我生命中最昂贵的经历：SIM卡移植攻击

上周三在“SIM卡移植攻击（SIM Port Attack）”事件中，24小时内，我的Coinbaes账号一贫如洗，折合美金总计10w $。这个事情已经过去四天了，我非常沮丧，夜不能寐，食不下咽，被焦虑、懊悔和尴尬充斥着。

这是我生命中最昂贵的一课，我想尽可能与更多的人分享我的这次经验和教训。我的目的是希望大家能够提高对这类攻击的认识，并且希望可以提高你们网上身份的安全性。

这个事情到目前来说还是依旧鲜为人知（我还没有告诉我的家人）；关于本文中出现的无知的说辞只是笔者个人看法，还望保留自己的判断。

攻击细节

你或许还在好奇：究竟什么是SIM卡移植攻击（SIM Port Attack）。为了描述这种攻击，我们先来看一下典型的在线身份验证。对于大多数人来说，下图应该看起来很熟悉。

我们大多数人都有一个主邮箱账号，该账户与很多线上账号相关联。并且我们大多数人都还有一个移动设备，当我们忘记邮箱密码时还可以用来找回我们这个邮箱的密码。

授权的SIM卡移植

将SIM卡移植到另一台设备的功能是移动运营商为客户提供的正常服务。例如：更换新的手机、更换新的SIM载体等情景。客户将他们的旧SIM卡转移到新的设备。在大多数情况下，这完全是合法的要求。

SIM移植攻击（SIM Port Attack）

“SIM卡移植攻击（SIM Port Attack）“是指未授权的来源即攻击者执行的恶意移植。攻击者移植你的SIM卡到他们可控的手机。然后使用你的手机号重置你主邮箱账号的密码，然后邮箱服务商便会发送账号重置密码的短信验证码到你的手机号，不过此时的验证码已经被攻击者拦截。下图逐步概述了攻击流程。

一旦攻击者攻击了你的主邮箱账户，他们便可以横向移动：通过邮箱账户来管理你邮箱绑定其他在线服务（银行账户、社交媒体账户等）。如果攻击者非常恶意，甚至还可以让你失去找回密码的可能，让你无法再次登陆账户。

我们可以用一些时间来考虑一个Google账号可以泄露哪些敏感信息：

1.     你的地址、出生日期和其他个人身份相关的信息；

2.     你或你朋友的隐私照片；

3.     你的日历和近期的旅行计划；

4.     你的私有邮箱、文档和历史搜索记录；

5.     你的个人联系人、联系人信息和与联系人的关系；

6.     你的其他所有使用主邮箱账号可以来访问的在线服务。

时间轴

以下是这次攻击的时间轴，通过时间轴我们可以更好的了解这类攻击是如何执行的，以及危险程度。我将会在这个图表中描述攻击是如何执行的、我当时的应对、以及如果当你经历类似的事件时你可以采用哪些其他的措施来保护自己的利益不受侵害。

时间轴分为如下四个部分：

1. 我的经验：我对整个事件的观点——如果你正在遭遇相同的事情，我所述的这些可能将是你被攻击的一些征兆。

2. 攻击者的措施：黑客进入我Coinbase账号的基本策略。

3. 我察觉到的威胁级别：事件正在发生时我察觉到的威胁级别。

4. 我应该拥有的威胁级别：事后，我希望在事情发生时我原本应该拥有的威胁级别。

收获的经验和教训

这是我生命中最昂贵的一课。我在24小时内失去了相当大比例的净值百分比，无法逆转。以下是我劝告其他人的一些建议，用来更好的保护自己。

1. 使用硬件钱包来保护你的密码：当你不交易时，将你的密码放到硬件钱包/离线存储/multi-sig 钱包。不要将资金闲置在交易所。我将Coinbase视为银行账户，并且在发生攻击时你绝对没有追索权。我比大多数人更了解风险，但从未想过这样的事情会发生在我身上。我非常后悔没有采取加密安全措施。

2. 基于2FA的SMS还不够强大：无论您尝试在线保护的资产和/或身份如何，都要升级到基于硬件的安全性（即：攻击者为实施攻击而必须物理获取的物理内容）。虽然Google Authenticator和Authy可以将您的移动设备转变为基于硬件的安全性，但我建议您更进一步——选择一个你可以物理控制并且无法被欺骗的YubiKey。

3. 减少你线上的足迹：减少不必要地在线分享个人身份信息（出生日期，位置，嵌入其中的地理位置数据的图片等）。在发生攻击时，所有这些准公开数据都可以针对你。

4. GoogleVoice 2FA：在某些情况下，在线服务不支持基于硬件的2FA（它们依赖于较弱的基于SMS的2FA）。在这些情况下，你最好创建一个Google Voice电话号码（无法通过SIM卡移植）并使用双因素认证接收认证码。

5. 建立一个次级邮箱账号：不要将所有内容绑定到单个电子邮件地址，而是为关键在线身份（银行帐户，社交媒体帐户，加密交换等）使用次级邮箱账号。并且不要将此电子邮件地址用于其他任何内容并将其保密。使用某种形式的基于硬件的2FA备份该地址。

6. 离线密码管理器：使用密码管理器输入密码。更好的是，使用密码存储等脱机密码管理器。lrvick拥有各种密码管理器的优秀对比图表，以及针对更具技术倾向的审查建议。

关于读者们的评论

鉴于我不成熟的安全措施，我可能已经被黑客攻击了——我明白了。这些安全措施并没有减少被攻击时所收到的伤害，通过判断削弱了这个故事的重点。即：

1. 让他人知道被攻击是多么容易。

2. 通过上面所述的知识和建议来优先处理线上身份的安全性。

我不禁想到为了保护自己我可以做的任何简单微小的事情，我的思想被各种假设和交替的时间节点所蒙蔽。

然而，这些想法与另外两种隐藏的感觉并列——懒惰和生存偏见。我从来没有认真对待过我的线上身份的安全，因为我从来没有被攻击过。尽管我知道我的风险状态，但是我懒于用他们应得的严谨来保护我的资产。

我恳请你们可以从我的这次教训中吸取经验。

参考文章

1. 使用TOTP来定制双因素验证

2. 双因素验证的风险和局限性

3. 如何配置安全密码管理器

4. 如何评估和配置最适合您需求的加密钱包

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124