Foto: Kevin Frayer (Getty)
Wir verwenden ein Verbrechen spree, um uns zu belehren.
Neun Menschen angeklagt wurden diese Woche durch das Justizministerium in dieser Woche mit dem stehlen $2,4 Millionen in Form von kryptogeld durch ein System namens SIM-hijacking.
SIM-hijacking ist eine aufwendige, aber relativ einfach etwas von Betrug und social engineering, in denen Gauner stehlen Telefonnummern von Zielen durch verschiedene Mittel, in diesem speziellen Fall durch die Bestechung von Kunden-support-Mitarbeiter oder in anderen Fällen die Identität der Opfer.
Die Opfer dieses Schema gehalten Millionen von Dollar in kryptogeld in online-Börsen und verwendet die Telefon-Nummern, wie zwei-Faktor-Authentifizierung erfolgt über text-Nachricht (SMS) zu sichern Ihr Geld. Sobald der angebliche Hacker gekapert diese zahlen, Sie waren in der Lage zu nutzen, Sie brechen in die Konten und das Geld nehmen.
Was macht kryptogeld solch ein verlockendes Ziel ist, dass, wenn es einmal gestohlen, gibt es kein Weg zurück. Keine bank anrufen, keine zentrale Autorität, um zu appellieren. Das ist der Appell von kryptogeld für eine Menge Leute, richtig? Und das ist eher was macht es so ein saftiges Ziel.
Zwei-Faktor-Authentifizierung ist eine der einfachsten und wichtigsten Schritte, die Sie ergreifen können, um zu sichern Sie Ihr online-Leben. Leider für diejenigen, die haben Ihre Bitcoin abgezockt, es gibt eine kleine, aber wichtige Falten bewusst zu sein.
Hier ist die Lektion: Zwei-Faktor-Authentifizierung, die sich auf Telefonnummern und SMS-Nachrichten ist schwach, und wenn Sie es verwenden, um zu schützen, so etwas wie, ich weiß nicht, Millionen von Dollar von kryptogeld, du bist ein leichter Gegner.
Das ist keine brandneuen Informationen, aber es ist wichtig. Es ist klar, dass trotz der Jahre der Forschung, zu viele Menschen verlassen sich immer noch auf diese schwache Authentifizierung zur Sicherung Ihrer online-Konten. Für cybersecurity, kann es Jahre dauern, für die Umstellung auf das neue Paradigma.
Die Telefonnummern sind nie das einzige Werkzeug, das benötigt wird, um in die Konten, aber Sie sollen den failsafe, der zweite authentifizierungsfaktor zu gehen, mit einem Kennwort, das macht Ihr Konto exponentiell sicherer. Aber letztlich Telefonnummern sind schwach Authentifikatoren und alle wichtigen Konto, das Sie haben, sollten mit mehr, um es zu sichern.
Dies ist nicht eine Täter-Opfer-Schuld-blog und das ist nicht Ihre Schuld. Natürlich, die Gauner sind zunächst an Schuld, sondern die Webseiten selbst sollten besser auf Sicherheit. Für wichtige accounts, ist es wohl nicht, sogar werden eine Wahl, die Verwendung von text-Nachrichten, wie die zwei-Faktor-Authentifizierung. Jede website mit wichtigen Konten anbieten, kann es wohl besser tun, und jede website, die bietet nur-text-Nachricht zwei-Faktor-Authentifizierung kann kaum schlimmer.
Es gibt eine Menge Los hier — in dieser Gruppe versammelten sich auf einer der seltsamsten und die am meisten kindisch Zentren der Cyberkriminalität, die auf das internet und feindlichen Ziele über Twitter — aber lassen Sie uns die Dinge einfach halten, zum Wohle der Lektion.
Hier ist die hintergrund-information: Der Cybersicherheit-Konsens ist, dass alle Ihre Konten müssen die zwei-Faktor-Authentifizierung. Was bedeutet das?
Das bedeutet, dass zwei Faktoren erforderlich sind, um Zugang zu erhalten, weil es erschreckend leicht verlieren die Kontrolle über Ihr Passwort. Der erste Faktor ist in der Regel Ihr Passwort und das ist einfach genug. Der zweite Faktor könnte Ihre Telefon-Nummer, damit können Sie text, den Sie eine SMS-Nachricht (SMS) – code und geben Sie den Zugriff. Der zweite Faktor könnte auch eine app wie Google Authenticator liefert einen code oder eine hardware-Taste wie der Yubikey, die Sie verwenden, wie würde man eine physische Haustürschlüssel.
Die besten gängige form der zwei-Faktor-Authentifizierung ist eine physische Taste. Dies ist die Art der Authentifizierung, die Google bietet, um politische Kampagnen, Dissidenten und Journalisten unter anderem, die Art von Menschen, deren Leben hängt von Ihrer cybersecurity.
Einen physischen Schlüssel ist Recht einfach eingerichtet aber okay, vielleicht brauchen Sie nicht zu Messen, um Leben-oder-Tod cybersecurity. Ein authenticator-app ist eine starke und einfache Wahl. Google Authenticator ist eine großartige Möglichkeit zu bekommen, dass der zweite Faktor in eine sichere Art und Weise geliefert direkt auf Ihr Handy.
Niedrigsten auf der Liste ist die text-Nachricht.
Es ist schon fast vier Jahre her, seit die US-Regierung davor gewarnt, Agenturen zu bewegen, Weg von SMS-Authentifizierung, weil es unmöglich ist, zu überprüfen und zu einfach abzufangen, aber es ist immer noch weit verbreitet — einschließlich, offensichtlich, aber einige schlecht gesichert kryptogeld Austausch.
“Während ein Passwort gekoppelt mit SMS hat ein viel höheres Niveau des Schutzes, die relativ zu der Passwörter allein, es sind nicht die Stärke des Geräts-Authentifizierung-Mechanismen, die in der anderen Authentifikatoren zulässige…,” Paul Grassi, NIST-senior-standards und-Technologie-Berater, erläutert in 2016. “Es ist nicht nur die Anfälligkeit jemand Stiehlt Ihr Handy, ist es über die SMS, die gesendet, um den Benutzer zu Lesen, indem eine schädliche Schauspieler ohne Ihre oder seine schmutzigen Pfoten auf Ihr Handy.”
Wir beenden die Lektion mit einem einfachen mitnehmen: verwenden Sie Immer die zwei-Faktor-Authentifizierung. Wenn es etwas wichtiges — Ihr Geld, Ihre social-media-Konten, Ihre E-Mail — download einer authenticator-app oder einen Schlüssel.
Oder einfach nur haplessly verlieren ein paar mil und hoffen, dass die cops irgendwann fangen die bösen Jungs. Manchmal funktioniert auch das.
Teilen Sie Diese Geschichte