استفاده از یک شماره تلفن برای احراز هویت، از لحاظ امنیتی کار خوبی نیست. دادن بیت کوین و یا ارز دیجیتال خود به یک صرافی و یا یک سرویس وامدهی نیز کار خوبی نیست و در واقع، زمانی که کلیدهای خصوصی کوینهای خود را نداشته باشید، مالک آنها هم نیستید. در دهه گذشته، ترکیب این دو اقدام منجر به افزایش حملات SIM Swapping (مبادله سیم کارت) شده است و از این طریق، بیت کوین و ارزهای دیجیتال زیادی دزدیده شده است.
حمله SIM Swapping کمهزینه و غیرفنی است و هکرها میتوانند کنترل اکانت تلفن قربانی را دست بگیرند. هکرها برای این کار به اطلاعات کمی در مورد قربانی نیاز دارند و اغلب تنها یک شماره تلفن برای این کار کافی است. شواهد حاکی از آن است که اکثریت افراد در ایالات متحده که دارای اکانتهای تلفنی با حاملهای بیسیم هستند، در معرض خطر SIM Swap قرار دارند. این حقیقت برای نگهدارندگان بیت کوین بسیار آزاردهنده است.
ظهور SIM Swapping
گزارشها حاکی از آن هستند که حملات SIM Swapping افزایش یافته است. در این حملات، مهاجم با حامل قربانی تماس میگیرد و خودش را به عنوان فرد قربانی معرفی میکند و تقاضای انتقال سرویس را به سیم کارت جدیدی میدهد. بنابراین بسیاری از سایتهایی که از پیام کوتاه برای تعیین هویت دوعاملی استفاده میکنند، اکانتهای شما را به خطر میاندازند.
مطالعات نشان داده است که بسیاری از حاملها از روشهای احراز هویت ناایمنی استفاده میکنند. زمانی که یک مهاجم اکانت بیسیم یک قربانی را در کنترل خود میگیرد، قادر به ایجاد خرابیهای زیادی خواهد بود. بسیاری از کاربران از روشهای احراز هویت ناایمنی برای دستیابی به داراییهای دیجیتال خود استفاده میکنند و سوالات امنیتی خوبی را هم به کار نمیبرند. این سهلانگاریها باعث به خطر افتادن اکانتها از طریق حمله SIM Swapping خواهد شد.
هدف قرار دادن بیت کوین از طریق SIM Swapping
حملات SIM Swapping سالها است که اتفاق میافتند و بیشتر دو دسته از افراد را نشانه میگیرند. دسته اول افرادی که دارای اکانتهای شبکه اجتماعی پرمخاطب و ارزشمندی هستند و دسته دوم نیز افرادی که دارای مقادیر قابل توجهی بیت کوین و ارز دیجیتال هستند. ارز دیجیتال زیادی از افراد مختلف به همین طریق در خلال بازار صعودی ۲۰۱۷ دزدیده شد.
آنچه که باعث جذب مهاجمان به سمت بیت کوین میشود، این است که این تراکنشها غیرقابل برگشت هستند و در بلاک چین ثبت میشوند. توقیف بیت کوینهای دزدیده شده برای مقامات بسیار دشوار است. علاوه بر این، تنها تعداد کمی از صرافیهای ارز دیجیتال از پشتیبانی بیمه FDIC برخوردارند. بیت کوین یک دارایی غیرمتمرکز و غیرقابلتغییر است، بنابراین مطالب بیان شده در اینجا کاملا ملموس است و هرگز نباید امنیت را کامل و بی عیب و نقص تلقی کرد.
چرخهای عدالت
سرمایهگذاران برجسته حوزه ارزهای دیجیتال مانند مایکل ترپین (Michael Terin) به خوبی از این اصل آگاه هستند. او در مصاحبهای ابراز داشته که عدالت در این زمینه کند عمل میکند. او مشغول یک دعوی حقوقی است و از گروهی از هکرها در ارتباط با حملات SIM Swapping شکایت کرده است. یک گروه سازمان یافته از هکرها، دو بار توانستند که سیم کارتهای مرتبط به اکانتهای ترپین را مبادله کنند. بعد از این اقدامات، هکرها بیش از نیم بیت کوین را از یکی از حسابهای صرافی ترپین دزدیدند. در آن زمان، قیمت بیت کوین ۱۰۰ دلار بود.
در ژانویه ۲۰۱۸، یک کارمند ۱۹ ساله در فروشگاه خرده فروشی AT&T، رمز عبور اکانت ترپین را در عوض رشوهای ۱۰۰ دلاری فاش کرده بود. در نتیجه، گروهی از هکرها توانسته بودند که ۲۴ میلیون دلار آلتکوین (Altcoin) به جیب بزنند. برای این آلتکوینهای دزدیده شده بر خلاف بیت کوین، گزینههای پشتیبانگیری کلید خصوصی کیف پول سخت افزاری موجود نبود.
اگرچه از این ماجرا نزدیک دو سال گذشته است اما ترپین میگوید که هر هفته با یک مورد از چنین حملاتی برخورد میکند و قربانیان به او زنگ میزنند و درخواست کمک میکنند.
مهاجمان کم سن و سال
ترپین همچنین درگیر یک دادخواست مدنی علیه یک جوان ۲۱ ساله ساکن نیویورک است که متهم به دزدیدن ۲۴ میلیون دلار از طریق حملات SIM Swapping است. ترپین ادعا کرده که این جوان دزدیهای دیگری هم کرده است و به احتمال زیاد در پشت حمله ۲۴ میلیونی است. در همان روزی که به ترپین حمله شد، این جوان پیامهایی را به خانواده و دوستان فرستاده بود و ابراز داشته بود که بیش از ۲۰ میلیون ارز دیجیتال را از یک کیف پول دزدیده است و زندگی او تغییر کرده است.
گزارشها نشان داده است که افراد دخیل در این گونه حملات، اکثرا مذکر و زیر ۲۵ سال هستند. بسیاری از این هکرها به صورت سازمانی عمل میکنند. جوانان فناوری جدید را پذیرفتهاند و افراد دیگر را در این زمینه احاطه نمودهاند. به نظر میرسد که بیت کوین و دزدیهای SIM Swap مرتبط، فرآیندی است که توسط نسل جوانتر شروع شده است تا از افرادی که سیستمهای ابتداییتری در اختیار دارند، سوء استفاده کنند.
ترجیح امنیت بر راحتی
قوانین ایجاد شده در حول و حوش فناوری ارزهای دیجیتال و مخاطرات و حملات ذکر شده، همیشه عقب هستند. به نظر میرسد که قوانین محافظت بهتر از حاملها تا چند سال دیگر هم وضع نشود که تا آن زمان، هکرها پول زیادی به جیب خواهند زد. بسیاری بر این باورند که مردم راحتی را بر امنیت ترجیح میدهند و اکانتهای حامل بیسیم هم برای چنین جامعهای طراحی شده است. اما اخیرا اعتراضات زیادی به حملات SIM Swapping شده است و از مقامات خواسته شده است که اقدامات لازم در این زمینه به عمل آید. گزارشها حاکی از آن هستند که بیش از ۳۰۰۰ قربانی این گونه حملات در امریکا موجود هستند که این افراد در کل حدود ۷۰ میلیون دلار ضرر را متحمل شدهاند.
این هکها اخیرا بسیار پیچیدهتر شدهاند و هکرها مستقیما وارد کامپیوترهای حامل بیسیم میشوند. هکرها برای این کار، کارمندان را مجبور به راهاندازی بد افزارهایی میکنند و این بد افزارها به صورت پروتکل راه دور دسکتاپ اجرا میشوند. امکان دادن رشوه هم در این میان منتفی نیست.
حملات SIM Swapping خطری برای امنیت ملی هستند و بسیاری از کارمندان آژانسهای حکومتی از سطوح مختلف تایید هویت دوعاملی استفاده میکنند. بدین ترتیب، هکرها میتوانند به اکانت مسئولان دسترسی پیدا کنند و از این دسترسی سوء استفاده کنند. رمز عبور یک اکانت بیسیم در دسترس کارمندان حامل است. این کار به منظور راحتی انجام شده است و برای مصرفکنندگانی که فرضا شماره خود را گم میکنند، بسیار مفید است. اما آسیبپذیری امنیتی در مورد این حاملها جدی است و اکثر آنها در کنترل طرفین ثالث هستند.
این حقیقت را نیز فراموش نکنیم که دستمزد ساعتی یک کارگر در شرکتهای حامل نیز در مناطق خاصی بسیار پایین و در حدود ۱۰ دلار است. این عامل انگیزه لازم را برای فروختن رمز عبور یک اکانت به قیمت ۱۰۰ دلار را فراهم میآورد.
از بیت کوین خود در برابر SIM Swapping محافظت کنید
یک تهدید رایج در مورد فرهنگ بیت کوین مطرح است؛ بیت کوین آزادی واقعی را ایجاد میکند و این سطح جدیدی از مسئولیت فنی، مالی و شخصی را در پی دارد. امنیت و حریم خصوصی را کسی فدای راحتی نمیکند اما ممکن است برای سودآوری در فعالیتهایی مانند ترید و وامدهی چنین کاری انجام شود. این دزدیهایی که صورت میگیرد، به مرور زمان انگیزه را برای ارتقای امنیت بالا میبرد.
افرادی که بیت کوین زیادی در کیف پول خود دارند، طعمهای جذاب برای هکرها خواهند بود. نمونههایی پیچیدهتر از حملات بد افزاری موجود است که تایید هویت دوعاملی را دور میزنند و احتیاجی به SIM Swapping ندارند، از جمله این نمونهها میتوان به وبسایتهای فیشینگ (Phishing) متقلب اشاره کرد.
خوشبختانه فناوریهایی برای محافظت در برابر حملات مذکور موجود هستند. تایید هویت دوعاملی با استفاده از یو اس بی (USB)، قویترین روش تایید هویت دوعاملی موجود در بازار است. این روش، خطر حملات مبتنی بر سیم کارت و فیشینگ را از میان برمیدارد.
چگونه از SIM Swapping جلوگیری کنیم؟
در این زمینه، ما با تعدادی از متخصصین امنیت و تعدادی از اعضای جامعه بیت کوین صحبت کردیم و بر اساس اطلاعات فراهم شده، لیستی از باید و نبایدها را تنظیم کردیم.
- بیت کوین خود را در کیف پول سخت افزاری نگه دارید و تایید هویت دوعاملی با استفاده از موبایل را رها کنید.
- از نگهداری بیت کوین خود در صرافی خودداری کنید. تاریخ ارزهای دیجیتال مملو از هکهای صرافیها و دیگر فعالیتهای شرورانه است.
- امنیت حامل تلفن خود را تقویت کنید و برای تایید هویت دوعاملی به جای پیام کوتاه، از برنامههایی مانند Google Authenticator استفاده کنید.
- به بازرسی مجدد سیاستهای امنیتی حامل بیسیم خود و دیگر اکانتهای آنلاینتان بپردازید. شما میتوانید امنیت آنها را آزمایش کنید و سعی کنید اکانت خود را هک نمایید.
- کیف پول سخت افزاری برای نگهداری بیت کوین و دیگر ارزها به تنهایی کافی نیست. همواره سعی کنید که رمز عبور خود را با نرم افزارهای مختلف مانند password manager آزمایش کنید و از قوی بودن آن اطمینان حاصل کنید.
- برای امنیت بالا باید اقدام به خرید yubiKey کنید که قیمت مناسبی دارند و میتوانید آن را برای تایید هویت دوعاملی مورد استفاده قرار دهید.
- سایتهای حساس را بوکمارک (bookmark) کنید و از طریق این بوکمارکها وارد شوید تا گرفتار فیشینگ و حملات پیچیدهتر نشوید.
- امنیت فعالیتهای عملکردی خود را پیوسته ارتقا دهید و هشدارها را جدی بگیرید.
نظر شما چیست؟ شما چه راهکارهای دیگری برای نگهداری ایمن بیت کوین و ارز دیجیتال دارید؟ نظرات خود را با ما در میان بگذارید.