Хакеры обнаружили, что один из ключевых элементов онлайн-безопасности – номер мобильного телефона – является и самым уязвимым. За последние полгода таким образом были украдены тысячи долларов у владельцев биткойн-кошельков, пишет New York Times.
Хакеры получают контроль над номером мобильного телефона довольно банальным способом — звонят операторам и придумывают различные экстренные причины, по которым номер необходимо перевести на другой аппарат. Казалось бы, ни один менеджер в здравом уме и твердой памяти не одобрит такую операцию, но «хакеры делают десятки, а то и сотни дозвонов в разные офисы, пока однажды не найдут на другом конце провода идиота», — говорит Джоби Уикс, биткойн-предприниматель, у которого хакеры увели миллион долларов со счета, несмотря на то, что он просил оператора мобильной связи усилить безопасность, после того, как такой же атаке подверглись его родственники.
Аутентификация по мобильному телефону считается одной из самых безопасных. Ее используют Google, Facebook, Twitter, а также криптовалютные кошельки. Но завладев номером телефона, хакеры могут сбросить пароли на всех аккаунтах через кнопку «Забыли пароль?». Им не надо их даже взламывать.
«Мой iPad перезагрузился, мой телефон перезапустился, и мой компьютер снова запустился, и вот тогда я всерьез испугался», — говорит Крис Берниске, криптовалютный инвестор, потерявший контроль над своим номером телефона в конце прошлого года.
Один день на крупнейшей в мире китайской биткойн-шахте
Технологии
По данным Торговой комиссии США, число подобных атак за последние несколько лет выросло в два раза. Так, в январе 2013 года было зафиксировано 1038 инцидентов, а к январю 2016 года их число увеличилось до 2658. В основном, жертвами угона номера становятся люди, так или иначе связанные с инвестициями в криптовалюты. Хакеры отслеживают их по постам в социальных сетях. Официальные цифры об атаках занижены, так как биткойн-инвесторы боятся спровоцировать конкурентов по бизнесу, но в интервью NYT очень многие признались, что стали жертвами взлома.
«У всех, кого я знаю в криптовалютном мире, хоть раз увели номер телефона», — говорит Уикс. Все происходит очень быстро: хакеры взламывают аккаунты за несколько минут. По мнению опрошенных NYT жертв, это говорит о том, что они работают командами.
Операторы мобильной связи, Verizon, AT&T, T-Mobile, Sprint и другие, хоть и говорят, что работают над усилением безопасности (добавляют более сложные PIN-коды для учетной записи и идентификационные номера), но кажутся бессильными перед атаками: взлом часто происходит прямо у них под носом в реальном времени, когда жертвы знали, что их грабят и предупредили оператора.
Все, что нужно знать про биткойн
Технологии
Подобная уязвимость бросает вызов не столько мобильным операторам, сколько криптовалютному сообществу. Биткойн-транзакции были осознанно придуманы, как необратимые, чтобы избавить пользователей от вмешательства извне, но, по иронии судьбы, привели как раз к обратному.
Coinbase уже призывает клиентов отвязывать мобильные телефоны от своих учетных записей. Но пользователи предлагают идти дальше и откладывать выполнение транзакций, если недавно был изменен пароль.
«Coinbase похож на банк: хранит миллионы долларов, но вы не представляете до конца, насколько слабая у него защита, пока вас не ограбят на тысячи долларов за считанные минуты», — говорит Коди Браун, VR-разработчик, чей аккаунт был взломан в мае. «Это здорово, иметь возможность контролировать свои деньги и перемещать их без какого-либо разрешения, — говорит Адам Покорницкий, управляющий партнер в Cryptochain Capital, у которого тоже увели номер. — Но нужно помнить, что за такую привилегию приходится платить».
Несовершеннолетний биткойн-миллионер предложил реформу образования
Технологии
В июле появилась информация о взломе блокчейн-сервиса Parity. Хакеры смоли похитить с криптовалютных кошельков эфира на $32 млн.