SIM:手机突然没信号，竟是10万美金加密资产失窃的前兆

导读：一天时间，Coinbase账户里价值10万美元的加密资产飞灰烟灭！Bitgo的工程主管SeanCoonce以为只是因为不小心摔了手机导致SIM故障失去了移动服务，不曾料到这却是一场黑客盗币的信号。

上周三，我丢失了价值10万美元的加密货币。这笔钱在一天内就因为一次“SIM卡转移攻击”从我的Coinbase账户中消失了。

这件事已经过去好几天了，我整个人都非常沮丧。食不知味，夜不能寐，觉得自己被焦虑、懊悔和难堪的感觉浸没。

这是我人生中最昂贵的一课，我想与尽可能多的人分享我从这次事件中得到的经验教训，希望借此提高大家对这类SIM卡攻击的认识，从而加强你们在线身份的安全性。

01攻击的细节

你可能会先问一个问题，究竟什么是“SIM卡转移攻击”？为了讲清楚攻击发生的原由，需要大家先来看一下典型的在线身份验证。对于大多数人来说，下面这张图应该看起来很熟悉：

CoinZoom：Visa卡用户可以使用智能手机非接触式付款:CoinZoom已确认其Visa卡的持有人可以使用智能手机进行非接触式付款。现在，Apple Pay，Google Pay或Samsung Pay的现有用户仅需添加其CoinZoom Visa卡作为付款选项，就可以使用智能手机立即消费其加密货币余额。（U.today）[2021/3/17 18:53:37]

?我们手机里的SIM卡把手机号码和手机绑定在了一起；?当我们忘记邮箱账号的登录密码时，可以要求邮箱发送一个验证码给你的手机，这个验证码会被用于恢复你的邮箱账号；?我们的邮箱地址与许多在线服务绑定在了一起。

1、授权的SIM转移

允许用户将SIM卡转移到另一台设备，是移动运营商提供的一项服务。这项服务允许用户将他们的电话号码转移到新设备上。在大多数情况下，当我们有了新手机或者要更换移动运营商时，就会发生这种情况，这是完全合法的要求。

三星与韩国区块链游戏公司联合推出具有加密钱包的手机:三星已经与韩国游戏巨头WeMade的区块链部门WeMade Tree一起发布了三款特别版的Galaxy智能手机。三款手机分别是三星Galaxy S20，S20 +和S20 Ultra的定制版本，但预装有WeMade Tree的Wemix加密货币钱包。这些产品是WeMade Tree快速扩展的Wemix平台的一部分，该平台已与Kakao的Klaytn平台以及互联网公司Naver建立合作伙伴关系。（Cryptonews）[2020/6/26]

2、SIM卡转移攻击

但是，“SIM转移攻击”是由未经授权的攻击者执行的恶意转移。攻击者把你的SIM卡转移到他们控制的手机上。然后，攻击者在你的电子邮件账户上启动密码重置流程。验证码会从你的电子邮件提供商发送到你的电话号码，攻击者会截获该电话号码，因为他们现在控制了你的SIM卡。

动态 | 区块链手机制造商Sirin Labs正与以色列网络安全初创公司就合并进行谈判:金色财经报道，区块链手机制造商Sirin Labs和以色列一家网络安全初创公司正在就合并进行谈判，合并后的公司将创建一个基础广泛的部门，提供各种软件和硬件产品。[2019/12/19]

下图逐步概述了攻击的流程：

?首先，攻击者会收集你的个人信息，把你锁定为攻击目标；?启动SIM卡转移申请，利用收集到的个人信息向移动服务商证明是你本人发起的申请，并要求移动服务商将你的SIM卡转移到一个由他们控制的设备上；?现在你的SIM被转移到了一个由攻击者控制的设备上；?重置邮箱密码，等待邮箱将验证码发到他们的手机上；?邮箱将验证码通过短信发送至攻击者的手机上；?攻击者获取验证码，开始重置你的邮箱密码，现在他们已经获得了你的手机和电子邮箱的控制权。

动态 | PundiX推出基于区块链的手机:今日，在印度尼西亚巴厘岛举行的“X Blockchain Summit”中，PundiX公开推出了基于区块链的手机Xphone和区块链生态圈Function X。[2018/10/10]

一旦攻击者控制了你的电子邮箱账户，他们就会开始逐步控制你通过该电子邮件管理的任何对他们而言有利可图的在线服务。如果他们再做得过分些，甚至可以锁定你的账户而你却对此无能为力。

这里，我们稍微花点时间整理下你通过一个谷歌账户绑定的大量个人敏感信息：

?你的住址、出生日期和其他私人的个人身份信息；?有机会获取你或者你伴侣的照片；?访问你的日程表和近期的旅行日程；?访问你的私人电子邮件、文档和历史搜索记录；?获取你的联系人列表，这些联系人的私人信息以及你们之间的关系；?获取你用电子邮箱地址作为身份验证来源的所有其他在线服务。

富士康区块链手机将于今年10月份开卖:据日经新闻报道，使用区块链技术的智能手机预计将在今年10月登陆日本等 5 个国家，研发总部设于以色列的Sirin Labs和鸿海子公司合作，着手进行量产化准备，目标今年内出货10万支以上区块链智能手机。Sirin Labs首席行销官Nimrod May接受日经新闻采访时表示，“已选定包含日本在内的 5 个国家做为试点。这些国家拥有为数众多想尝试新技术的‘吃螃蟹的人’(early adopters)”。除日本之外，Sirin Labs 也计划在美国、英国、韩国、越南开店。[2018/5/1]

02这次攻击事件的时间线

通过上面的铺垫，相信你对攻击者如何进行此类SIM卡转移攻击以及攻击会造成的后果有了一定的了解。

下面，我和大家详细说一下这次攻击发生过程：攻击是如何发起的，攻击过程中我的经历，以及万一你也遇到类似的情况可以做些什么来保护自己。

攻击发生的时间线，可以分为四个部分：

1、我所经历的：在我看来，我所经历的这些事或者如果你遇到类似的事情，都是你可能受到攻击的明确指标。

2、攻击者当时正在做什么：黑客潜入我的Coinbase账户时采用的策略。

3、我感受到的威胁级别：在这些事件发生时，我感受到的威胁级别。

4、我应该拥有的威胁级别：事后想来，在这些事情发生时，我希望自己拥有的威胁级别。

03经验教训和建议

这是我人生中最昂贵的一课。我在一天内永远地失去了这笔对我而言意义重大的净资产。

以下是我的一些如何加强防护措施的建议：

1、使用硬件钱包保护你的密码：无论什么时候，如果你没在交易，就把你的密码保存在硬件钱包/离线钱包/多重签名钱包，而不是把资金闲置在交易平台中。

我把Coinbase当作一个银行账户，一旦遭受攻击，没有任何可以挽回的措施。虽然我比大多数人更了解把钱放在交易平台的风险，但从未想过这种事情会发生在我身上。我现在非常后悔没有对我的加密货币采取更有力的安全措施。

2、基于手机短信服务的二次验证并不够安全：无论你想保护线上资产还是线上身份，请使用一些硬件装备来增强防护措施。这样一来，攻击者为了实施攻击，就必须在现实生活中拿到你储存密码的装备。

谷歌身份验证器和Authy可以将你的移动设备转变为这样的硬件装备，从而提高安全性，但我建议你更进一步：选一个你可以实际控制且不会被攻击者的Yubikey。

3、减少你的上网痕迹：抑制你想要在网上分享个人身份信息的冲动。在发生攻击时，所有这类公开的数据信息都有可能会被用做发起攻击的工具。

4、谷歌的语音二次验证：在某些情况下，在线服务不支持基于硬件的二次验证。这种时候，你最好创建一个谷歌语音电话号码并使用谷歌语音电话作为你二次验证的工具。

4、再创建一个电子邮件地址：不要将所有东西都绑定到同一个电子邮件地址。为一些非常重要的在线身份再创建一个邮件地址。这个邮件地址得保密，不要将它用于任何其他内容，使用基于硬件的二次验证增强这个邮件地址的安全性。

5、离线密码管理器：使用密码管理器输入密码，最好是能使用离线密码的管理器，比如PasswordStore。

04小结

我讲出这次事件始末，目的是让大家知道遭到攻击是多么容易的一件事，希望大家采纳我在上面提出的建议来加强你们的在线身份安全性。

我本可以做一些非常简单、轻松的防护措施来保护自己，我也总忍不住地去想“如果我····”，那事情的发展是不是就会完全不一样了。然而，当我这样想的时候，另外两种想法也向我袭来：懒惰和幸存者偏差。

之前我从未经历过攻击，因此我没有严肃对待我的在线安全问题。虽然我了解自己的风险状况，但我总是懒得以更严谨的态度来保护我的资产。所以，我恳请你们从我的这些错误中吸取教训。

标签：SIMNBAINBcoinbaseSIMPSONSINU币coinbase不允许中国人注册coinbase交易所中文名coinbase交易所官网中文版本

非小号热门资讯