Nikt nie może czuć się bezpieczny – kolejna osoba związana z wirtualnymi walutami została okradziona przez cyberprzestępców. I to nie byle kto, bo menadżer przedsiębiorstwa BitGo, zajmującego się przechowywaniem kryptowalut na zlecenie. Sam nie może uwierzyć w swój błąd i chce przestrzec innych użytkowników cyfrowych walut przed lekceważącym podejściem do kwestii bezpieczeństwa. Twierdzi, że mógł zadbać o wiele detali, które mogły zapobiec temu nieszczęściu.
Sean Coonce, menadżer firmy BitGo, zajmującej się przechowywaniem wirtualnych walut na zlecenie, padł ofiarą ataku hakerów. 20 maja na portalu Medium opublikował artykuł pod tytułem „Najdroższa (najcenniejsza) lekcja w moim życiu – szczegóły zhakowania portu SIM”. Opowiada w nim o stracie ponad 100 tysięcy dolarów – z jego konta na platformie kryptowalutowej Coinbase w ciągu 24 godzin wyparowały środki o właśnie takiej wartości.
We środę straciłem więcej niż 100 tysięcy dolarów. Wyparowały z mojego konta na Coinbase w ciągu 24 godzin z powodu ataku „SIM port”. Mineło już 4 dni od tego incydentu i jestem w złym stanie psychicznym. Nie mam apetytyu, nie mogę spać. Odczuwam wstyd, smutek i ciągłe zakłopotanie. To była najdroższa lekcja w moim życiu i chcę podzielić się swoim doświadczeniem i wnioskami z tak wieloma osobami, jak jest to możliwe. Moim celem jest poszerzenie świadomości i wiedzy dotyczącej takiego typu ataków oraz zmotywowanie Ciebie do zwiększenia bezpieczeństwa związanego z twoją internetową tożsamością.
W swoim poście, Sean Coonce opisał szczegóły dotyczące „SIM swapping” – procederze, polegającym na złośliwym przechwytywaniu kontroli nad numerem telefonu. Gdy haker posiądzie taką kontrolę, może uzyskać dostęp do kodu weryfikacji dwuetapowej (two-factor-authentication – 2FA). Wtedy nic już nie stoi na przeszkodzie, aby przejąć konto użytkownika.
Po opisaniu detali ataku, Coonce przedstawił swoje rekomendacje dotyczące zapobieganiu takim wypadkom. Najoczywistszym rozwiązaniem jest przechowywanie swoich kryptoaktyw w zewnętrznych porfelach. Oprócz tego, warto rozważyć używanie YubiKey w przypadku dwupoziomowej weryfikacji. Jeśli nie YuibKey, to Google Voice 2FA. Dodatkowo, Coonce zasugerował ograniczenie swojej obecności online. Twierdzi, że te wszystkie „małe rzeczy” mogły uchronić go od kradzieży – „patrząc na moje naiwne praktyki bezpieczeństwa, chyba zasłużyłem sobie, żeby zostać zhakowany.”