清早一醒来，就收到Coinbase确认提款成功的电子邮件。这很奇怪，你没有动过任何数字货币。打电话给Coinbase询问发生了什么，但手机无法正常工作。真是怪了。借用家人的手机，致电手机服务提供商，工作人员解释说你昨天打来电话，并要求将SIM卡更交到新手机上。他们应邀完成了你的请求。可怕的是，你没有购买新手机，也没有给手机服务商打电话要求此项服务。简直不敢想象接下来发生的更可怕的事情，你已被SIM卡诈骗了。

什么是SIM卡诈骗？

简而言之，SIM卡诈骗是有人冒充你向你的移动电话服务提供商冒充你的手机号码。劫持你的人可能是隔壁邻居，但更有可能他们身处世界的另一半球，正虎视眈眈的望着你存放在加密货币钱包中的资产。

你的手机号码是数字生活的关键。电子邮件，社交帐户，消息传递平台都使用手机号码作为密码恢复选项。由于加密交易的不可逆性，SIM卡诈骗越来越多地将目标锁定为加密货币用户，使用基于SMS文本的帐户恢复方法登录交易所，扣押资金并将其转移到自己的钱包中。

SIM卡诈骗攻击有3个简单步骤：
1.黑客说服电话公司将某人的电话号码切换到由黑客控制的SIM卡上。
2.黑客使用电话号码登录受害者的Coinbase帐户或其他交易所。
3.黑客将加密货币转移到他们控制的地址。

最近据BitGo工程师详细描述，他在一次SIM卡诈骗攻击中损失了100,000美元。今年2月22日，一名为“zhoujianfu”的用户在reddit发帖称，价值3千万美元的BCH、1500万美元的BTC被盗，被盗也是源于这类攻击。

我们在2019年看到更恶毒的攻击是SIM卡诈骗攻击加上勒索。运作方式如下。
1.黑客说服电话公司将某人的电话号码切换到黑客控制的SIM卡上。
2.黑客在受害者的数字生活中流连忘返，试图找到令人尴尬的东西，从裸照，商业记录到婚外恋证据。
3.黑客威胁要公开发布此信息，并以他们认为可以得到的尽可能多的钱勒索受害者。

一位加密社区成员最近指出，这些勒索活动的受害者通常是女性。加密社区的知名成员最近被SIM卡诈骗了。 Andreessen Horowitz的前合伙人，Coinbase的技术专家Preethi Kasireddy最近在推特上写道：这实际上是第三次发生这种情况。以太坊社区基金前雇员卡桑德拉·施（Cassandra Shi）在5月份发推文说：我正在换SIM卡……。我的电报帐户已包含在内。在过去的几周中，已有数十位著名的加密社区成员有过被SIM卡诈骗攻击的经历。

手机运营商服务的诸多弊端，给黑客提供了作弊的后门

随着区块链从社会边缘转移到早期参与者，我们看到加密资产的合法使用量情况增加了十倍。随着区块链从早期参与者转变为多数人，我们将再次看到加密资产的使用情况增加十倍。每次区块链使用量增长时，骗子都会有更多的目标希望快速赚钱。问题正在加剧，现有的手机运营商没有能力以任何方式处理此类攻击，甚至公开承认它的严重性。

在某些方面，这是一个数学问题。重要的消费运营商每天可能会收到数千个SIM转发请求，而只有十几个SIM卡诈骗攻击。通过采用巧妙的社交工程策略，或在社区的呼叫中心内部联系，黑客一天之内就可以赚取数千美元，甚至数百万美元。

这也是一个责任问题。许多社交媒体，电子邮件和消息传递平台已将身份验证措施的责任转移给了手机服务供应商。验证身份的来源并不是服务提供商与客户签订合同的目的，他们通常只提供手机服务和数据。

在其他方面，这是一个激励问题。手机电话提供商每年在离岸呼叫中心可能只雇用数量有限的人员。他们的员工士气低落，甚至对客户的服务热情也不高。有了足够大的诱惑，一些员工可能会愿意串通和出售对手机数据库的访问权限。这也是一个训练问题。手机数据大多是靠脚本操作的，并不总是具备处理最新社交工程技术的能力。

最后，存在透明度问题。手机供应商无需向FCC报告SIM端口移植攻击，也无需以任何有意义的方式进行监管，来保护其客户免受这些攻击。这些问题与加密货币的使用日益增加相结合，为加密窃贼带来了完美的行动风暴。

如何采取适当的预防措施？

主要分三步：

1.要求你的手机运营商提供更高的安全性

上面提到的Kasireddy最近发了一条推文：这实际上是第三次发生这种情况，我添加了个人识别码，但无效。我甚至要求他们除非我当面请求，否则不要对我的帐户进行任何更改，但此时的这一请求超出了我对运营商的预期。

你希望手机运营商能为此做保护？那么一个严肃的消息是它可能不会。手机提供商可以提议在你帐户的备注字段中添加“特殊说明”，以防止SIM卡诈骗，例如，备注要求帐户所有者亲自出现在商店工作现场以更换SIM卡。但是，加密社区成员猜测这些注释并没有被强制执行，并且经常被忽略。进进一步的猜测是，这些SIM交换攻击是如此有利可图，有足够的动机促使内部工作人员犯错。

考虑切换到使用Google语音，你可以设置一个电话号码，该号码将转发给你的移动运营商提供的电话号码，从而避免任何可能成为SIM卡诈骗者的“猎物”。

2.限制下行风险

另一种策略是限制遭受SIM卡诈骗攻击的负面影响。请注意，帐户恢复与两因素身份验证不同。
1. 重要账户使用类似谷歌验证器的2FA验证，通常需要输入电子邮件，再加上发给手机的短信代码。
2. 如果你忘记了登录信息，帐户恢复就是重置登录凭据的方式。
检查你的谷歌验证器设置，请确保已禁用多设备设置。接下来，在主要电子邮件提供商上禁用基于电话的帐户恢复。电子邮件提供商是SIM卡诈骗者试图闯入的第一道关卡，因为它包含许多在线帐户的密钥。您需要将基于电话的帐户恢复更改为基2FA验证的恢复或基于电子邮件的恢复。

要做的第三件事是在其他社交帐户上禁用基于电话的帐户恢复。最后，请确保加密货币在安全的地方。比如放入硬件钱包是不错的选择。

3.攻击后的伤害控制

如果你遭到攻击，通过下面的清单进行检查。毕竟，进行一丝一毫的预防都是值得的。
加密社区也与我分享了以下建议：
1.与你的移动电话服务提供商联系，最好是亲自联系，找回你的电话号码。
2.不要回应你的攻击者。关闭已读回执。
3.要求你的移动服务提供商在你不亲自出现在营业厅现场的情况下，禁止给帐户迁移。
4.找回电子邮件。
5.找回每个社交帐户，重新获得访问权限。
6.换一张新的SIM卡，并保留旧的以备不时之需。
7.确保不重复输入密码，并开始使用1Password之类的工具。
8.与相关法律人士交流。

期望手机运营商的改变

我们对电话号码的用途已经随着时间的流逝而发展，而不是仅仅用于拨打电话，还涉及到社会交往等方方面面。正如ConsenSys的律师乔伊斯·赖（Joyce Lai）所说：

移动运营商需要了解，他们需要在保护人们的电话号码方面做得更好。电话号码根本不是20年前的电话号码。它不仅仅用于与某人说话。实际上，它可能很少用于交谈。

建议手机提供商有以下服务：

1.提供有关SIM卡诈骗的每月公开透明报告，包括攻击量，根本原因和补救措施。
2.创建一个内部执行规则来约束允许对SIM卡诈骗的员工。
3.为SIM卡诈骗的受害者提供资金和保险帮助，使他们可以继续生活。

请像我一样认真对待这个问题，让我们团结社区和各方资源力量，解决它。

原文作者：Kevin Owocki

原文链接：SIM Jacking attacks are on the rise for crypto holders

译者：听风团队——洁然不同 

---

听风说币公众号：听风区块链。有意加入听风团队，加微信seeknsee私聊。

另外我也有个群，如果你想加入一起聊区块链，一起赚钱，让我拉你。本文为个人观点，仅供参考，不构成投资建议。

版权所有，转载请先联系本人。

最后，日常邀请注册MYKEY，市面上唯一免费的EOS账户。光速开启MYKEY数字生活，每月20号会员日更多活动等着你，现在注册更有 $ 1.5 网络费和多项福利等你来领。