배경
friend.tech는 소셜 플랫폼으로, 사용자는 다른 사용자의 Key를 구매해야 대화를 나눌 수 있습니다. Key를 구매하는 사람이 늘어날수록 Key의 가격도 상승합니다. 보유자는 Key를 판매하여 수익을 올릴 수 있습니다.
2023년 10월 3일, SlowMist의 설립자인 코스(Cos)는 소셜 미디어에 friend.tech에 이중 인증이 부족하고 최근 friend.tech 사용자 계정이 해킹되고 자산이 도난당하는 상황에 대응하여 위험하다고 게시했습니다.
2023년 10월 5일, 연쇄 탐정 ZachXBT는 소셜 미디어에 해커가 지난 24시간 동안 서로 다른 4명의 friend.tech 사용자에게 SIM 카드 스왑 공격을 수행하여 234 ETH(약 385 ETH)의 수익을 올렸다고 게시했습니다. .
지금까지 friend.tech 사용자는 SIM 카드 스왑 공격으로 인해 약 306 ETH를 잃었습니다.
2023년 10월 10일, friend.tech는 이제 사용자가 이동통신사 또는 이메일 서비스가 손상된 경우 추가 보호를 제공하기 위해 2개의 FA 비밀번호를 friend.tech 계정에 추가할 수 있다고 밝혔습니다.
2023년 7월 17일 SlowMist CISO @ 23 pds는 코인텔레그래프와의 인터뷰에서 “SIM 스왑은 낮은 공격 비용으로 인해 앞으로 점점 더 대중화될 것으로 예상되며, Web3가 대중화되고 더 많은 사람들을 유치함에 따라 SIM 스왑 스왑의 기술 요구 사항이 상대적으로 낮기 때문에 SIM 스왑 공격의 가능성이 높아지기 때문에 업계에 진출합니다.
아래 그림은 암시장에서 다양한 통신업체의 SIM 스왑 견적을 보여줍니다.
다양한 상황에서 이번 friend.tech 보안 사고를 기반으로 이 문서에서는 SIM 카드 교환 공격이 구현되는 방법과 이에 대처하는 방법을 설명합니다. 먼저 SIM 카드와 2FA가 무엇인지 설명하겠습니다.
SIM 카드 및 2FA
SIM 카드(가입자 식별 모듈)는 사용자 식별 모듈입니다. SIM 카드의 주요 기능은 사용자의 신원 및 이동통신사와 관련된 정보를 저장하고, 사용자가 이동통신망에 접속하여 전화 및 데이터 서비스를 이용할 수 있도록 하는 것입니다. 사용자가 휴대폰이나 기타 모바일 장치에 SIM 카드를 삽입하면 장치는 SIM 카드의 정보를 읽고 이를 사용하여 모바일 네트워크에 연결할 수 있습니다.
2단계 인증(줄여서 2FA)은 사용자가 액세스 권한을 얻기 위해 두 가지 유형의 인증 정보를 제공해야 하는 인증 방법입니다. 온라인 뱅킹, 이메일 서비스, 소셜 미디어, 클라우드 스토리지, 암호화폐 지갑 및 기타 서비스에서 계정 보안을 강화하는 데 널리 사용됩니다. SMS 인증코드는 일반적인 2FA 방식으로, SMS 인증코드도 랜덤이지만 전송 과정에서 안전하지 않으며 SIM 카드 스왑 공격 등의 위험이 있습니다.
아래에서는 공격자가 일반적으로 SIM 카드 교환 공격을 구현하는 방법을 설명합니다.
공격 기술
암호화폐 분야에서 공격자는 이중 인증을 우회하기 위해 피해자의 전화번호를 제어하여 피해자의 암호화폐 계정에 접근할 목적으로 SIM 스왑 공격을 시작합니다.
최근 몇 년 동안 많은 기업 데이터 침해 사건이 발생한 후 다크 웹에서 훔친 개인 정보를 판매하는 거래가 있었습니다. 공격자는 데이터 침해나 피싱을 통해 피해자의 신분증 등 상세한 개인정보를 탈취하게 된다. 그런 다음 공격자는 이 정보를 사용하여 피해자를 가장하고 SIM 카드 교환 공격을 시작합니다.
(https://www.cert.govt.nz/assets/Uploads/Quarterly-report/2019-Q4/SMS-Swap-diag-full__ResizedImageWzYwMCwyMTld.png)
구체적인 프로세스는 다음과 같습니다.
1. 표적 식별: 공격자는 먼저 표적을 식별해야 하며, 소셜 미디어에서 암호화폐 보유자에 대한 정보를 찾습니다.
2. 사회 공학: 공격자는 피싱 이메일이나 전화 통화와 같은 사회 공학을 사용하여 대상을 속여 전화번호나 기타 민감한 정보를 제공할 수 있습니다.
3. 이동통신사에 문의: 공격자가 대상의 전화번호를 식별하면 일반적으로 가짜 신원이나 사회 공학 기술을 통해 대상의 이동통신사에 연락하고 대상의 전화번호를 새 SIM 카드와 연결하도록 이동통신사에 요청합니다.
4. SIM 스와핑: 공격자가 운영자에게 피해자의 전화번호를 새 SIM 카드와 연결하도록 성공적으로 설득하면 전화번호는 하나의 SIM 카드에만 연결할 수 있으므로 피해자의 원래 SIM 카드는 비활성화됩니다. 이는 피해자가 자신의 전화번호에 접근할 수 없게 되었음을 의미하며, 현재 이 전화번호는 공격자가 관리하고 있습니다.
5. 확인 코드 수신: 이제 공격자는 이중 인증을 위한 확인 코드를 포함하여 피해자로부터 문자 메시지와 전화 통신을 받을 수 있습니다.
6. 암호화폐 계정 접근: 공격자는 수신된 인증 코드를 사용하여 피해자의 암호화폐 거래소 또는 지갑 애플리케이션에 로그인하고 암호화폐 자금에 접근하고 무단 거래를 수행하며 피해자에게 소유자의 자산을 이전할 수 있습니다.
응답
SIM 카드 교환 공격을 방지하려면 다음 조치를 취할 수 있습니다.
SIM 카드 기반 인증 방법을 선택하지 않는 것이 가장 좋습니다. SIM 카드를 보호하기 위해 PIN 코드를 설정할 수 있지만 ZachXBT는 PIN 코드를 사용하는 것만으로는 여전히 충분히 안전하지 않으며 계정 보안을 보장하려면 인증자나 보안 키를 사용해야 한다고 지적합니다. 공격자는 단순히 PIN을 잊어버렸거나 심지어 통신사 직원이 사기에 연루되어 있다고 이동통신사를 설득할 수 있는 경우가 많습니다. 물론 PIN 코드를 설정하면 공격 난이도가 높아지고 SIM 카드의 보안이 향상될 수 있습니다.
2단계 인증을 위해 TOTP 알고리즘을 지원하는 인증자를 사용하세요. 다음은 HOTP와 TOTP를 간략하게 비교한 것입니다. OTP(일회용 비밀번호)에는 HOTP와 TOTP가 포함되며, 둘 사이의 차이점은 이를 생성하는 알고리즘입니다.
HOTP는 이벤트 기반 OTP 알고리즘입니다. HOTP가 요청되고 검증될 때마다 이동성 계수는 카운터에 따라 증가됩니다. 생성된 비밀번호는 사용자가 적극적으로 다른 비밀번호를 요청하고 인증 서버에서 확인될 때까지 유효한 상태로 유지됩니다. HOTP는 유효 기간이 더 길기 때문에 공격자가 가능한 모든 OTP 값을 무차별 대입하여 사용자 계정에 침입할 위험이 더 큽니다.
TOTP는 시간 기반 OTP 알고리즘입니다. 시간 간격은 미리 설정된 OTP 수명(일반적으로 30초)입니다. 사용자가 해당 창 내에서 비밀번호를 사용하지 않으면 비밀번호는 더 이상 유효하지 않으며 애플리케이션에 액세스하려면 새 비밀번호를 요청해야 합니다. HOTP와 비교하여 TOTP는 시간 창이 더 작고 더 안전합니다. 따라서 SlowMist 보안팀에서는 Google Authenticator, Microsoft Authenticator, Authy 등 2단계 인증을 위해 TOTP 알고리즘을 지원하는 인증기 사용을 권장합니다.
출처를 알 수 없는 문자 메시지와 이메일에 주의하고 링크를 클릭하거나 민감한 정보를 제공하지 마세요.
또한, friend.tech 피해자는 스팸 문자 메시지와 전화를 많이 받았기 때문에 휴대전화를 무음으로 설정했고 이로 인해 자신의 계정이 도용될 수 있다는 통신사 Verizon의 문자 메시지를 놓쳤다고 합니다. 타협. 공격자는 피해자가 자금을 훔칠 시간을 벌기 위해 휴대폰을 음소거하도록 속이기 위해 이 작업을 수행합니다. 따라서 이용자들은 갑자기 대량의 스팸전화와 문자 메시지를 받을 경우에도 주의가 필요합니다.
요약하다
SIM 카드 자체의 보안은 운영자의 보안 조치에 의존하며 사회 공학과 같은 공격에 취약합니다.따라서 SIM 카드 기반 인증을 사용하지 않는 것이 가장 좋습니다. 계정 보안 강화를 위해 사용자는 계정에 이중 인증을 추가해야 하며, TOTP 알고리즘을 지원하는 인증기를 사용하는 것이 좋습니다.마지막으로 Slow Mist가 제작한 책을 읽으신 것을 환영합니다.블록체인 어둠의 숲 자조 매뉴얼。
