Что бы украсть биткоины достаточно узнать номер телефона, к которому привязан кошелек
Пользователи сети Биткойн как-то привыкли к тому, что им обеспечивается стопроцентная безопасность. И это верно, если речь не идет о мобильных кошельках. Тут не все однозначно.
tsar slowpoke |
Специалистами из компании Positive Technologies была произведена демонстрация того, как могут быть атакованы клиенты Coinbase.
Рабочий сценарий
Демонстрация сценария, используемого для получения доступа практически к любым виртуальным-кошелькам, была проведена экспертами компании Positive Technologies. При этом они использовали архитектурные недостатки, обнаруженные в сигнальных сетях SS7. Слабое место криптовалюты было найдено в уровне защищенности виртуальных кошельков.
Специалистами было наглядно показано, каким образом может быть атакован клиент Coinbase, являющейся одной из самых крупных мировых Bitcoin-бирж. Число ее пользователей превысило порог в девять миллионов, а на их счетах хранится около двадцати миллиардов долларов в разнообразных альтернативных валютах.
На принадлежащем компании сайте, размещен отчет о том, как происходил эксперимент, по ходу которого был осуществлен взлом условного кошелька у клиента Coinbase.
Что нужно для получения доступа
Для выполнения этой операции потребовалось минимальное количество информации о пользователе. Узнав, как его зовут и какую он носит фамилию, а также номер мобильного телефона, специалист без труда получил пароль для входа в аккаунт, что позволило ему безо всякого труда осуществить вывод криптомонет.
Пользуясь уязвимостью сетей SS7, экспериментаторы смогли выполнить перехват SMS-сообщения, с одноразовым паролем. Далее, они узнали адрес почтового ящика в электронной почте, у которого была привязка к кошельку. После взлома этого ящика, был получен доступ к Bitcoin-кошельку.
По мнению Сергея Пузанкова, который руководит группой консалтинга, чтобы перехватить SMS-сообщение, помимо недостатков, имеющих место в SS7, есть еще несколько не менее эффективных способов.
tsar slowpoke |