Крипто-кошельки остаются под угрозой из-за мобильных хакеров
С распространением двухступенчатых систем аутентификации, использующих номера мобильных телефонов для доступа к email адресу и к самому кошельку, увеличилось количество нападений на мобильные устройства. Из-за таких нападений появилась возможность незаконно переводить средства с онлайн крипто кошельков.
\n\n
Контролируя номер телефона, хакер может скомпрометировать любой двухэтапный процесс идентификации, включая подтверждение по SMS. Ряд телефонных преступлений сильно ударил по крипто сообществу в последние месяцы, в результате чего миллионы людей потеряли свои биткоины и другие виртуальные валюты.
\n\n
Недавние нападения, наряду с множеством инцидентов прошлой зимой, нацелились на высокопоставленных членов сообщества, таких как венчурные капиталисты, руководители и даже неназванные руководители Coinbase. Например, соучредитель венчурной инвестиционной компании Blockchain Capital, Брок Пирс, был взломан прямо во время интервью для подкаста Forbes Blockchain Unchained.
\n\n
Пирс сказал Лоре Шин: «Я предупреждал людей в своих выступлениях о важности двухфакторной аутентификации. Говорил, что нам действительно понадобится что-то вроде трехфакторной системы или отдельное устройство для решения проблемы с безопасностью. Ведь так легко украсть у человека его номер телефона – однако, мой номер был зарегистрирован не на мое имя, и поэтому я чувствовал себя в безопасности».
\n\n
Но в безопасности Брок Пирс не был. Многие пострадавшие не решаются высказаться из-за своего страха снова стать жертвой хакеров, что затрудняет точное определение количества атакованных. Некоторые пользователи потеряли от тысячи до миллиона долларов. Кражи являются необратимыми операциями, поэтому нет никакой возможности вернуть украденные средства.
\n\n
Произошедшее ставит вопрос о безопасности для разработчиков кошельков, таких как Coinbase и других, так как они хранят сотни миллиардов долларов в криптовалютах. Coinbase заявляет, что вся валюта, которую они хранят в своем сервисе, застрахована. Компания несет ответственность за «использование сильного пароля и контролирование своих учетных данных».
\n\n
Недавнее исследование, проведенное в Positive Technologies, показало, что есть возможность получения доступа к учетной записи Coinbase, используя слабости в глобальной телекоммуникационной сети, известной также как Сигнализационная система №7 (Signaling System №7, SS7).
\n\n
SS7 – сеть, используемая поставщиками телекоммуникационных услуг для мониторинга потока информации, такой как текстовые сообщения для точного выставления счетов. Когда исследователи из Positive Technologies выяснили адрес электронной почты, связанной с конкретным кошельком, то сразу же смогли взломать сеть SS7 и перехватить единовременный код авторизации SMS, что позволило им изменить настройки учетной записи кошелька и пароль.
\n\n
Простота захвата телефона, продемонстрированная Positive Technologies, подчеркивает уязвимости в глобальной телекоммуникационной сети, используемой всеми операторами мобильной связи. В добавок, хакерство – не единственный способ получить доступ к SS7. Как известно, многие преступники незаконно покупают себе информацию через Даркнет.
\n\n
Использование ошибок в SS7 также не является единственным способом, с помощью которого хакеры взламывали учетные записи пользователей крипто кошельков. Согласно опубликованной в конце августа статье из New York Times, хакеры представились владельцем учетной записи и связались с поставщиками мобильных услуг, чтобы сменить номер мобильного телефона на другой, находящийся под их контролем.
\n\n
Количество поступающих судебных разбирательств по поводу хакерских атак на мобильные телефоны не перестает увеличиваться. По данным Федеральной торговой комиссии (Federal Trade Commission), инциденты в США по краже личных данных с помощью мобильного телефона выросли на 156% за три последних года вплоть до января 2016 года. Эти преступления характерны не только для взлома цифровых кошельков, но также включают в себя незаконные получения доступа для традиционных банковских счетов, лишения доступа к жизненно важной информации и т.д.
\n\n
Взлому даже не нужно быть очень сложным, или использующим самые новые технологии. Фактически, любой случай, когда служба поддержки клиентов (CSR) проверяет чью-либо личность по телефону, уже несет в себе потенциальный риск. Все потому, что в CSR нередко нарушаются протоколы безопасности, особенно когда пользователь говорит достаточно убедительно. До сих пор мошенничества проводились на всех основных операторах мобильной связи в США, включая Verizon, T-Mobile, Sprint и AT&T.
\n\n
Эксперты по безопасности говорят, что существуют некоторые действия, которые могут сделать пользователи учетных записей криптовалютных кошельков, чтобы минимизировать риски взлома.
\n\n
-
- \n\t
- Соблюдайте конфиденциальность. Даже открытое обсуждение про криптовалюты в Facebook или Twitter может сделать вас целью для хакеров.
\n\t
-
- Проведите аудит конфиденциальности вашей учетной записи и удалите адреса (а именно, электронную почту, физическую информацию, номера телефонов, даты рождения из профилей социальных сетей). Данная информация является информацией по умолчанию для телефонных компаний, кредитных карт и банков.
\n\t
-
- Используйте приложения по генерации одноразовых паролей (TOTP) для аутентификации. Хотя приложения используют двухфакторный процесс идентификации, TOTP все же безопаснее обычных SMS подтверждений, поскольку приложения все-таки привязаны к определенному физическому устройству, а не к номеру мобильного телефона.
\n\t
-
- Постройте транзакционную задержку. Coinbase, например, позволяет пользователям оставлять деньги в хранилище, изъятия из которого могут быть отменены в течение 24 часов.
\n\t
-
- Следите за сообщениями, поступающими вам на устройство, особенно когда вы получаете неожиданные оповещения о смене пароля.
\n\t
-
- Перейдите на оффлайновый кошелек. Рассмотрите такие аппаратные решения, как Ledger Nano S, требующие от пользователя ввода PIN-кода перед совершением транзакций.
\n\t
-
- Ознакомьтесь с процессом замораживания счетов, через которые вы осуществляете транзакции.
\n
\n
