Vào ngày 21 tháng 7, tài khoản Twitter của người sáng lập Uniswap Hayden Adams đã bị hack và một dòng tweet chứa liên kết lừa đảo đã được đăng. Được biết, vụ hack có thể là một kiểu trộm thẻ SIM, tức là kẻ tấn công chiếm lấy số điện thoại của nạn nhân, cho phép họ truy cập vào tài khoản ngân hàng, thẻ tín dụng hoặc tài khoản.
Vào ngày 23/7, tài khoản của Coinlist cũng bị hack và đăng tải đường link lừa đảo. Và trước đó , tài khoản Twitter của LayerZero đã bị đánh cắp vào ngày 5 tháng 7 , tài khoản Twitter chính thức của nền tảng tổng hợp giao dịch DEX Slingshot đã bị đánh cắp vào tháng 6 và tài khoản Twitter của người sáng lập BitBoy Ben Armstrong đã bị đánh cắp, v.v. Tại sao một số lượng lớn tài khoản được mã hóa bị đánh cắp? Người dùng nên ngăn chặn nó như thế nào?
Sau đây là bản dịch toàn văn bài viết của Cointelegraph:
Vì các cuộc tấn công hoán đổi SIM thường được coi là kỹ năng công nghệ thấp nên người dùng phải cảnh giác về tính bảo mật của danh tính của họ. Bất chấp những cải tiến về cơ sở hạ tầng an ninh mạng, danh tính trực tuyến vẫn phải đối mặt với nhiều rủi ro, bao gồm cả những rủi ro liên quan đến việc hack số điện thoại của người dùng.
Vào đầu tháng 7, Giám đốc điều hành LayerZero Bryan Pellegrino đã trở thành một trong những nạn nhân của cuộc tấn công hoán đổi SIM mới nhất, chứng kiến tin tặc chiếm lấy tài khoản Twitter của anh ấy trong một thời gian ngắn. Pellegrino đã viết ngay sau khi lấy lại được tài khoản Twitter của mình: “Tôi đoán ai đó đã lấy ID của tôi ra khỏi thùng rác và bằng cách nào đó đã lừa cơ quan sử dụng nó làm thẻ SIM khi tôi để lại giấy tờ tùy thân thay thế va chạm.” Pellegrino nói với Cointelegraph: “Đó chỉ là một chuyện bình thường huy hiệu hội nghị bằng giấy cho ‘Bryan Pellegrino – diễn giả’.”
Cuộc chạm trán với Pellegrino này có thể khiến người dùng nghĩ rằng việc thực hiện một cuộc tấn công hoán đổi thẻ SIM cũng dễ dàng như việc lấy thông tin đăng nhập của người khác. Cointelegraph đã liên hệ với một số công ty bảo mật tiền điện tử để tìm hiểu xem liệu đây có phải là trường hợp hay không.
Hugh Brooks, người đứng đầu hoạt động bảo mật tại CertiK, nói với Cointelegraph. Brooks nói: “Nếu chúng ta không ngừng dựa vào xác minh hai bước dựa trên SMS và nếu các nhà cung cấp dịch vụ viễn thông không cải thiện tiêu chuẩn bảo mật của họ, chúng ta có thể thấy số lượng các cuộc tấn công tiếp tục gia tăng”.
Theo 23 pds, Giám đốc An toàn Thông tin tại SlowMist Security, các cuộc tấn công hoán đổi SIM hiện nay không phổ biến lắm nhưng có tiềm năng phát triển đáng kể trong tương lai gần. Ông nói: “Khi mức độ phổ biến của Web3 tăng lên, thu hút nhiều người hơn vào ngành, khả năng xảy ra các cuộc tấn công hoán đổi SIM cũng sẽ tăng lên do yêu cầu kỹ thuật tương đối thấp của nó”.
23 pds đề cập đến một số trường hợp hack hoán đổi SIM liên quan đến tiền điện tử trong vài năm qua. Vào tháng 10 năm 2021, Coinbase chính thức tiết lộ rằng tin tặc đã đánh cắp tiền điện tử từ ít nhất 6.000 khách hàng do lỗ hổng xác minh hai bước (2 FA). Trước đây, hacker người Anh Joseph O’Connor đã bị truy tố vào năm 2019 vì tội đánh cắp khoảng 800.000 USD tiền điện tử thông qua nhiều cuộc tấn công hoán đổi thẻ SIM.
Việc thực hiện một cuộc tấn công hoán đổi SIM khó đến mức nào?
Theo các giám đốc điều hành của CertiK, các cuộc tấn công hoán đổi SIM thường có thể được thực hiện bằng cách sử dụng thông tin có sẵn công khai hoặc thông tin thu được thông qua các kỹ thuật lừa đảo xã hội. Brooks của CertiK cho biết: “Nhìn chung, việc hoán đổi SIM có thể được coi là rào cản gia nhập thấp hơn đối với những kẻ tấn công so với các cuộc tấn công đòi hỏi kỹ thuật cao hơn, chẳng hạn như khai thác hợp đồng thông minh hoặc hack sàn giao dịch”.
23 pds của SlowMist đồng ý rằng việc hoán đổi SIM không yêu cầu kỹ năng kỹ thuật nâng cao. Ông cũng lưu ý rằng kiểu hoán đổi SIM này “phổ biến” trong thế giới Web2 nên “không có gì đáng ngạc nhiên” trong môi trường Web3. Ông nói: “Việc sử dụng các kỹ thuật lừa đảo xã hội thường dễ thực hiện hơn để đánh lừa các nhà điều hành hoặc nhân viên dịch vụ khách hàng được đề cập”.
Budorin của Hacken chỉ ra rằng thay vì dựa vào các phương pháp như SMS, tốt hơn nên sử dụng ứng dụng như Google Authenticator hoặc Authy.
23 pds của SlowMist cũng đề cập đến nhiều chiến lược hơn như xác thực đa yếu tố và xác minh tài khoản nâng cao như mật khẩu bổ sung. Ông cũng đặc biệt khuyến nghị người dùng nên đặt mật khẩu hoặc mã PIN mạnh cho thẻ SIM hoặc tài khoản điện thoại di động.
Một cách khác để tránh bị tráo đổi SIM là bảo vệ dữ liệu cá nhân như tên, địa chỉ, số điện thoại và ngày sinh. 23 pds của SlowMist cũng khuyến nghị nên xem xét kỹ lưỡng các tài khoản trực tuyến để phát hiện bất kỳ hoạt động bất thường nào.
Brooks của CertiK nhấn mạnh rằng các nền tảng cũng phải chịu trách nhiệm thúc đẩy các hoạt động xác minh thứ cấp an toàn. Ví dụ: các công ty có thể yêu cầu xác minh bổ sung trước khi cho phép thay đổi thông tin tài khoản và hướng dẫn người dùng về những rủi ro khi hoán đổi SIM.