对于手机公司而言加密数字通常是针对性的
受害者注意到他们的手机没有服务,或者他们无法登录他们的电子邮件。这是两周前旧金山加密投资者尼古拉斯霍夫曼所发生的事情。当他恢复了他的电子邮件帐户时,霍夫曼发现有人从新的IP地址登录了他的加密帐户。
“我开始吓坏了,”霍夫曼说。“他们拥有每一件事的密码。他们没有登录银行账户或普通金融账户。“
但黑客确实进入了他的Kraken,Binance,Apple和其他账户。
“他们几乎得到了所有的东西,”霍夫曼说道,他拒绝透露他输了多少钱,只是说加密货币数以千计。
霍夫曼和许多像他一样的人都是端口骗局的受害者。假装是他的人绕过他在T-Mobile的手机安全措施,并将他的身份转移到另一个设备和运营商。虽然Reddit留言板上充斥着类似端口欺诈的故事,包括AT&T客户,但T-Mobile一直是最近一系列黑客事件的共同点。
T-Mobile没有回复评论请求,该公司已经面临至少一起于2月提起的诉讼。在华盛顿州,Carlos Tapang对手机运营商提起诉讼,声称该公司没有要求提供密码。他在这次袭击中损失了2.875比特币(当时约为20,000美元)和其他加密货币。
“T-Mobile未能制定或实施合理的政策,程序或法规,以管理授权客户访问T-Mobile帐户的用户凭证的创建和认证,从而造成未经授权访问的不合理风险,” Tapang在诉讼中声称。
对最近的移植黑客的受害者来说最令人痛苦的是:对于手机公司而言,这不是一个新问题,而且加密数字通常是针对性的。福布斯在2016年底报道了这个问题,“纽约时报”去年发表了自己的故事。
然而,T-Mobile的问题似乎是独一无二的。据主板报道,2017年10月,T-Mobile关闭了一个漏洞,让黑客可以访问客户信息。2月份,T-Mobile 向一些客户发送了大量文本,警告了端口欺诈,并将他们引导到公司网站解释问题。
两周前,当霍夫曼谈到T-Mobile客户支持他的黑客时,“电话里的那位女士试图向我保证他们已经花费了数千小时来解决这个问题,我没有什么可担心的, “霍夫曼说。
当他告诉她关于私人Facebook群体越来越多,他属于端口欺诈的受害者时,“她有勇气告诉我问题已经解决了......当然,第二天,另一个人用T-Mobile和反移植的PIN被添加到'我被黑了'的线程中。“
Travis Wright是“Bad Crypto”播客的共同主持人,属于同一个Facebook小组,似乎每天都会增加新成员。去年,赖特本人就是这次移植网络犯罪的受害者。他的手机公司?T移动。
“我了解网络安全,”安全软件公司赛门铁克前数字策略师莱特说。“如果我能被黑客入侵,任何人都可能被黑客入侵。”
Wright谈到了他在播客上的经历,他很幸运。他没有丢失任何加密,主要是因为他的手机或电脑上没有任何存取密钥。
现在,Wright在几乎所有的东西上都有双因素身份验证(2FA)并且有一个新的口头禅:“不要将你的加密保存在你的计算机上。不要将它放在手机上。不要把它放在你的房子里。“
咨询公司Third Key Solutions的首席执行官Pamela Morgan 建议,即使是通过他们的手机号码或短信使用双因素身份验证的用户也可以切换到其他服务,如Authy或通用的第二因素(U2F)解决方案,如YubiKey。
“服务提供商可以鼓励采用这种技术,支持U2F并阻止或禁用SMS作为第二个因素,”Morgan说,他写了一篇名为“ 比特币安全变得简单:非专家的简单提示 ”的系列文章。
“记住,你可能拥有自己的手机,但你绝对不拥有自己的手机号码,”摩根说。
至于霍夫曼,他仍在挖掘他的黑客并试图确保他所有的账户。他甚至聘请了一位安全专家来帮助他。
“这在安全方面是一个昂贵的教训,”霍夫曼说。
霍夫曼说:“如果我启用了非SMS 2FA,我的大多数问题都会被避免。” “使用与T-Mobile没有相同级别漏洞的提供商,这样做更好。无论2FA的安全性如何,只需拥有T-Mobile就可以让人更有可能成为目标。“