Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Stracił $100 000 w kryptowalutach – kolejny przykład ataku SIM swap
TLDR: nagle stracił sygnał GSM w swoim telefonie. Ale niczego złego się nie spodziewał. Tymczasem atakujący resetował hasła – najpierw do głównej skrzynki pocztowej ofiary, później do rozmaitych kont, które umożliwiały logowanie z wykorzystaniem głównego adresu mailowego:
Finalnie, ktoś przejął konto ofiary w serwisie Coinbase, po czym ukradł z niego równowartość około $100 000.
O SIM Swap już pisaliśmy – atakujący w tym przypadku ma m.in. dostęp do naszych wiadomości SMS. Zagrożone może być nasze konto bankowe, jeśli atakujący w jakiś sposób pozyska również nasze dane logowania.
Zauważcie jednak, że w niektórych usługach nie jest to potrzebne – aby uzyskać dostęp wystarczy posiadać e-mail ofiary (atakujący wykorzystuje mechanizm przypominania hasła w danej usłudze). Z kolei dostęp do maila ofiary można zorganizować przypominaniem hasła bazującym na SMS-ach…
–ms
Witam; robi się ciekawie? Krypto-waluta, i jej bezpieczeństwo. Zapewne to może zniechęcić do przechowywania tam kasy. A miało być tak bezpiecznie. Pozdrawiam.
Jest bezpiecznie. Jeśli ktoś przechowuje swoje oszczędności w kantorze to przykro mi bardzo. Kantor do tego nie służy. W kryptowalutach jest coś takiego jak bank – czyli tzw. zimny portfel. Adres gdzie mamy większość kryptowalut do którego mamy wydrukowane/przechowywane w bezpiecznym miejscu/zapisane na dedykowanym urządzeniu klucze prywatne.
Swoją drogą wszystko co jest online można tak samo okraść w przypadku SIM swap. Identycznie można by było wyprowadzić pieniądze z banku, ale w bankach nie ma resetu hasła do konta na podstawie adresu email. W kantorach/giełdach kryptowalut też powinno być wprowadzone podobne podejście. Myślę że już niedługo.
Afryka jest lata przed nami w tych kwestiach. Tam przy zmianie SIM jest kilkudniowa karencja. Ale wymaga to współpracy operatorów telefonii i banków.