Hayotimdagi eng qimmat dars: SIM-kartani buzish haqida tafsilotlar

Men o'tgan chorshanba kuni $ 100,000 dan shimolni yo'qotdim. Mening "Coinbase" hisobimni quritgan "SIM port hujumi" 24 soat ichida bug'lanib ketdi. Hodisadan to'rt kun o'tdi va men ichak tutdim. Mening nol ishtaham bor; mening uyqum tinch; Men xavotirda, vijdonda va xijolat ichida uyg'onaman.

Bu mening hayotimdagi yagona qimmatbaho dars edi va men o'z tajribamni + o'rgangan narsalarimni iloji boricha ko'p odamlar bilan baham ko'rmoqchiman. Mening maqsadim bu turdagi hujumlar haqida xabardorlikni oshirish va sizni onlayn identifikatsiyangiz xavfsizligini oshirishga undash.

Bu hali juda xom (men hattoki oilamga ham aytmaganman); iltimos, ushbu lavozimda keltirilgan xavfsizlikning soddaligi bo'yicha sud qarorini o'z zimmangizga oling.

Hujum tafsilotlari

O'zingizdan: "SIM portga hujum" o'zi nima? Hujumni tasvirlash uchun odatdagi onlayn identifikatorni ko'rib chiqaylik. Quyidagi diagramma ko'pchilikka tanish bo'lishi kerak.

Ko'pchiligimiz bir qancha boshqa onlayn hisob qaydnomalariga ulangan asosiy elektron pochta hisob qaydnomamiz bor. Ko'pchiligimiz shuningdek, elektron pochta parolingizni unutganingizda uni tiklash uchun ishlatilishi mumkin bo'lgan mobil qurilmangiz bor.

SIM-kartani avtorizatsiya qilish

SIM kartangizni boshqa qurilmaga ulash imkoniyati bu uyali aloqa operatorlari o'z mijozlariga taqdim etadigan xizmatdir. Bu mijozga o'z telefon raqamlarini yangi qurilmaga o'tkazilishini talab qilish imkonini beradi. Ko'pgina hollarda, bu mukammal qonuniy talabdir; bu biz yangi telefonga ulanganimizda, uyali aloqa operatorlarini almashtirganimizda va hokazo.

SIM-kartaga hujum

Biroq, "SIM portiga hujum" bu ruxsatsiz manba - tajovuzkor tomonidan amalga oshiriladigan zararli port. Tajovuzkor SIM kartangizni ular nazorat qiladigan telefonga portlaydi. Keyin tajovuzkor elektron pochta hisob qaydnomangizda parolni tiklash oqimini ishga tushiradi. Tasdiqlash kodi elektron pochta provayderingizdan sizning telefon raqamingizga yuboriladi - bu tajovuzkor tomonidan bloklanadi, chunki ular endi SIM-kartangizni boshqaradilar. Quyidagi diagrammada hujumning bosqichma-bosqich tasvirlangan.

Shafqatsizlar sizning asosiy elektron pochta hisob qaydnomangizni nazorat qilgandan so'ng, siz o'sha elektron pochta manzili orqali boshqariladigan har qanday foydali onlayn xizmatlar (bank hisoblari, ijtimoiy media hisob qaydnomalari va boshqalar) orqali keyinchalik harakatlanishni boshlaydilar. Agar ular juda yovuz bo'lsa, ular sizni undirish uchun ozgina mablag 'sarflab, sizni hatto o'z hisoblaringizdan blokirovka qilishi mumkin.

Bitta Google hisobiga bog'langan nozik ma'lumotlarning to'liq hajmini ko'rib chiqing:

  • Sizning manzilingiz, tug'ilgan sana va boshqa shaxsiy, shaxsiy ma'lumot
  • Sizning (va / yoki sherigingiz) xavfli fotosuratlariga kirish
  • Taqvimingizga va kelgusi sayohat sanalariga kirish
  • Shaxsiy elektron pochta xabarlaringiz, hujjatlaringiz va qidiruv tarixingizga kirish
  • Shaxsiy kontaktlaringiz va ularning shaxsiy ma'lumotlariga kirish, shuningdek sizga nisbatan munosabat
  • Sizning asosiy elektron pochta manzilingiz autentifikatsiya manbai sifatida ishlatilgan barcha boshqa onlayn xizmatlarga kirish

Voqealar xronologiyasi

Bunday hujum qanday amalga oshirilganligi va xavf ostidagi narsalarning hajmini yaxshiroq tushunish uchun, ushbu aniq hujum vaqtini aniqlashga harakat qilaylik. Hujum qanday amalga oshirilgani, ushbu voqealarni qanday boshdan kechirganim va shunga o'xshash alomatlarga duch kelsangiz, o'zingizni himoya qilish uchun nima qilishingiz mumkinligi haqida rasm chizmoqchiman.

Xronologiya to'rt qismga bo'lingan:

  • Men boshdan kechirgan narsalar: Mening nazarimda voqealar - agar siz shunga o'xshash narsaga duch kelsangiz, bu aniq hujumlarga duchor bo'lishingiz mumkin bo'lgan aniq ko'rsatkichlardir.
  • Hujum qilgan narsa: Hacker mening Coinbase hisobimga kirishda foydalanadigan asosiy taktikalar.
  • Mening xabardor bo'lgan tahdid darajasi: Men ushbu hodisalarni ular sodir bo'layotgan darajaga qarab belgilab qo'ydim.
  • Menda bo'lishi kerak bo'lgan tahdid darajasi: Agar bu hodisalar ro'y bersa, men istagan tahlika darajasini istagan bo'lar edim.

O'rganilgan darslar + tavsiyalar

Bu mening hayotimdagi eng qimmat dars edi. 24 soat ichida men sof qiymatning muhim foizini yo'qotdim; qaytarib bo'lmaydigan Quyida men boshqalarni o'zlarini yaxshiroq himoya qilish uchun foydalanishni maslahat beradigan bir nechta maslahat berilgan:

  • Kriptoingizni xavfsiz qilish uchun qo'shimcha qurilmadan foydalaning: O'zingiz bilan ishlamasangiz, kripto-jihozingizni hamyon / oflayn saqlash / ko'p o'lchamli hamyonga o'tkazing. Birjalarda yoki fiat rampalarida mablag'larni bo'sh qoldirmang. Men Coinbase-ni bank hisobvarag'i kabi muomala qildim va sizda hujum bo'lganida mutlaqo nol yordam bor. Men tavakkalchilikni ko'pchilardan yaxshiroq bilardim, lekin men hech qachon bunday narsa yuz berishi mumkin deb o'ylamagan edim. Men o'zimning kriptoim bilan xavfsizlik choralarini kuchaytirmasligimdan afsuslanaman.
  • SMS asosidagi 2FA etarli emas: siz Internetda himoya qilishga intilayotgan aktivlaringiz va / yoki identifikatorlaringizdan qat'i nazar, qurilmaga asoslangan xavfsizlikka o'ting (masalan, tajovuzkor jismoniy hujumni amalga oshirish uchun jismoniy olishi kerak bo'lgan narsa). Google Authenticator va Authy mobil qurilmangizni xavfsizlikka asoslangan xavfsizlikka aylantirishi mumkin bo'lsa-da, men bundan keyin ham qadam qo'yishni maslahat beraman. YubiKey-ni o'zingiz boshqaradigan va buzib bo'lmaydigan qilib oling.
  • Onlayn izingizni qisqartiring: Internetda shaxsan aniqlanadigan ma'lumotni (tug'ilgan sanasi, joylashgan joyi, joylashtirilgan joylashuv ma'lumotlari bilan rasmlar va boshqalar) keraksiz ravishda almashish istagini kamaytiring. Hujum sodir bo'lgan taqdirda, barcha mavjud kvass ma'lumotlar sizga qarshi bo'lishi mumkin.
  • Google Voice 2FA: Ba'zi hollarda onlayn-xizmat 2FA-ga asoslangan apparat ta'minotini qo'llab-quvvatlamaydi (ular zaif SMS asosidagi 2FA-ga asoslanadi). Bunday holatlarda siz Google Voice telefon raqamini (SIM-kartaga ulanib bo'lmaydigan) yaratib, uning 2-Faktor Haqiqiy tiklash raqamiga ega bo'lgan raqamidan foydalangan ma'qul.
  • Ikkilamchi elektron pochta manzilini yarating: Hamma narsani bitta elektron pochta manziliga bog'lash o'rniga, tanqidiy onlayn identifikatoringiz (bank hisoblari, ijtimoiy tarmoqlardagi akkauntlar, kripto almashinuvlari va boshqalar) uchun ikkilamchi manzilni yarating. Ushbu elektron pochta manzilini boshqa hech narsa uchun ishlatmang va uni maxfiy saqlang. Ushbu manzilni zaxira nusxasini biron-bir apparat asosidagi 2FA yordamida saqlang.
  • Offlayn parol menejeri: parollaringiz uchun parol menejeridan foydalaning. Bundan ham yaxshisi, parol do'koni kabi oflayn parol menejeridan foydalaning. lrvick-da turli xil parollar menejerlarining mukammal taqqoslash jadvali, shuningdek, texnikaga moyil bo'lganlar uchun tekshirilgan tavsiyalar mavjud.

O'quvchilarning sharhlariga kelsak ...

Mening sodda xavfsizlik amaliyotimdan kelib chiqqan holda, men hacklanishga loyiq edim - men buni tushunaman. Hech kimni xafa qilmaydi va hukmni qabul qilish ushbu voqeaning ta'sirini kuchaytiradi, ya'ni:

  • Boshqalarga qurbon bo'lish qanchalik osonligini bilish uchun
  • Onlayn identifikatsiyangiz xavfsizligini birinchi o'ringa qo'yish uchun ushbu bilim va yuqoridagi tavsiyalardan foydalanish

Yo'l davomida o'zimni himoya qilish uchun qilgan mayda-chuyda narsalar haqida o'ylashni to'xtata olmayman. Mening fikrlarim "if-ifs" va "vaqt" alternativalari bilan bog'liq.

Biroq, bu fikrlar ikkita muhim tuyg'u bilan bog'liq - dangasalik va omon qolish tarafdori. Men hech qachon Internetdagi xavfsizligimni jiddiy qabul qilmaganman, chunki men hech qachon hujumga duch kelmagan edim. Xavf profilimni tushungan bo'lsam-da, aktivlarimni munosib darajada ta'minlash uchun juda dangasa edim.

Sizni ushbu xatolardan saboq olishga chorlayman.

Malumot o'qish

  • TOTP bilan ikki faktorli autentifikatsiyani sozlash
  • Ikki faktorli autentifikatsiyani xavflari va cheklashlari
  • Xavfsiz parol boshqaruvchisini qanday sozlash kerak
  • Sizning ehtiyojlaringizga eng mos keladigan kripto hamyonni qanday baholash va sozlash kerak