剑客
关注科技互联网

[译]电话号码和身份

电话号码和身份

Coinbase 看到大量的动机的攻击者,它是使工作安全措施在 Coinbase 如此有趣的事情之一。我想深入探究一个最近攻击有几个原因︰ 1) 当我们分享我们都变得更强;2) 它是很有趣的方式迂回大量传统安全保护和亮点,多大程度上的个人和企业系统相连; 的3) 我们发现很少公开讨论这一系列的攻击媒介,并想要帮助使它从 ‘理论’ 到 ‘这真的会发生。要清澈见底,我很高兴地说,没有任何客户数据或资金被丢失或损失的风险。

倒带回 8 月 25 日。它是大约 9 上午当我们高调雇员之一中写到我们调用安全工程师。这位网友说,奇怪的事情发生了与他的电话。他有一些奇怪和有关的短信︰

电话号码和身份

在调用安全工程师立即认识到这是电话帐户接管和踢掉我们破坏的帐户手册︰ 禁用第三方帐户通过 SSO,禁用内部账户,审查日志任何可疑的活动,等等。而那一回事,我们与员工和 Verizon 了另一个安全的人跳一次电话会议上。原来,攻击者是能够模拟与 Verizon 支持前一天晚上打电话的雇员 (见第二从底部的文本消息) 使用基本的个人信息。像这样的个人信息是来自多个来源,令人痛心的卷中可用,所以我们假设攻击者得到了这个在线而不是垃圾站潜水。一旦攻击者获得对帐户的访问,他就能够重置威瑞森门户密码、 设置电话号码转发指向 VOIP 号码和做一件事,我们稍后会再给。

与威瑞森在电话上,它是相当简单的事情重新重置门户密码,设置帐户的 PIN 以防止攻击者重返大气层和联合国做电话向前。但攻击者可以访问固体的 4 个小时,什么恶作剧吗他起床在那一次吗?是出奇的少。攻击者是能够将新设备添加到雇员的 Authy 帐户 (这我们撤销),但实际上并没有试图使用它。只要我们能告诉 (并且可以为了这一天告诉) 攻击者什么都不干。我们回顾了访问日志从员工的个人和企业在线面前没有不寻常的结果。因为这名雇员是令人敬畏的他使用密码管理器跨他的服务建立长期的、 随机的和独特的密码,已成立了无处不在的双因子验证 (2fa) 和使用更多的长长的随机字符串作为他帐户恢复问题的答案。他被锁定紧。

第二天早上所有的地狱破散。同一个目标雇员的 facebook 帐户发送以下消息到布莱恩 (我们首席执行官)︰

电话号码和身份

布莱恩转身再次与此相悖的安全,这不是一个正常的请求和我们已经警告过公司要提防这种事情。我们试着给员工打电话在他的手机,和我们有威瑞森错误消息”无法达到这个数字”。我们备用的接触法用于唤醒的员工,当他试图从他的手机来电时,他学会了他的帐户已被停用。那其他小东西攻击了吗?他到 VOIP 提供商,从威瑞森启动一个端口的电话号码和该端口完成了一夜。

攻击者完全控制的那个电话号码,用于经过的几个个人账户,包括 Facebook 帐户恢复过程。攻击者还发短信给还要求密码重置或比特币换其他 Coinbase 雇员数目。我们开始了一轮的密码重置和恢复电话号码更改跨所有员工的个人和企业帐户。我们人也能够结识优秀的 Verizon 员工理解的紧迫性和我们的情况造成的影响和引导我们的例子中的载波间通信的拜占庭大厅。我们已经控制了电话号码回由 2 下午 (即,如果你曾经尝试让两个电话公司交谈,一项重大成就。我们被最初假设我们不能要到下个星期重新控制)。

与控制手机的恢复和增强载体安全的地方,我们开始漫长的恢复阶段,确保我们打每个帐户在每个服务使用此员工。我们还提出了一些公司广泛指导建议手机帐户安全。

这结束了相当好的我们,但情况并非经常如此。攻击者经常没有全职的安全目标个人用户左右团队来帮助与响应和已经没有得到很好装模作样抵御攻击。在这些情况下,可能需要几周才能回到正常的如果过。如果唯一取胜的棋步是不是来玩,你可以做成为硬目标?

  • 打电话给您的手机供应商和设置 PIN 或密码、 端口冻结问和问锁定您的帐户到你当前的 sim 卡。并不是所有的供应商将做所有这些事情。如果你不会的请考虑更改为一会。
  • 使用长的随机和独特的密码为每一项服务。使用密码管理器使之容易。
  • 使用双因素身份验证无处不在 (我个人推荐的 (按顺序) U2F,基于推送和有意思的令牌为基础。只使用短信如果没有其他的选项)。如果你是一个 Coinbase 客户,安装 Authy 应用程序来获取非 SMS 2fa。
  • 控制的一个电话号码是足够证明身份的假设是错误的。正如我们不再应该信任 SMS 的双因素身份验证,我们不应该信任它的帐户恢复。禁用这个到任何地方你可以。
分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址