in SIM

Der Aufstieg des Bitcoin Evolution SIM-Austauschs: Wie und warum müssen sich Bitcoiner schützen?

Mit zunehmender Verbreitung des SIM-Austauschs sind diejenigen, die Bitcoin halten, zunehmend anfällig für Angriffe.

Wie sollten Sie sich also bei Bitcoin Evolution schützen?

Die Verwendung einer Telefonnummer zur Identitätsauthentifizierung ist eine schlechte betriebliche Sicherheitspraxis. Die Weitergabe von Bitcoin Evolution an einen Dritten wie einen Kryptowährungsumtausch oder einen Leihdienst verringert ebenfalls die Bitcoin Evolution Sicherheit. „Nicht Ihre Schlüssel, nicht Ihre Münzen“ ist eine Sicherheitsempfehlung, die häufig über Twitter und die Bitcoin Evolution Podosphäre verbreitet wird.

Beispiel: Die Kombination dieser beiden Praktiken hat im letzten Jahrzehnt zu einer zunehmenden Anzahl von SIM-Swap-Angriffen geführt, die zum Diebstahl von Bitcoin und anderen Kryptowährungen führten.

Ein SIM-Tausch ist eine kostengünstige, nichttechnische Möglichkeit für Angreifer, die Kontrolle über das Mobiltelefonkonto eines Opfers zu erlangen. Um einen Angriff abzuwehren, muss ein Hacker wissen, wie Mobilfunkanbieter die Identität und einen Teil der Informationen über ihr Opfer authentifizieren. Dies erfordert oft nur die Telefonnummer des Opfers.

Nun gibt es eindeutige Beweise dafür, dass die Mehrheit der Menschen in den USA, die ein Telefonkonto bei Mobilfunkanbietern haben, für SIM-Tausch anfällig ist. Wenn Sie über Bitcoin verfügen, das Sie nicht verlieren möchten, kann dies umso schlimmer sein.

Bitcoin

Der Aufstieg des SIM-Austauschs

Dieses erhöhte Potenzial für den SIM-Austausch wurde in einer empirischen Studie nachgewiesen, die im Januar 2020 von einer gemeinsamen Gruppe von Professoren und Doktoranden veröffentlicht wurde. Studenten am Institut für Informatik der Harvard University und am Zentrum für Informationstechnologie der Princeton University.

„Der Angreifer ruft Ihren Netzbetreiber an, gibt vor, Sie zu sein, und bittet Sie, den Dienst auf eine neue SIM-Karte zu übertragen – eine, die der Angreifer kontrolliert“, schrieb Arvind Narayanan , Associate Professor bei Princeton und einer der Autoren der Zeitung, in einer Zusammenfassung über Twitter . „Das ist schon schlimm genug, aber Hunderte von Websites verwenden SMS für die 2-Faktor-Authentifizierung, wodurch Ihre Konten gefährdet werden.“

Die Studie testete das Authentifizierungsprotokoll von fünf großen US-Mobilfunkanbietern – AT & T, T-Mobile, Tracfone, US Mobile und Verizon. Nach dem Versuch eines SIM-Austauschs auf 10 verschiedenen Prepaid-Konten für jeden Mobilfunkanbieter stellten die Autoren fest, dass alle fünf Mobilfunkanbieter Authentifizierungsmethoden verwendeten, die als unsicher eingestuft wurden.

„Zusammengenommen erklären diese Ergebnisse, warum SIM-Tausch ein so hartnäckiges Problem waren“, erklärte Narayanan.

Noch beunruhigender ist, dass der Austausch von SIM-Karten ein derartiges Problem darstellt, dass Narayanan zugab, dass die SIM-Karte seines Telefons während der Recherche ausgetauscht wurde. Als er anrief, um den Betrug zu melden, konnte die Kundendienstabteilung seines Betreibers ihn auch nach Überprüfung seines Angreifers nicht überprüfen. Narayanan erlangte die Kontrolle über sein drahtloses Konto zurück, indem er seine Forschungsergebnisse nutzte, um die Sicherheitslücke seines Mobilfunkanbieters auszunutzen.

Es war ein Glück, dass Narayanan dies schnell tat. Sobald ein Angreifer die Kontrolle über das drahtlose Konto eines Opfers übernimmt, hat er zahlreiche Möglichkeiten, um Chaos anrichten zu können. Wie in der Studie angegeben, liegt dies zu einem großen Teil an den unsicheren Authentifizierungsmethoden, die Benutzer für den Online-Zugriff auf digitale Assets wie SMS- oder anrufbasiertes 2FA festgelegt haben (diese sind unsicher, sobald ein Angreifer Zugriff auf Ihr WLAN-Konto hat), und an Sicherheitsfragen mit leicht abrufbaren öffentlichen Informationen wie dem Mädchennamen einer Mutter. Darüber hinaus wurden in der Studie 17 Websites gefunden, auf denen Benutzerkonten allein durch einen SIM-Tausch gefährdet werden können (die Grundlage für diese Methode stammt von twofactorauth.org)Datensatz). Kurz nach der Veröffentlichung der Studie teilte T-Mobile den Autoren mit, dass sie nach Überprüfung der Studie die Verwendung von „Recent Numbers“ für die Kundenauthentifizierung eingestellt hatten.