想保护您的比特币安全吗？ 首先保护您的电话号码！

让我们看看2017年的数据。 社交媒体助长了 19,986 起犯罪，造成 5,700 万美元的损失，加密货币助长了 4,139 起犯罪，造成了 5,900 万美元的损失。 整个 2017 年，有 17,636 名身份盗用受害者损失了 6,900 万美元。

2017 年按犯罪类型接收的受害人人数（来源：）

2017 年按犯罪类型划分的损失数量（来源：）

我们生活在一个日益数字化和超连接的世界。 科技的发展给我们带来了很多便利，但同时也给我们带来了很多威胁。 清楚地。 在与黑客的博弈中，我们使用的工具严重落后于对手，被攻击的风险无处不在。 黑客有多种攻击媒介可供使用，根据木桶效应，我们不完美的系统仅与那些最薄弱的点一样安全。 甚至有可能我在本文中描述的一些攻击细节会激发未来的黑客攻击，促使他们整合现有的攻击向量，发起更猛烈的攻势。

2018 年的犯罪活动报告尚未公布，但不难想象受害人、投诉和损害赔偿将大幅增加。

请注意，FBI 互联网犯罪投诉中心提供的数据不包括非法手机 SIM 移植的受害者人数，但我预计这些攻击会更频繁地发生。

在统计这些数据的时候，我在2016年的一篇博客中发现了一件很有意思的事情。 美国联邦贸易委员会首席技术专家Lorrie Cranor也未能逃过黑客的攻击，成为手机SIM卡被非法移植身份盗用的受害者。

“2013 年 1 月，共报告了 1,038 起非法移植手机 SIM 卡的身份盗窃案件，占向 FTC 报告的所有身份盗窃案件的 3.2%。移植的身份盗窃案件已增长到 2,658 起，占 FTC 的 6.3%。当月向联邦贸易委员会报告了所有身份盗用案件，受害者分布在所有四大移动运营商中。”

根据过去的经验，黑客将主要关注 Instagram 名人和在社交媒体上谈论加密货币的任何人。 虽然可以使用加密货币支付赎金，但也有一些“传统”黑客要求受害者将赎金转入指定的离岸银行账户。 加密货币勒索是一种新的犯罪形式，虽然加密货币赎金支付的流向通常是可追踪的（许多加密货币中的账户是假名而不是匿名的）比特币忘记账号密码怎么办，但个人和机构几乎无法追踪。 法律先例和保障措施。 使用离岸银行账户进行勒索有大量的法庭先例，因为银行采取了额外的保障措施来追踪资金的流动。

这些攻击暴露了可用于窃取任何人身份的漏洞。 如果政客、记者、企业家和一些关键人物的身份被盗，后果不堪设想。

黑客是如何攻击的？ 瞄准最薄弱的环节：移动运营商。

在非法 SIM 移植攻击中，黑客使用您的姓名和电话号码来接管您的电话号码帐户，从而窃取您的身份。 具体过程是怎样的？

在美国，各大移动运营商都允许客户携号转网，而部分运营商携号转网时往往存在管理真空，因此大部分针对非法移植手机SIM卡的攻击都是基于移植号码到网络漏洞。 法律要求客户在携号转网时提供能够证明身份的准确信息，通常会提供一些个人身份信息（Personally Identifiable Information，PII），比如你的社会安全号码（Social Security Number，SSN，类似于中国居民身份证）号码），地址的最后 4 位数字，出生日期等。考虑到多年来发生的数据泄露事件的数量，以及许多大公司的数据库已被黑客入侵，黑客不难破解收集这些信息。

即使您的电话号码帐户信息过去没有泄露，您也不能高枕无忧，因为您可能已经在社交媒体上分享了大量信息。 此外，收集信息的方式还包括网络钓鱼。 这些点点滴滴的信息很容易被这些黑客利用，通过移动运营商的认证。

究竟如何？

最令人不安的是，尽管 AT&T 从众多案例中了解到，一些员工通过让黑客直接访问客户信息或帮助黑客绕过 AT&T 的安全程序，积极与黑客合谋实施 SIM 卡移植诈骗，但 AT&T 对此视而不见，并没有改进其安全防护措施. 在最近的几起案件中，执法部门甚至证实了 AT&T 员工直接与网络恐怖分子和窃贼合谋，进行手机 SIM 移植诈骗，以此作为营利手段。 因此，AT&T的用户隐私保护系统成为了名副其实的现代马其诺防线（一战后法国在其东北边境地区修建防御系统以防止德军入侵，而在二战中德国人轻松绕过马奇诺防线行攻法，现在主要指那些看起来很扎实但实际上一文不值的东西）：用很多让人安心的词语，让用户产生信息安全的错觉。 在这种情况下，AT&T隐私保护程序的漏洞非常明显，这也遵循了AT&T一贯的做事风格。 原告 Michael Terpin 是一位经验丰富且备受瞩目的加密货币投资者，是 AT&T 的长期忠实用户，他将敏感的私人信息委托给 AT&T，并依赖 AT&T 的法律保证和承诺。 鉴于所有移动运营商对客户数据安全性的大肆宣传，原告认为 AT&T 将信守承诺，确保其自身数据安全可靠，遏制可能导致数千万美元被盗的数据泄露事件在加密货币中。 风险。

在 AT&T 声称对原告 Michael Terpin 的电话号码帐户进行了额外保护的不愉快事件之后，冒充 Terpin 先生的黑客很容易从与黑客合作的 AT&T 内部人员那里获得了 Terpin 先生的电话号码。 AT&T 地点的电话号码和客户服务代表没有要求黑客提供有效身份证明或 Terpin 先生设置的密码。 AT&T 安全措施不足导致 Terpin 先生的电话号码账户遭到黑客攻击，导致超过 2400 万美元的加密货币损失。 AT&T 的行为让黑客很容易绕过安全程序窃取 Terpin 先生的电话号码账户，最终导致 Terpin 先生的加密货币被盗。 AT&T的所作所为就像是一家酒店，将客户房间和房间保险箱的钥匙交给冒充客户的小偷，最终导致客户存放在保险箱内的珠宝被盗。 AT&T 未采取任何措施保护其近 1.4 亿客户免受 SIM 移植诈骗。 因此，AT&T 对这些骗局负有直接责任，因为它在明知其客户可能遭受 SIM 卡移植骗局的情况下仍坚持采取这种毫无意义的安全措施。 AT&T 对此视而不见，因为它已经发展到如此庞大，以至于不再关心这些安全问题。

作为受害者之一，我期待通过集体诉讼从根本上解决问题。

保护您的电话号码是确保在线帐户安全的关键

如果黑客通过移植手机SIM卡的方式劫持了您的手机号账号，您该怎么办？ 简单来说，你已经停止做饭了。 因为保护您的电话号码是确保在线帐户安全的关键。

一旦黑客在新手机 SIM 卡上激活了您的电话号码帐户，您的电话号码就掌握在黑客手中。 黑客然后使用您的电话号码获取身份验证消息并重置您所有在线帐户的密码。 此时，任何基于你设置的短信验证码的双因素认证机制都变得毫无意义，因为你的电话号码已经掌握在黑客手中，黑客可以轻松拦截来自谷歌、苹果iCloud、Facebook、Dropbox、身份验证的消息来自银行、信用卡发行机构和任何第三方平台（例如加密货币交易所）的信息； 此外，许多公司会打电话或发短信来确认客户的身份，这在这些情况下毫无意义。

这就是为什么我强调控制您的电话号码帐户可以让您控制所有在线帐户。

更可怕的是，你可能直到发现自己的移动设备没有服务时才知道自己被黑了，甚至可能只是认为这里的信号不好。

想必大家都有过移动设备没有服务的经历，如果是因为黑客攻击，那将是一件很可怕的事情。

然后，当黑客完成更改您的密码、窃取您的资金并获得对您其他私人信息的访问权限时，您可能会注意到您的在线帐户无法访问或同步的问题。

紧接着，你很可能会收到一封邮件（别问我怎么知道的，还记得文章开头的邮件吗？经验都是血教训堆成的）指示你将比特币发送到指定的钱包地址以重新获得访问数据。 这一切发生得非常快（通常在一个小时内），除非你当时正好在 WiFi 上（你将无法使用数据，因为你的电话号码帐户已被劫持）或者你恰好打开了手机在黑客攻击期间。 电子邮件帐户，否则您将失去所有访问权限。

防御外卖：您无法免受黑客攻击，但总有办法降低被攻击的风险

还是有办法的。 您可以为您的电话号码帐户添加额外的安全措施，例如为您的电话号码帐户创建密码。 美国联邦贸易委员会要求移动运营商采取措施检测和防止身份盗用诈骗。 许多移动运营商允许客户为其帐户设置密码，因此必须先提供密码才能对帐户进行任何更改。 虽然移动运营商通常会指定这一点，但该过程并非 100% 安全并且可能会受到攻击。 俗话说，有政策就有政策，客户服务代表并不总是遵守这些规则。 不过，有总比没有好，下面是我从美国联邦贸易委员会官网摘录的一些信息：

您还可以采取以下预防措施：

血的教训：经营者必须负起责任

基于短信验证码的双因素认证机制已经凉了

手机号码是可能对这些互连系统造成严重破坏的中心故障点。 今天比特币忘记账号密码怎么办，一些广受信任的机构控制和管理着大量信息。 区块链技术可以帮助从当今的集中式信息存储库转变为更加分散、稳健和容错的网络。 区块链技术为我们描绘了一个不依赖于中心化组织来管理我们的数据，将数字生活的控制权委托给我们的用户的美好愿景。 我们应该采取行动，为我们自己的数据争取更大的权利。

给美国受害者的建议：

如果你也不幸被黑了，在美国，我的建议是这样的：

原文链接：