ハッキングという言葉は私たちの耳に新しいものではなく、毎日よく耳にします。それは蔓延しており、最近の出来事はさらに憂慮すべきものです。匿名の覗き見から何か安全なものはあるだろうか?
これまでは、Gmail やその他のリンクされたアカウントで 2 段階認証を有効にしているため、自分は非常に賢いと思っていましたが、
最近、Positive Technologies の研究者グループは、Signaling System 7 (SS7) を使用してビットコイン ウォレットを空にする方法を示しました。 SS7 は電話やテキスト メッセージの確立に使用され、長い間ハッカー リストに載っていました。セキュリティ専門家はさまざまな機会にテキスト メッセージの脆弱性についてユーザーに警告してきましたが、真剣に受け止められませんでした。
シグナリング システム (SS) 7 ネットワークとは何ですか?
それは 50 です。 1975 年に開発された、世界的な電話プロトコルのセットで、既知の欠陥はありますが、通話やメッセージを送信するために通信ネットワークによって国際的に使用されています。したがって、攻撃を受けやすくなっており、システム自体に抜け穴がある場合でも、サードパーティのサービスがネットワークに侵入する必要はありません。
SS7 の体系的な欠陥は以前から知られており、2014 年に発見されました。が公開されました。しかし、それを修正するために何も行われていません。この脆弱性を利用すると、2 段階認証コードとして携帯電話に送信されたワンタイム パスワードにハッカーがアクセスできるようになります。
ハッカーが Signaling System No. 7 (SS7) の欠陥をどのように利用するか
Positive Technologies の研究者らは、2 要素認証が有効な Gmail アカウントにリンクされた Coinbase で作成されたビットコイン ウォレットをターゲットにしました。彼らはこの欠陥を利用して、特定の番号に送信されるすべてのテキスト メッセージを一定期間傍受し、Gmail のパスワードをリセットするために使用しました。これを機能させるために必要なのは、対象となるビットコイン ユーザーの名前、姓、電話番号でした。これは単なるデモンストレーションなので、誰も傷つけませんでした。しかし、何も対策を講じなければ、ビットコイン ウォレットを攻撃する潜在的な手段になる可能性があると喜ぶ必要はありません。
ビットコイン トランザクションの取り消しがないため、ビットコイン ウォレットはソフト ターゲットです。確認コードが SMS で送信されるまで、これらの攻撃に終わりはありません。ビットコイン ウォレットが危険にさらされているだけでなく、メールにリンクされているすべてのサービスも被害を受けます。
その方法を説明するビデオが作成されているので、リンクにアクセスして視聴できます。
https://youtu.be/mLh1Nmqa6OM
このビデオを最初に見ると、次のように見えるかもしれません。 Coinbase にはギャップがあるように思えますが、実際には、それは携帯電話システム自体にあります。
被害者にならないようにするにはどうすればよいですか?
このような種類の攻撃から身を守るには攻撃するには、2 要素認証を無効にしたり、SMS 経由でアカウントを完全に回復したりするなど、いくつかの具体的な手順を実行する必要があります。この方法ではなく、安全な方法を使用してください。
別の方法として、電話でメッセージを受信するために 2 要素認証を使用するのではなく、Gmail の認証コードまたは回復コードを設定してみることもできます。
使用する
まとめ
研究者らが明らかにした、本質的なセキュリティの弱点は警鐘です。これは単なる例であるため、害はありませんが、すべてのビットコイン ウォレット所有者にとって間もなく深刻な脅威となる可能性があります。したがって、アカウントやオンライン ウォレットを保護するために何らかの方法を使用する場合は常に、欠陥に注意して安全を確保してください。
必要に応じて、SMS と比較して安全な Google 認証システムを使用することもできます。
メタ: Coinbase が危険にさらされており、サイバー犯罪者は数字だけでメールにリンクされているアカウントを空にすることができます。 SS7 の脆弱性はハッカーによって簡単に悪用される可能性があります。
読み取り: 0
