Despite the rise of cybersecurity infrastructure, the online identity still faces many risks, including those related to the hacks of one’s phone numbers.
In early July, LayerZero CEO Bryan Pellegrino became one of the latest victims of a SIM swap attack, which allowed hackers to briefly take over his Twitter.
Và… chúng ta quay trở lại. Về cơ bản, đây là cuộc sống của tôi trong 24 giờ qua.
May mắn thay, chúng tôi đã thấy hack ngay lập tức và trận chiến bắt đầu pic.twitter.com/PJrKMfQ2VT – Bryan Pellegrino (@PrimordialAA) ngày 5 tháng 7 năm 2023
“My guess is that somebody grabbed my badge out of the trash and somehow was able to trick a rep into using it as a form of ID for the SIM swap while I was leaving Collision,” Pellegrino wrote soon after having his Twitter account back.
“Đó là ‘Bryan Pellegrino – diễn giả’ chỉ là huy hiệu hội nghị giấy thông thường của bạn,” Pellegrino nói với Cointelegraph.
Sự cố liên quan đến tai nạn của Pellegrino có thể dẫn đến việc người dùng cho rằng việc thực hiện hack hoán đổi SIM dễ dàng như chỉ lấy huy hiệu của ai đó. Cointelegraph đã liên hệ với một số công ty bảo mật tiền điện tử để tìm hiểu xem đó có phải là trường hợp hay không
Hack hoán đổi SIM là gì? Nó lớn như thế nào?
Hack hoán đổi SIM là một hình thức đánh cắp danh tính, nơi những kẻ tấn công chiếm lấy số điện thoại của nạn nhân, cho phép họ có quyền truy cập vào tài khoản ngân hàng, thẻ tín dụng hoặc tài khoản tiền điện tử.
Vào năm 2021, Cục Điều tra Liên bang đã nhận được hơn 1.600 khiếu nại hoán đổi SIM liên quan đến tổn thất hơn 68 triệu đô la. Điều này thể hiện sự gia tăng 400% số lượng khiếu nại nhận được trong ba năm trước, cho thấy việc hoán đổi SIM “chắc chắn đang gia tăng”, giám đốc hoạt động an ninh của CertiK Hugh
“If there is no move away from SMS-based 2FA and telecommunications providers do not lift their security standards, we are likely to see attacks continue to grow,” Brooks stated.
Theo giám đốc an ninh thông tin SlowMist (CISO) 23pds, việc hoán đổi SIM hiện không quá phổ biến, nhưng nó có tiềm năng đáng kể để tăng hơn nữa trong tương lai gần. Ông nói:
“As the popularity of Web3 grows and attracts more people into the industry, the likelihood of SIM swapping attacks also increases due to its relatively lower technical requirements.”
23pds đã đề cập đến một số trường hợp liên quan đến hack hoán đổi SIM trong tiền điện tử trong vài năm qua. Vào tháng 10 năm 2021, Coinbase chính thức tiết lộ rằng tin tặc đã đánh cắp tiền điện tử từ ít nhất 6.000 khách hàng do vi phạm 2FA. Trước đây, Hacker người Anh Joseph O’Connor đã bị truy tố vào năm 2019 vì ăn cắp khoảng 800.000 đô la tiền điện tử thông qua nhiều vụ hack hoán đổi SIM
Làm thế nào khó để thực hiện hack hoán đổi SIM?
Theo giám đốc điều hành của CertiK, hack hoán đổi SIM thường có thể được thực hiện với thông tin có sẵn công khai hoặc có thể thu được thông qua kỹ thuật xã hội.
“Overall, SIM swapping might be seen as a lower barrier to entry for attackers when compared to the more technically demanding attacks like smart contract exploits or exchange hacks,” Brooks said.
23pds của SlowMist đồng ý rằng việc hoán đổi SIM không đòi hỏi kỹ năng kỹ thuật cấp cao. Ông cũng lưu ý rằng các giao dịch hoán đổi SIM như vậy “phổ biến ngay cả trong thế giới Web2”, vì vậy “không có gì đáng ngạc nhiên” khi thấy nó cũng xuất hiện trong môi trường Web3
“Nó thường dễ thực hiện hơn, với kỹ thuật xã hội được sử dụng để đánh lừa các nhà khai thác có liên quan hoặc nhân viên dịch vụ khách hàng,” 23pds nói.
Làm cách nào để ngăn chặn hack hoán đổi SIM?
Vì các cuộc tấn công hoán đổi SIM thường được coi là không đòi hỏi về kỹ năng kỹ thuật của hacker, người dùng phải thẩm định bảo mật danh tính của họ để ngăn chặn các vụ hack như vậy.
Biện pháp bảo vệ cốt lõi từ vụ hack hoán đổi SIM là hạn chế việc sử dụng các phương pháp dựa trên thẻ SIM để xác minh 2FA. Thay vì dựa vào các phương thức như SMS, người ta nên sử dụng các ứng dụng như Google Authenticator hoặc Authy, Butorin của Hack
SlowMist CISO 23pds also mentioned more strategies like multi-factor authentication and enhanced account verification like additional passwords. He also strongly recommended users to establish strong PIN or passwords for SIM cards or mobile phone accounts.
Related: Over $765K worth of NFTs stolen after SIM swap attack on Gutter Cat Gang
Another measure to avoid SIM swapping is to properly protect personal data like name, address, phone number and date of birth. SlowMist CISO also recommended scrutinizing online accounts for any anomalous activity.
Platforms should be also responsible for promoting safe 2FA practices, CertiK’s Brooks stressed. For example, firms can require additional verification before allowing changes to account information and educate users about the risks of SIM swapping.
Additional reporting by Cointelegraph editor Felix Ng.
Magazine: Asia Express: China expands CBDC’s tentacles, Malaysia is HK’s new crypto rival
