A. 当下主要网络攻击手段(数字货币钱包安全隐患):
1.社交工程(Social Engineering):
又可译为社会工程,指一种非纯计算机技术类的入侵。它多依赖于人类之间的互动和交流,且通常涉及并使用到欺骗其他人来破坏正常的安全过程,以达到攻击者的目的,其中可能包括获取到攻击者想要得到的特定信息。
社工流程:Investigation调查—— hook勾搭—— play骗取 ——exit退出
2.钓鱼(Phishing):
通过诱导性点击的钓鱼邮件或冒牌网址来盗取真实网站的个人信息。
3.SIM卡交换(SIM swapping):
黑客欺骗你的手机供应商,使其相信你正在另一个设备上激活你的SIM卡。换句话说,他们是在窃取你的电话号码,并将其与他们的SIM卡关联起来。如果成功,这种攻击将使你的设备停用,他们的设备现在将成为所有短信、电话、数据以及与你的电话号码和SIM卡相关的账户的目的地。有了这些信息,攻击者就可以轻松获得你的应用账户、个人数据和财务信息。他们甚至可以永远锁定你的服务。
4. 身份伪造(identity falsification):
黑客通过在互联网上得到的用户数据(照片,个人信息,录音,视频等)通过深度伪造,专指基于人工智能的人体图像/声音合成技术的应用。此技术可将已有的图像或视频叠加至目标图像或视频上。来骗取服务提供商错认客户的身份而提供不应该的服务。
勒索软件(ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。
-
一些补充:一般来说,按不同地区的加密技术和计算机解密能力,在用户不主动泄漏个人信息的前提下,一场网络攻击通常需要的时间是:亚洲500 天,其他地区300天。所以对于数字货币钱包来说,没有任何在互联网上的钱是绝对安全的,最安全的储存办法一定是与互联网隔绝的冷储存,使用硬件钱包存储大额数字货币是目前相对更为安全的数字货币储存方案。
B. 各大主流钱包欺诈/被盗案例
机构及交易所被盗案例:
-
斯洛文尼亚挖矿平台NiceHash被盗4000个BTC
-
日本交易所Coincheck损失4亿美金
-
意大利交易所BitGrail损失1.7亿美金
-
以太坊开发团队Parity去年两次被黑先后损失3000万和1.5亿美金。
-
2016 年 6 月,以太坊DAO组织遭受黑客智能合约攻擊,360 多萬 ETH 被黑客盜走,價值約 5000 萬美元。
个人被盗案例:
-
Coinbase:
SIM卡交换:coinbase 用户科迪布朗在coinbase平台15分钟之内被盗取所有资产。在与客户服务代表详细交谈后,他了解到黑客不需要给任何密码,只通过简单的账单信息就能获得接管用户手机号码的批准。
网络攻击:2014年10月21日,Partap Davis 发现自己3000美金被盗。前一天晚上,他大概12点睡觉,一晚上,黑客将他设置的所有安全防护全部攻破。Davis 非常谨慎,他的密码都是强口令,从不点击虚假链接,并且使用了2FA来保护自己的账户安全。而黑客利用的是他其中一个小公司的邮箱账号的脚本漏洞获得了用户的个人信息,从而通过社会工程学逐一攻破了用户的gmail邮箱并接管了用户的coinbase钱包。从入侵Davis的邮箱帐号到钱被盗,黑客仅仅用了一个半小时。
2.其他情况
暴露私钥:彭博电视台主持人马特·米勒(Matt Miller)用纸质证书和Lazzerbee公司制作的QR码给了价值20美元的比特币。 不幸的是,米勒的摄像头暴露了她的私钥,这些钱就在瞬间在电视机前被盗走了。
假扮接收者:ICO流行的时期,募资公司需要投资者发送比特币到他们的钱包来完成募资,而黑客就伪造网站假扮成这些公司,并说服投资者把比特币转移到另一个假冒的钱包中来骗取大量比特币。
ICO诈骗:通过多层营销骗局和庞氏骗局,以高额回报率骗取投资人加入 ICO,一旦筹集到资金立即卷款跑路,数字货币市场ICO诈骗非常常见。
C. 人们能做的:
1.社交工程:
时刻警惕,尽量减少自己在互联网上暴露的时间,即使是对真实的朋友或亲人,也不要轻易发送任何个人信息,不要在未授权或不合法的小平台注册任何账号。
2. 钓鱼:
使用网站或邮箱时识别防钓鱼代码Anti—phishing code:由真实网站发出的独特网站身份识别代码。
3.SIM卡交换:
1) 开启SIM PIN(防止物理SIM卡更换)。
2)不要用短信作为恢复手机号码的方法。。
3)使用软件令牌(Google Authenticator)
4)使用硬件令牌(Yubikey
5)避免在社交媒体上暴露你用于金融科技应用的手机号码。
6)设置隐私性更强的密码恢复问题(不要用家人的生日,姓名等容易通过社会工程得到的密码恢复答案)
7) 如果您的手机突然无法使用,请保持警惕,立即致电电信运营商
4 其他重要方法:
2FA Two-factor authentication:双重验证
MFA multi-factor authentication:多重验证
双重验证目前已经不属于很安全的加密方法了,多重验证是未来金融科技客户信息验证的主流方式。
什么是双重验证/多重验证?
从人的不同属性验证个人:
Something you know:账户密码,密码保护问题,手势密码
Something you are:指纹解锁,面容解锁,声音解锁
Something you have:手机设备序列号,电脑设备序列号,硬件令牌