危机四伏：警惕 SIM 卡交换攻击

背景

friend.tech 是一个交际渠道，用户需求购买其他用户的 Key 才干跟其对话，Key 的价格也会随着购买的人增多而上涨，持有者可以经过出售 Key 获利。

2023 年 10 月 3 日，慢雾(SlowMist) 创始人 Cos 针对近期 friend.tech 用户的账号被黑，资产被盗的情况，在交际媒体发文表明 friend.tech 缺乏双要素认证，存在危险。

2023 年 10 月 5 日，链上侦察 ZachXBT 在交际媒体发文表明，一名黑客在曩昔的 24 小时内经过对四名不同的 friend.tech 用户进行 SIM 卡交流进犯，获利 234 枚 ETH（约 385,000 美元）。

截至现在，friend.tech 用户因 SIM 卡交流进犯已损践约 306 枚 ETH。

2023 年 10 月 10 日，friend.tech 表明用户现在可以在 friend.tech 账户中添加 2FA 暗码，以便在运营商或电子邮件服务受到威胁时，供给额定维护。

2023 年 7 月 17 日，慢雾 CISO @23pds 在接受 Cointelegraph 采访时说到 “SIM Swap 因为进犯成本低，预计未来将愈演愈烈，而且随着 Web3 的普及并吸引更多人进入该职业，因为 SIM Swap 技能要求相对较低，SIM 卡交流进犯的或许性也随之添加。”

下图是黑市上针对不同运营商的 SIM Swap 报价：

在各种背景下，根据此次 friend.tech 安全事情，本文将解说 SIM 卡交流进犯的完成办法和应对办法。首要，咱们来解释下什么是 SIM 卡和 2FA。

SIM 卡和 2FA

SIM 卡（Subscriber Identity Module）即用户识别模块。SIM 卡的主要功能是存储与用户身份和移动网络运营商相关的信息，并且允许用户连接到移动网络并运用电话和数据服务。当用户将 SIM 卡插入手机或其他移动设备时，设备可以读取 SIM 卡上的信息，并运用这些信息来连接到移动网络。

双要素认证（Two-Factor Authentication，简称 2FA）是一种身份验证办法，它要求用户供给两种不同类型的身份验证信息才干获得拜访权限。它广泛应用于在线银行、电子邮件服务、交际媒体、云存储、加密钱银钱包等服务中，以添加账号的安全性。短信验证码是一种常见的 2FA 办法，尽管短信验证码也是随机的，但是其在传输过程中是不安全的，且存在 SIM 卡交流进犯等危险。

下面咱们解说进犯者通常是如何施行 SIM 卡交流进犯。

进犯手法

在加密钱银范畴，进犯者主张 SIM 卡交流进犯的目的是经过操控受害者的电话号码，以绕过双要素认证，从而获取对受害者的加密钱银账户的拜访权限。

近年来，随着许多公司数据走漏，暗网上存在出售被盗的个人信息的买卖。进犯者会从数据走漏事情中，或是经过网络垂钓等办法，获取被害者的身份证等具体个人资料。随后，进犯者会借由这些信息冒充受害者，开始 SIM 卡交流进犯。

(https://pic.rmb.bdstatic.com/bjh/user/ae6513bc42e38bcd79fab4acda2f8351.png)

以下是具体流程：

1. 方针确认：进犯者首要需求确认其方针，他们会寻找交际媒体上关于加密钱银持有者的信息；

2. 交际工程：进犯者或许会运用交际工程，如垂钓邮件或电话，来诱使方针供给有关其电话号码或其他灵敏信息；

3. 联络运营商：一旦进犯者确认了方针的电话号码，他们会联络方针的运营商，通常经过假造身份或交际工程技巧，要求运营商将方针的电话号码与新的 SIM 卡相关起来；

4. SIM 卡交流：一旦进犯者成功地说服运营商将受害者的电话号码与新 SIM 卡相关，受害者的原始 SIM 卡会被停用，因为电话号码只能与一个 SIM 卡相关。这意味着受害者将失掉对其电话号码的拜访权，而该号码现在由进犯者操控；

5. 接纳验证码：进犯者现在可以接纳受害者的短信和电话通信，包含用于双要素认证的验证码；

6. 拜访加密钱银账户：运用收到的验证码，进犯者可以登录受害者的加密钱银买卖渠道或钱包应用程序，并获取对其加密钱银资金的拜访权限，履行未经授权的买卖，转移受害者的资产。

应对办法

为防备 SIM 卡交流进犯，可采取以下办法：

• 最好不要挑选根据 SIM 卡的认证办法。你可以设置 PIN 码以维护 SIM 卡，但 ZachXBT 指出运用 PIN 码也仍是不行安全，应该运用身份验证器或安全密钥来保证账户安全。进犯者往往可以让运营商相信，他们仅仅忘记了自己的 PIN 码，甚至存在运营商的工作人员也参加了欺诈的情况。当然设置 PIN 码仍是能添加进犯难度，提高 SIM 卡安全性。

• 运用支撑 TOTP 算法的身份验证器做双要素认证。这儿简略对比下 HOTP 和 TOTP。OTP（一次性暗码）包含 HOTP 和 TOTP，两者的区别在于生成它们的算法：

  HOTP 是根据事情的 OTP 算法。每次恳求并验证 HOTP 时，移动因子都会根据计数器递加。生成的暗码一直有用，直到用户自动恳求另一个暗码并由身份验证服务器验证为止。HOTP 的有用窗口期更长，因而进犯者经过暴力破解所有或许的 OTP 值，侵入用户帐户的危险更大；

  TOTP 则是根据时刻的 OTP 算法。时刻步长是 OTP 的预设生存期，通常为 30 秒，如果用户没在窗口内运用暗码，则该暗码将不再有用，需求恳求一个新暗码才干拜访应用程序。相较于 HOTP，TOTP 的时刻窗口更小，安全性更高。因而，慢雾安全团队主张运用支撑 TOTP 算法的身份验证器做双要素认证，如 Google Authenticator、Microsoft Authenticator、Authy 等。

• 当心处理来自不明来源的短信和电子邮件，不要随意点击链接和供给灵敏信息。

• 另外，friend.tech 受害者表明曾收到很多废物短信和电话，于是他将手机静音，而这使他错过了运营商 Verizon 提示账号或许被入侵的短信。进犯者这么做是诱使受害者给手机静音，为自己盗取资金争取时刻。因而，用户在突然收到很多废物电话和短信时也要提高警惕。

总结

SIM 卡本身的安全性依赖于运营商的安全办法，简单受到交际工程等进犯办法的影响。因而，最好不要用根据 SIM 卡的认证办法。用户有必要为账户添加双要素认证以提高账户安全性，主张运用支撑 TOTP 算法的身份验证器。最后，欢迎阅览慢雾出品的《区块链黑暗森林自救手册》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。

此时快讯

【Stride暂时搁置将STRD转换为ATOM的计划】金色财经报道，Cosmos的流动质押区块链Stride将暂停将其原生代币STRD转换为Cosmos Hub的ATOM代币的计划，这一决定是在伊斯坦布尔Cosmoverse宣布最初想法后经过一周公开讨论后做出的。团队称：“经过一周的公开讨论，Cosmos Hub+Stride 社区已暂停 STRD/ATOM 转换，可以认为它被搁置了，但并没有完全放弃”。