用戶的比特幣被盜,似乎已經成為加密貨幣世界的詛咒。但這種盜竊行為究竟是如何發生的呢?在近日接受Trijo News的獨家採訪時,一名加密貨幣駭客說明了竊取他人加密貨幣是多麼容易的一件事。
加密貨幣很難追蹤。在大多數情況下,它們也是不受監管的,並且基於去中心化的區塊鏈網路。這也意味著被盜的加密資產基本上不可能尋回,這使得這類資產成為駭客的首要目標。
Daniel就是這樣一個加密貨幣駭客,Daniel並非他本名。在接受採訪時,他說明了自己是如何在短短一年時間裡,竊取了價值50萬美元的加密資產的。
「但我只攻擊了大約20個人,所以我不是特別活躍。」
欺騙電信公司易如反掌
當Daniel盜取別人的加密貨幣時,他主要採取的手段是「SIM卡互換騙局」。 Daniel說,欺騙大型電信公司是很容易的。當駭客打電話給受害者的電信公司,並謊稱是受害者,聲稱SIM卡已丟失,要求將受害者的電話號碼轉移到駭客控制的電話號碼時,就是受害者資金被盜的第一步。
大型電信公司的大多數客戶服務都應該簽署了一個協議,並進行控制檢查,以將這種詐欺的風險降到最低,但是Daniel說,說服客服轉移電話號碼並不難。
「說服客服的方法有很多。例如,你可以打電話假裝在Tele2(一家瑞典電信公司)工作,請他們幫你轉接一個號碼。」
那麼Daniel在這方面是否很擅長呢?
「是的,幾個電話過後你就能學會偽裝。」
雙因素認證?不總是管用
一旦號碼被轉移,駭客就會查看受害者的Gmail或Outlook帳戶,輸入受害者的電子郵件地址,然後點擊「忘記密碼」。然後,駭客選擇透過語音將驗證碼發送到受害者的手機號碼_畢竟號碼已經被駭客控制。這實際上是一個額外的功能,可以幫助視力受損等有特殊需要的人,重置他們的帳戶密碼。
透過這種方式,雙因素認證(two-factor authentication)在駭客面前也變得微不足道。
「我認為這是粗心大意造成的。這麼多資金都是透過這種方式盜取的。但依然沒有得到足夠的重視,這對我們來說是一個優勢。」
據Daniel介紹,他在人們的Gmail信箱中多次發現了加密貨幣的私鑰。這些私鑰有的保存為草稿,有時他們也會透過郵件把私鑰發給自己。
一旦Daniel獲得了私鑰,他就可以輕鬆地登錄到一個加密錢包,竊取裡面所有的加密貨幣。他說,他有時也會找到不同加密貨幣交易所的登錄資訊,然後他就登錄進去,偷走受害者的資產。
那麼駭客是否會因為竊取他人的資產而感到內疚呢?
「你什麼都感覺不到。你從來沒有見過這個人,而且一切都是匿名的,所以你不會有罪惡感。」
他還說,他認為,如果人們沒有更好地保護自己,那只能怪他們自己。
本文為巴比特資訊授權刊登,原文標題為「一年竊取50萬美元的加密貨幣,不太活躍的黑客Daniel告訴你偷幣有多簡單」