2018年他第一次被交换SIM卡时,Haseeb Awan吃了一口,希望不会再发生这种事。接着发生了第二件事。然后是第三个。然后是第四个。在最后一次交换之后,Awan不再信任他的移动服务提供商来保护他的账户安全,而是自己动手:他自己开了一家手机服务公司;
这是他以前工作的一个重要转折点,负责运营比特接入比特币ATM网络,这是他与人共同创立的一家公司,顺便说一句,这也让他成为SIM卡交换的主要目标。
他的新公司Efani致力于阻止一个对加密货币用户来说非常普遍的问题,而大多数移动运营商都未能充分解决这一问题,阿万自己的问题就是明证。
Sim交换是一种社会工程黑客攻击,攻击者将受害者的电话号码移植到他们控制的Sim卡上。为了劫持移动帐户,攻击者可以冒充受害者说服客户服务代表将号码交换到新的SIM卡上。在更复杂的情况下,SIM卡交换可能是作为内部人员或通过贿赂客户服务代表的方式进行的。
在比特币和加密货币领域,这些社会工程攻击已经成为一个非常普遍的问题,尤其是对于其更引人注目的人物。通常情况下,SIM卡交换者会以加密货币用户为目标,希望通过短信、双因素身份验证访问其交换账户;
这种攻击媒介最著名的例子可能来自迈克尔·特平(Michael Terpin),他在一次SIM卡交换中损失了约2400万美元,引发了一场220美元的针对AT&T的诉讼。许多其他加密货币用户都成为了此类攻击的牺牲品,随后他们的兑换账户资金被耗尽。2020年的Twitter黑客甚至是策划SIM交换的财团的一员。
导读:法官驳回AT&T加密黑客诉讼中的2亿美元赔偿要求
Awan是加密SIM卡交换受害者名单中的一员,这也是他在2019年成立Efani的原因。
该公司的运营方式有点像移动虚拟网络运营商。它使用Verizon、AT&T和T-Mobile的网络基础设施为客户提供服务。但它只能依靠这种基础设施来提供小区覆盖。从数据管理到客户服务,99美元/月计划的所有其他内容都是根据Efani自己的实践进行内部管理的;
“我们的重点是网络安全。其他公司是电信供应商,他们让其他公司为他们提供安全保障。我们是一家提供电信服务的网络安全公司。”
根据Awan的说法,大多数移动运营商只需要一个电话和一个账号就可以对现有计划进行更改。它们也给用户设置密码的选项,但如果黑客足够聪明,即使这层保护也可以绕过。更难控制的仍然是贿赂和内部工作。
埃法尼解决这个问题的办法是什么?使更改帐户变得非常困难,几乎不可能发生攻击;
Awan告诉CoinDesk:“你不能通过打电话给客户服务来更改你的账户。”。“即使你打电话来,他们也无权进行任何更改。如更换SIM卡,您可能需要经过11层身份验证。”
这11层身份验证是Efani用户可使用的最大验证方法数,而当用户需要更换SIM卡时,每个帐户至少有7个验证步骤。这些验证包括提供文件中信用卡的最后四位数字、电话号码、SIM卡号和其他信息。
“我们已经制定了严格的标准,以消除任何SIM卡交换的机会。大多数人在第二步或第三步认证后就放弃了。
更多信息:社会工程:加密和推特上的瘟疫,不可能停止
也许最重要的功能——也是授权账户变更的最后一步——涉及对意向书进行公证。每个用户必须访问公证人以授权更改其服务,该公证人由Efani的法律团队进行验证。
即使在这最后一步之后,在新的SIM卡激活之前,7天的“冷却”期也会生效。而且它也不可能是在当地便利店购买的任何旧SIM卡;Efani在注册该服务时会向每个帐户持有人发送两张加密的SIM卡,如果旧卡丢失,只有备份才有权携带用户的号码。
除此之外,Efani还对所有员工进行背景调查,要求多人授权才能更改帐户,并将客户信息存储在服务器库中,以保持数据隔离。此外,客户姓名和电话号码是分开的。
Efani或Lloyd’s的服务中可能发生的金额高达500万美元的盗窃案。
Awan用自己的资金支撑了公司,他说公司盈利,今年收入有望达到7位数。他说,该公司约有三分之一的客户是加密货币用户,其余客户通常都是知名人士,包括洛杉矶湖人队和旧金山巨人队的专业运动员、其他名人以及相当数量的律师;
当被问及如何才能“修复”SIM卡交换的现状(无需启动竞争业务),阿万对传统提供商的变革能力持悲观态度。大多数客户服务员工,从一开始就是承包商,“还不足以理解威胁程度。”
此外,改变一些影响到如此少的客户的东西可能不在他们的雷达范围之内,特别是考虑到这将需要对他们的流程进行彻底的检查。
“我不认为任何一家航空公司都能解决这个问题。改变目前的系统需要更新美国每个移动账户的系统和流程,这并不容易。
“第二个问题是,航空公司希望相信这不是一个问题。它可能影响到1%的人口。这就像在说,“好吧,在美国销售的每辆车都配有防弹玻璃。”
微信扫一扫 
