国外在校生利用SIM补卡漏洞盗取500万美元虚拟货币
此前国内已经发生过利用虚假身份证明向运营商补卡的攻击,黑产团伙补卡后疯狂盗取受害者银行卡内余额。
这种攻击本质上是各个行业将短信验证码作为关键验证的后果,所以短信验证码本身就不应该作为关键验证。
日前国外也已经出现这种情况某高校生通过补卡劫持受害者,该受害者共计损失高达500 万美元的虚拟货币。
示意图,与本文内容无关
补卡攻击的流程:
不管是国内已经发生的还是国外这次的补卡攻击,都是攻击者利用电信运营商身份验证环节的不严格导致的。
攻击者制作虚假身份证明材料然后找运营商网点补办SIM卡,正常流程下运营商需要严格审核用户身份证明。
然而由于并未严格审核导致用户SIM卡被补办,攻击者再利用卡找回受害者谷歌邮箱与虚拟货币钱包密码等。
配合社会工程学手段收集材料:
显然正常情况下如果没有身份证号码和银行卡或邮箱信息,即便成功补办SIM卡也并不能完成整个盗刷流程。
但国内的SIM补卡攻击已经告诉我们大家的私人信息其实早已泄露,对于攻击者来说只要费点时间收集即可。
下图是蓝点网此前制作的流程表:(点击可查看大图)
这名20岁的高校生已经被逮捕:
本次攻击的主角是个年仅20岁的在校生,这名同学在上月中旬从洛杉矶飞往欧洲前在机场被美国警方逮捕。
受害者是个区块链投资人并且他的手机号码在今年已遭到两次劫持,劫持的途径都是通过运营商进行补卡。
这名在校生补办SIM 卡后显示重置受害者谷歌邮箱和钱包注册邮箱,然后顺手将虚拟货币钱包密码重置掉。
最后将价值高达500 万美元的虚拟货币转到交易所卖出获利,警方透露该在校生和其他团伙攻击四十余人。
这意味着最终的受害者数量及被盗窃的金额还将会继续上升,该学生目前已经被指控身份盗窃等20项罪名。