные телефоны изменились кардинально, но способ связи с оператором так и остался зависим от пластиковой карты, которую можно легко скопировать. ~
Ну не всегда пластиковая карта, есть технология eSIM, правда она только на очень малом количестве моделей. https://habr.com/ru/post/447500/Ну и вот такой вариант есть, он очень сложно развивается, mesh-сети. Но в моем понимании именно за этими сетями будущее. Особенно, в свете увеличения количества " умных" устройств, связанных сетью интернет. https://servernews.ru/1001200https://habr.com/ru/post/196562/
|
|
|
|
BITpashaCOIN
Copper Member
Member
Offline
Activity: 728
Merit: 12
|
|
January 23, 2020, 10:50:17 PM |
|
Сейчас же на большинстве нормальных бирж включена поддержка Google Authenticator, плюс ко всему ведутся логи по IP, и если пользователь заходит с нового IP, то необходимо подтвердить действие с почты. В качестве дополнительной защиты на почту можно также привязать двойную аутентификацию. Полагаю, что такую связку будет не просто обойти.
Если все эти меры соблюдать, то можно спать спокойно, но большинство мошенников используют не какие-то хакерские супер приборы или методы, а обычную и проверенную временем социальную инженерию. Только если в классической схеме жертва обрабатывается мошенником напрямую, то в вышеупомянутой ситуации мошенником обрабатывается третье лицо, представитель услуг связи. И пусть биржи придумают ещё с десяток способов защиты, всегда самой большой дырой будет оставаться человек. п.с. Google Authenticator хорошая штука... до того момента, как на нём хранится 20+ ключей для социалок почт и бирж и телефон внезапно ломается. Вы берёте второй телефон или новый и устанавливаете его заново, и тут сюрприз, Google Authenticator не привязывается к аккаунту, но беспокоится не стоит, все же пользователи хранят резервные коды... урок из жизни, всегда дублируйте резервные коды от всех мест где используете Google Authenticator .....
|
|
|
|
esmanthra
|
|
January 24, 2020, 08:05:16 AM |
|
всегда дублируйте резервные коды от всех мест где используете Google Authenticator Некоторые из аналогичных приложений (например, Authy или Яндекс.Ключ) позволяют сохранять резервные копии токенов в облако. И хоть лично я не в восторге от идеи хранения чего угодно паролеобразного в облаках (т.е. у третьих лиц) - даже при условии установки пароля, - для кого-то такое решение может быть удобным. Ну, а самый простой способ - сохранять скриншот QR-кода, который генерируется в момент установки 2FA.
|
|
|
|
taikuri13
Legendary
Offline
Activity: 1218
Merit: 1589
|
|
January 24, 2020, 08:22:11 AM Merited by Symmetrick (1) |
|
Для правильного хранения пароля на любом открытом ресурсе, включая облако - можно засунуть резервную копию в контейнер, например: https://www.veracrypt.fr/en/Home.htmlИ да, не каждое облако может хорошо отнестись к зашифрованной информации, поэтому лучше сделать несколько бэкапов и использовать разные облака.
|
|
|
|
bomj (OP)
|
|
January 25, 2020, 11:17:12 PM |
|
Нашел у себя в телефоне слот для второй сим карты.............. А мож и правда, для фин. операций следует оформлять оттдельную SIM карту,........... но как следует из новостей,, вся информация продается. И по этому я отказался от 2-х факторной, хрен его знает,,,,,,, Лучше проще, да потерь меньше, раскидал я крипту по разным............
|
|
|
|
BITpashaCOIN
Copper Member
Member
Offline
Activity: 728
Merit: 12
|
|
January 27, 2020, 11:30:28 PM |
|
Как вам вариант получить официальный виртуальный номер? Например, Skype, Viber и другие позволяют подключать виртуальные номера. Что думаете по этому поводу?
|
|
|
|
witcher_sense
Legendary
Offline
Activity: 2310
Merit: 4313
🔐BitcoinMessage.Tools🔑
|
|
January 28, 2020, 06:18:01 AM |
|
Как вам вариант получить официальный виртуальный номер? Например, Skype, Viber и другие позволяют подключать виртуальные номера. Что думаете по этому поводу?
Вариантов может быть куча, самым разумным будет отказаться от регистрации или аутентификации по номеру телефона. Если вы станете целью злоумышленника, то никакие виртуальные номера не помогут. Существуют программв по перехвату смс-сообщений, ему не нужно будет добывать даже сим-карту, но если большие деньги на кону, то можно моздать даже клон сим-карты с вашим виртуальным номером. Не знаю, пользуются сейчас еще скайпом, но вот в случае вайбера преступник сможет найти лазейки, если его цель оправдывает средства. Сначала, он скопируют вашу симку с настоящим номером (ведь большинство таких мессенджеров привязаны к телефону, даже "суперприватные" Signal и Telegram), потом уже получит доступ к вашим остальным телефонам и все усилия станут напрасными. Какая логика должна работать в случае криптовалютных средств: вы должны иметь контроль над своими приватными ключами, не доверять никаким третьим сторонам и посредникам, всю информацию нужно хранить в зашифрованном, а не открытом (публичном виде). При использовании телефонных номеров никакие из этих принципов не работают, логичней будет убрать этот способ из цепочки.
|
|
|
|
EdvinZ
|
|
January 28, 2020, 08:10:41 AM |
|
Давно слышал о том, что двух-факторная авторизация при помощи СМС-сообщений не самый лучший вариант. Сим-карту, даже если отбросить случаи мошенничества, сотовый оператор может заблокировать через какое-то время и продать другому человеку, если ей не пользоваться . Есть и другие, более надежные способы аутентификации.
|
|
|
|
bakasabo
Legendary
Offline
Activity: 2296
Merit: 1178
|
|
January 28, 2020, 08:51:59 AM |
|
Интересная статья, спасибо. Получается весь сим-свопинг завязан на некомпетентности менеджера мобильного оператора. И единственный шанс поймать/идентифицировать мошенника - в момент получения им симки в салоне моб связи.
|
R |
▀▀▀▀▀▀▀██████▄▄ ████████████████ ▀▀▀▀█████▀▀▀█████ ████████▌███▐████ ▄▄▄▄█████▄▄▄█████ ████████████████ ▄▄▄▄▄▄▄██████▀▀ | LLBIT | │ | CRYPTO FUTURES | | | | | | | │ | 1,000x LEVERAGE | │ | COMPETITIVE FEES | │ | INSTANT EXECUTION | │ | . TRADE NOW |
|
|
|
esmanthra
|
|
January 28, 2020, 09:34:35 AM Last edit: January 29, 2020, 06:24:38 AM by esmanthra |
|
Как вам вариант получить официальный виртуальный номер? В случае со всеми этими аутентификациями и проверками главный вопрос такой: необходимо ли посредничество третьих лиц для самой генерации и получения проверочного кода? Приложения для 2FA (типа Google Authenticator или Authy) абсолютно автономны. Они работают по схожему алгоритму и пекутся только о правильных настройках даты и времени и заряде аккумулятора - им не нужно ни подключение к интернету, ни оплаченная мобильная связь. Вы можете установить приложение на планшет или смартфон, дать ему токен, а затем отключить на гаджете вайфай, вынуть симку и засунуть его в самый темный угол - и приложение все равно будет исправно поставлять Вам коды. (Для нелюбителей приложений и определенных алгоритмов есть, впрочем, и другие варианты.) Возможно ли что-то похожее в случае с 2SV (аутентификация по СМС)? Очевидно, нет, потому что Вам понадобится оператор связи, который как бы встанет между Вами и тем ресурсом, доступ на который Вы защищаете, дабы пересылать проверочные коды на Ваш телефон. Соответственно, мы имеем все условия для атаки посредника, когда кто-то имеет возможность вклиниться между Вами и сервером и перехватить корреспонденцию. (И таких возможностей на самом деле довольно много: тут, фактически, все узлы могут быть уязвимы.) Виртуальные номера в том же Viber'е не существуют в вакууме - они предоставляются и обслуживаются все той же третьей стороной и привязаны все к тому же реальному номеру мобильника. Т.е. это может помочь, если Вам надо, например, опять зарегистрироваться на каком-то сервисе, а все мобильники знакомых уже кончились. Или если надо зарегистрироваться, а не хочется "светить" реальный номер. Или вообще если не хочется "светить" реальный номер, а какой-то номер кому-то дать нужно. Но в плане пересылки проверочных кодов здесь все то же самое - со всеми сопутствующими рисками.
Чтобы далеко не ходить, допишу и про "неофициальные" виртуальные номера. В интернете есть сервисы, предоставляющие их на платной и бесплатной основе. В основном они используются во всякого рода мошенничестве и прочей "нечестной игре", а потому зачастую находятся на плохом счету у тех сервисов, доступ к которым мы в конечном счете и защищаем. Используя такой номер, можно прежде всего напороться на блокировку учетки. Но это еще не все. Если речь о платных номерах, то они веб-сервисами как правило выдаются в аренду. Это значит, что, по истечении некоего времени, этот же номер может перейти какому-то другому лицу, в том числе и Вашему другу-хакеру - и плакал Ваш аккаунт горькими слезами (если Вы, конечно, не нашли способ отвязать его от номера или установить иные способы подтверждения). Если речь о бесплатных номерах, то это вообще веселая история: - во-первых, ряд сервисов не требует регистрации и все СМС-ки, приходящие на бесплатные номера, вывешивает в веб-интерфейсе прямо на главной странице; думаю, можно не пояснять, что такие СМС-ки может увидеть кто угодно - и попутно еще собрать интересную статистику об использовании Вами разных сервисов; - во-вторых, некоторые сервисы накладывают ограничения на такие номера (например, лимитируют количество приходящих СМС или и вовсе выдают номерок минут так на 20). Но самое главное - если Вы когда-нибудь по какой-то причине потеряете свой аккаунт и захотите его восстановить, и платные, и бесплатные сервисы вряд ли захотят Вам помочь. Этот бизнес все-таки стоит одной ногой в "теневом" сегменте - следует учитывать это. Ссылки по теме: Зачем нужны сервисы приема SMS и с чем их едятРиски использования служб виртуальных номеров для приёма смс при регистрации на интернет-ресурсах
|
|
|
|
|