다수의 암호화된 트위터 계정이 도난당했습니다. SIM 카드 교체 공격을 방지하는 방법은 무엇입니까?

원본 출처: 코인텔레그래프

원본 편집:Wu가 말하는 블록체인

지난 7월 21일 유니스왑(Uniswap) 창업자 헤이든 아담스(Hayden Adams)의 트위터 계정이 해킹당해 피싱 링크가 포함된 트윗이 게시됐다. 이번 해킹은 일종의 SIM 카드 도난일 가능성이 있는 것으로 알려졌습니다. 즉, 공격자가 피해자의 전화번호를 탈취하여 은행 계좌, 신용카드 또는 계좌에 접근할 수 있도록 하는 것입니다.

7월 23일에는 코인리스트 계정도 해킹당해 피싱링크가 게시됐다. 그리고 그 전에는 7월 5일 LayerZero의 트위터 계정이 도난당했고, 6월에는 DEX 거래 집계 플랫폼 Slingshot의 공식 트위터 계정이 도난당했으며, BitBoy 창립자 Ben Armstrong의 트위터 계정이 도난당하는 등의 사건이 발생했습니다. 다수의 암호화된 계정이 도난당하는 이유는 무엇입니까? 사용자는 어떻게 예방 조치를 취해야 합니까?

다음은 코인텔레그래프 기사 전문 번역이다(원본 링크）：

SIM 스와핑 공격은 종종 낮은 수준의 기술로 간주되므로 사용자는 자신의 신원 보안에 주의해야 합니다. 사이버 보안 인프라의 개선에도 불구하고 온라인 신원은 여전히 ​​사용자 전화번호 해킹과 관련된 위험을 포함하여 많은 위험에 직면해 있습니다.

7월 초, LayerZero의 CEO인 Bryan Pellegrino는 최근 SIM 스와핑 공격의 피해자 중 한 명이 되었으며, 이로 인해 해커들이 그의 트위터 계정을 잠깐 탈취했습니다. 펠레그리노는 자신의 트위터 계정을 되찾은 직후 내가 충돌 교체 신분증을 남겼을 때 누군가 내 신분증을 쓰레기통에서 꺼내어 기관을 속여 SIM 카드로 사용했던 것 같다고 썼다. 브라이언 펠레그리노 - 연사에 대한 종이 컨퍼런스 배지입니다.

Pellegrino와의 만남으로 인해 사용자는 SIM 카드 교환 공격을 수행하는 것이 다른 사람의 자격 증명을 훔치는 것만 큼 쉽다고 생각할 수 있습니다. 코인텔레그래프는 이것이 사실인지 알아보기 위해 일부 암호화폐 보안 회사에 연락했습니다.

SIM 스왑 공격이란 무엇입니까?

SIM 스왑 공격은 공격자가 피해자의 전화번호를 탈취하여 은행, 신용카드 또는 암호화폐 계좌에 접근할 수 있도록 하는 신원 도용의 한 형태입니다.

2021년 FBI는 6,800만 달러 이상의 손실과 관련된 SIM 카드 교체 불만 사항을 1,600건 이상 접수했습니다. 이는 지난 3년 동안 접수된 불만 사항에 비해 불만 사항이 400% 증가했음을 의미하며, 이는 SIM 스와핑 공격이 확실히 증가하고 있음을 시사한다고 CertiK의 보안 운영 책임자인 휴 브룩스(Hugh Brooks)는 코인텔레그래프에 말했습니다. 브룩스는 우리가 SMS 기반 2단계 인증에 의존하지 않고 통신 제공업체가 보안 표준을 개선하지 않는다면 공격 건수가 계속 증가할 것이라고 말했습니다.

SlowMist Security의 최고 정보 보안 책임자인 23 pds에 따르면 SIM 스와핑 공격은 현재는 흔하지 않지만 가까운 미래에는 상당한 성장 잠재력을 가지고 있습니다. 그는 Web3의 인기가 높아져 업계에 더 많은 사람들이 관심을 갖게 되면서 상대적으로 기술 요구 사항이 낮기 때문에 SIM 스와핑 공격의 가능성도 높아질 것이라고 말했습니다.

23 pds는 지난 몇 년간 암호화폐와 관련된 SIM 스왑 해킹 사례를 언급했습니다. 2021년 10월, 코인베이스는 해커들이 2단계 인증(2FA) 취약점으로 인해 최소 6,000명의 고객으로부터 암호화폐를 훔쳤다고 공식적으로 밝혔습니다. 이전에는 영국의 해커인 조셉 오코너(Joseph OConnor)가 여러 SIM 카드 스와핑 공격을 통해 약 80만 달러 상당의 암호화폐를 훔친 혐의로 2019년에 기소되었습니다.

SIM 스왑 공격을 수행하는 것이 얼마나 어려운가요?

CertiK 경영진에 따르면 SIM 스와핑 공격은 공개적으로 이용 가능한 정보나 사회 공학 기술을 통해 얻은 정보를 사용하여 수행될 수 있는 경우가 많습니다. CertiK의 Brooks는 전반적으로 SIM 교환은 스마트 계약 악용이나 교환 해킹과 같이 기술적으로 까다로운 공격보다 공격자의 진입 장벽이 낮은 것으로 보일 수 있습니다.라고 말했습니다.

SlowMist의 23명의 PD는 SIM 교환에는 고급 기술이 필요하지 않다는 데 동의합니다. 그는 또한 이런 종류의 SIM 교환은 Web2 세계에서는 일반적이므로 Web3 환경에 나타나는 것은 놀라운 일이 아니다라고 지적했습니다. 그는 사회 공학 기술을 사용하여 관련 운영자나 고객 서비스 직원을 속이는 것이 실행하기 더 쉬운 경우가 많습니다라고 말했습니다.

SIM 스왑 공격을 방지하는 방법

SIM 스와핑 공격에는 일반적으로 해커 측에서 많은 기술적 능력이 필요하지 않으므로 사용자는 이러한 공격을 방지하기 위해 자신의 신원 보안에 항상 주의해야 합니다.

SIM 스와핑 공격에 대한 핵심 보호는 SIM 기반 2단계 인증 방법의 사용을 제한하는 것입니다. Hacken의 Budorin은 SMS와 같은 방법에 의존하기보다는 Google Authenticator나 Authy와 같은 앱을 사용하는 것이 더 낫다고 지적합니다.

SlowMist의 23개 PD는 다중 요소 인증 및 추가 비밀번호와 같은 향상된 계정 확인과 같은 더 많은 전략을 언급합니다. 그는 또한 사용자에게 SIM 카드나 휴대폰 계정에 강력한 비밀번호나 PIN을 설정할 것을 강력히 권장했습니다.

SIM 교환을 피하는 또 다른 방법은 이름, 주소, 전화번호, 생년월일과 같은 개인 데이터를 보호하는 것입니다. SlowMist의 23 pds는 또한 비정상적인 활동이 있는지 온라인 계정을 주의 깊게 검토할 것을 권장합니다.

CertiK의 Brooks는 플랫폼이 안전한 2단계 인증 관행을 촉진하는 역할도 담당해야 한다고 강조했습니다. 예를 들어 회사는 계정 정보 변경을 허용하기 전에 추가 확인을 요구하고 SIM 교환의 위험에 대해 사용자에게 교육할 수 있습니다.