Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Autoryzował transakcje kodami z SMS. Chiński inwestor przez SIM swap stracił równowartość niemal 200 milionów PLN!
Wg tych relacji – chiński inwestor stracił około 200 milionów PLN (w kryptowalutach BTC / BCH). Oryginalny wątek tutaj, kopia tutaj. Z kolei nieco więcej analizy można zobaczyć w tym wątku:
BREAKING
1M $BCH sim hack!! worth $30M from 1 single Chinese whale (he claimed lost $15M $BTC too) He's now asking for help from miners ..I'm talking with top BCH pool owners on this OMFG
😱😱😱
BCH address :qzumak2rvxksjgkjuxe2fe5jxatktlsnhy5sthr5p7
THIS IS REALLY BRUTAL pic.twitter.com/19XM3w5BL7
— Dovey 以德服人 Wan 🪐🦖 (@DoveyWan) February 22, 2020
Wg relacji hack został wykonany poprzez sklonowanie karty SIM ofiary (tzw. SIM swap). Scenariusze mogą być różne, ale jeśli np. ktoś potrzebuje mieć dostęp do konta ofiary oraz kodów potwierdzających transakcje, może wykonać takie operacje:
- Sklonowanie karty SIM (przestępca dzwoni do operatora telco, podając się za ofiarę. „Ofiara” prosi o przeniesienie numeru na inną kartę SIM – przestępcy. Jeśli pracownik operatora telco zostanie skutecznie przekonany do wykonania takiej operacji, ofiara nagle traci sygnał w telefonie, a przestępca na możliwość odbierania SMS-ów przychodzących do ofiary).
- Reset hasła na koncie mailowym ofiary:
- Posiadając konto e-mailowe – reset hasła w atakowanym serwisie (ew. te dane przestępcy zdobywają również w inny sposób – np. malware na komputerze ofiary).
- Podczas wykonania transakcji – podanie kodu 2FA z telefonu.
- Game Over.
Co robić? Najlepiej nie polegać na SMSach jako elemencie, który zabezpiecza cały nasz majątek (w przypadku banków znacznie lepsza jest np. tzw. autoryzacja mobilna transakcji; generalnie warto rozważyć też klucze sprzętowe czy hybrydowe) – szczególnie że atak znany jest i w Polsce.
–ms
Trudno nie używać telefonu jako 2FA skoro niektóre serwisy wymuszają wręcz logowanie za jego pomocą.
Jak mawia starochińskie przysłowie: „Nie wrzucaj wszystkich jajek do jednego portfela”.