Соучредитель Ethereum Виталик Бутерин теперь восстановил свою учетную запись T-Mobile после подтверждения того, что он стал жертвой атаки по замене SIM-карты, которая привела к фишинговому мошенничеству на X (ранее Twitter).
«Наконец-то мне вернули мою учетную запись T-mobile (да, это была замена сим-карты, то есть кто-то с помощью социальной инженерии сам T-mobile завладел моим номером телефона)», Бутерин написал на Warpcast — клиент децентрализованного социального протокола Farcaster, где восстановлением аккаунта можно управлять через адрес Ethereum.
Несмотря на предупреждения о небезопасности телефонных номеров для аутентификации в криптопространстве, учитывая распространенность атак с заменой SIM-карты, Бутерин не осознавал, что одного номера телефона достаточно, чтобы злоумышленники могли сбросить его учетную запись X, даже если он не используется в течение двух лет. -факторная аутентификация.
«Номер телефона достаточен для сброса пароля Twitter аккаунт, даже если он не используется как 2FA», — отметил Бутерин. «Я раньше видел совет «телефонные номера небезопасны, не аутентифицируйтесь с ними», но не осознавал этого».
2FA — это процесс безопасности для доступа к ряду онлайн-аккаунтов, в котором пользователи предоставляют два разных метода аутентификации для проверки себя, например пароль и код приложения для аутентификации.
Twitter Синие регистрации добавляют номера телефонов пользователей
Многие другие пользователи могли неосознанно привязать свои номера телефонов к своим учетным записям X. Бутерин предполагает, что он, возможно, добавил свой номер при регистрации в Twitter Синяя премиум-подписка X.
«Я не помню, когда я *добавил* номер; я предполагаю, что для этого нужно было зарегистрироваться Twitter Синий», — сказал Бутерин.
Руководитель стратегии Flashbots Хасу также предупредил других пользователей X, чтобы они были бдительными.утверждая каждый Twitter Синий аккаунт поддерживает замену SIM-карты.
«Если вы подписались на Twitter Синий, он автоматически добавил ваш номер телефона в ваш Twitter профиль», — сказал Хасу. «Этот номер телефона можно использовать для сброса вашей учетной записи, независимо от того, используете ли вы его для 2FA или нет. Зайдите в настройки/профиль, чтобы удалить свой номер телефона прямо сейчас».
Фишинговая атака стоимостью 700 000 долларов
Аккаунт X Бутерина был скомпрометирован на выходных после атаки по замене SIM-карты и использован в фишинговой афере, в результате которой была украдена криптовалюта и NFT на сумму 700 000 долларов.
Злоумышленники использовали эту учетную запись для продвижения поддельного памятного монетного двора NFT, заманивая пользователей на вредоносный веб-сайт, предназначенный для выкачивания средств из кошельков, взаимодействующих с ним с помощью популярного программного обеспечения Pink Drainer.
Инцидент с Бутерином является последним в серии фишинговых атак на X, в которых участвовали несколько видных криптодеятелей и организаций, включая проект NFT Azuki и Aptos Фонд, ранее ставший объектом нападения.
