ZERO:手機號驗證不堪一擊？ Coinbase用戶遭遇SIM卡轉移攻擊_ZER

攻前些天有人的Coinbase賬號遭遇了SIMPortAttack，損失了超過10萬美金的數字貨幣，很慘痛。擊過程大概是：攻擊者通過社會工程學等手法拿到目標用戶的隱私，并到運營商欺騙得到一張新的SIM卡，然后通過同樣的手機號輕松搞定目標用戶在Coinbase上的權限。

央行穆長春：央行可以通過查手機號獲取用戶真實身份信息系誤解:3月20日，中國人民銀行數字貨幣研究所所長穆長春3月20日在中國發展高層論壇2021年會上表示，有人說，央行可以通過電信運營商查手機號，來獲取用戶真實身份信息。這其實是誤解。盡管電信運營商的支付部門也參與了數字人民幣的研發，但是根據現行國家有關法律規定，電信運營商不得將手機客戶信息披露給央行等第三方，當然也不得向自己運營數字人民幣的部門提供。(財聯社)[2021/3/20 19:03:16]

SIM都被轉移了，這就很麻煩了，基本來說我們很多在線服務都是通過手機號來做的二次驗證或直接身份驗證，這是一個非常中心化的認證方式，手機號成為攻擊的弱點。

動態 | tZero計劃推出加密貨幣交易的手機應用程序:據Finance Magnates消息，Overstock旗下的區塊鏈子公司tZero正計劃推出一款基于手機的應用程序，用于BTC、ETH交易。該公司首席執行官Saum Noursalehi透露，tZero已將iOS和基于android的交易應用程序的開發流程外包給區塊鏈創業公司Bitsy，計劃于明年6月推出。[2019/3/22]

這個攻擊以前在國內也有不少案例，運營商的風控策略也越來越強大，但策略這東西總是有繞過方式，這種方式主要就是社會工程學，當然也不排除其他方式的結合。

騰訊手機管家安全專家楊啟波：區塊鏈類詐騙案件頻發:騰訊手機管家安全專家楊啟波介紹說，近來“區塊鏈”類詐騙案件頻發，不法分子以“投資虛擬貨幣周期短、收益高、風險低”為借口，騙取用戶信任并誘使其轉賬進行投資。同時，他們還隱藏網站域名和各種聯系方式，使受騙者無法驗證公司資質，因而輕信詐騙套路。而一旦受害人向“交易網站”充值，不法分子又會誘騙其“向私人賬戶充值”，甚至直接提供假充值鏈接，并趁機騙取受害人銀行賬號密碼。楊啟波提出三點建議：一，應謹慎投資，不要相信“天花亂墜”的承諾，接到與“區塊鏈”相關的來電后，務必在網上搜索驗證其公司信息，以防輕信虛假投資騙局；二，不要隨意點擊不明鏈接，更不要輕易向個人賬戶轉賬；三，可以借助第三方手機安全軟件，通過騷擾攔截功能攔截未知、加密等隱藏來電，避免上當受騙。[2018/4/11]

不是我不信任運營商或中心化服務，而是這種重要的資產，大家要更加謹慎了，大額的數字貨幣是不是應該有更安全的存放方式？相關平臺的安全風控策略是不是也該多琢磨如何再提升提升？

攻擊示意圖見下面，第一張圖是正常流程，第二張圖是攻擊流程。

Tags：區塊鏈ZEROZERERO區塊鏈dapp開發一個多少錢AZEROKILLTHEZEROYoHero

非小號