Please Be Aware Of This Hack - Secure Your Cryptos!

in #crypto-news7 years ago (edited)

In this article you will learn about the most recent hacks in the crypto space and how to protect yourself from them effectively.

hacking

Probably the most cliche image of a hacker you can find online (image source)

Dear Cryptonauts,

it has come to my attention that this month we have had a staggering amount of hacks and cryptos stolen from unprepared users. I would like to discuss what made these hacks possible so that you can double-check you own portfolios and prevent the same fate.

Let's begin.

The common point of failure was always the phone number

The hacker, notices a crypto holder on social media and obtains the associated email address, most likely a Gmail account.

Now the hacker looks for the associated phone number. He might extract it from facebook using a dedicated tool, or find it on LinkedIn. Perhaps you own a domain and he checks the WHOIS registry entry?

Most likely, it will be some odd and harmless directory where you had to enter you phone number before and completely forget about it. Oops.

Next the hacker has to enable forwarding or redirection of your phone number to different Google number that he owns.

This is where many telephone service providers have revealed exploits.

Turns out, that if you are a Verizon customer, the hacker needs only your billing number in order to enable redirection

If you are with Sprint, hackers are able to guess the customer PIN multiple times, then have to take a break - but the account is not locked - and then they are free to try again.

This is possible with auto-dialers configured to test codes automatically.

And of course, last but not least, there is the good ol' social engineering where you obtain the trust of the companies employee and they give you access.

Please be aware that there are many more ways to force the phone redirection, it seems to be a real loophole in account security.

Furthermore, even without redirection, it is possible to interecept SMS-based verification codes to your phone number.

Once the hacker has your phone number he can request the recovery of you gmail account via phone


Next he makes sure to reset the password and lock you out. Now that he has access to you primary email account he goes to all the exchanges like bittrex, binance, polonies, coinbase etc. and requests a password reset. The reset link gets sent to the email account and now he has access to all your coins stored on the exchanges.

Among many users this has happened to Cody Brown, you can read his story here.
And most recently to Kati Zachary, in her case she not only suffered from stolen coins but also identity theft, harassment and extortion. You can read her story here.

What can you do about this?

  1. As you see your phone is the most vulnerable point. Check that the number linked to your primary email account is not publicly available. If it is, change it.

  2. Enable 2FA authentication using a software based solution like Google Authenticate. Best case: use a device that is offline and dedicated only for this. Perhaps you have an old smartphone lying around somewhere?

  3. Never ever ever use SMS based verification method. The exploits for this are now public knowledge in the hacker circles.

  4. Make your password uncrackable: Use a 20 character password with symbols. Here is an example of a good password: T-h@HU5e_Th=at_Ja/ck-)(u!lt?
    Another good example is your default steemit password.

  5. Make a different password for every crypto account you have.

  6. Use different email addresses as for different accounts, this way you divide the risk.

  7. Last but not least, nothing is as safe as a paper wallet. But a Trezor hardware wallet is the next best thing. Buy it. Use it.

Stay safe out there folks!


More Articles like this:
Do you want to learn how to protect yourself from browser tracking? (Read article)
Do you want to learn how to stake PIVX coins and earn rewards? (Read article)

Thank you for visiting my blog! If you enjoy my content, you are welcome to follow me for more updates. ᕦ(ò_óˇ)ᕤ
- Nick ( @cryptonik ) -

Cryptonik-Logo

Sort:  

Yo

I resteemed your article through our group account @steemcityniigata.

Thanks again for sharing this information, it needs to be spread out more.

Greeting from Japan

@maxinpower

Wow! Thank you :)

I talked about that topic in another post I sent today. For that reason I stopped an article where I wanted to talk about a coin-exchange I use and my experiences there.

Again thank you for the head-ups!!

Thank you for your help, there are some real bastards out there, cheers

You are welcome, we need to look out for each other! :)

@cryptonik You are doing a good job, our security is important.Keep it up.also I will be curating most of your work.

Thank you! Appreciate the feedback and support :)

Congratulations! This post has been upvoted from the communal account, @minnowsupport, by Reaper7132 from the Minnow Support Project. It's a witness project run by aggroed, ausbitbank, teamsteem, theprophet0, someguy123, neoxian, followbtcnews/crimsonclad, and netuoso. The goal is to help Steemit grow by supporting Minnows and creating a social network. Please find us in the Peace, Abundance, and Liberty Network (PALnet) Discord Channel. It's a completely public and open space to all members of the Steemit community who voluntarily choose to be there.

Cooler Artikel. Gibt leider noch zu viele Leute die darüber nichts wissen und schnell zum Opfer werden.

Danke, ganz genau. Und in diesem Monat war echt die Hoelle los, hatte ich das gefuehl.

Ja das stimmt, die Sicherheitslücken beziehungsweise die für viele Leute zu komplexe Sicherung ist immer noch das größte Problem des Marktes

Interesting read, a big topic for me these days
Thank you for writing about it!!!

Said my phone number was used to create my Steemit account and also for verification for crypto exchanges.
How can I check if my number is publicly visible now. And how can I change it?

I do have an old smartphone but can I use it if it doesn't have a working sim-card?

Hi Max.

Erschreckend viele Nutzer werden ueber die Handynummer und Passwort-reset option gehacked. In diesem Monat +10 Leute die ich kenne. Lese die Story von Kati Zachary im Link durch um zu sehen wie das genau aussehan kann.

Du kannst deinen Namen und Nummer mal googeln und schauen das da nichts auftaucht. Wie wuerde ein Hacker mittels Google versuchen deine Nummer rauszufinden? Denke wie er und schau dort nach - vielicht ueber deine Firma, Arbeitsplatz usw.

Dann Sichtbaerkeits Einstellungen be Facebook, Gmail, Google+ und allen anderen Social Media accounts abchecken.

Wie siehts es mit recovery options bei Gmail aus?
Das Gmail Account interface is mega unuebersichtilich aber die Arbeit lohnt sich.

Ich wuerde die email addresse, welche den Exchanges accounts zugeordnet is aendern und eine email adresse verwenden die du normalerweise nicht benutzt oder selten benutzt.

Wenn du bisher SMS verifikation gemacht hattest solltest du aud die 2FA via App umsteigen.

Dein altes handy ist perfekt. Vielleicht brauchst du einmal Wifi um die Google Authenticator App zu sychronisieren, aber danach kann es offline bleiben. SIM brauchst du nicht. Wichtig ist das du den 2FA backup code aufschreibst und das die Uhrzeit und Datum auf deinem Handy exakt stimmt! Den es wird ueber die Uhrzeit synchronisiert.

Ich hab es auch selber ausprobiert. Wenn meine email gehacked ist und Passwort reset ausgeloest wird muss man immer noch and der 2FA vorbei, und wenn diese auf einem anderen Geraet laueft ist das schonmal gut.

Danke für die umfassende Antwort

Gibt es einen Unterschied zwischen der normalen Google 2 Factor verification und der app authentificator?

Und was ich auch bei dem Link nicht ganz verstanden habe, wie läuft denn der Hack über Handynummer und Passwortreset genau ab. Irgendwie bin ich da nicht ganz durchgestiegen

Und ist es denn so smart meinen Namen und meine Telefonnummer zusammen zu googlen ? Dann expose ich die doch selber

Gerne! Ist dasselbe! Die zwei Kategorien sind: 1. Mobile/SMS authentifikation 2. App authentifikation

Google Authenticator ist die populaerste App aber es gibt andere wie "Authy" und "FreeOTP". Dann muss man gucken welche Apps von der Exchange unterstuetzt wird, die meisten nutzen die von Google.

Und wieder danke.

Ich hatte mein Reply noch um 2 weitere Punkte ergänzt. Vielleicht hast du da ja später noch Zeit drauf zu antworten

Zum Bekspiel haben ja auch Fluggesellschaften meine Handynummer bekommen. Also ist das auch nicht gut?!

Das hast du sehr richtig erkannt. Es ist eine unverschaemtheit das jeder Bauer der eine Webseite hat unsere Telefonnummer verlangt fuer seine Dienstleistung, den nun liegt die Sicherheit unserer Privatdaten in seiner Gnade.

Daher sollte man online moeglichst wenig Private Daten preisgeben. Laesst sich halt nicht ganz vermeiden.

Vor 3 Monaten wurde LinkedIn Datenbank geleakt und 140.000 Kontaktdaten preisgegeben, dass passiert immer wieder.

Das erste was Hacker versuchen ist ob das dortige passwort und email zu anderen Online Konten passt oder nicht. Die meisten Leute sind faul und verwenden immer das Gleiche.

Google diese separat. Wenn du sicher bist dein PC ist frei von malware.
Deinen Namen kannst du auf jeden Fall mal nachschlagen.

Der Telefon hack ist sehr raffiniert und es gibt mehrere Moeglichkeiten. Er basiert darauf das man eine Weiterleitung einrichten kann ohne grosse Sicherheitshuerden. Wenn ich DEINE Nummer kenne, ist es je nach Telefonanbieter nich allzu schwierig diesen zu ueberzeugen alle Anrufe/SMS an MEINE Nummer weiterzuleiten.

Hast du SMS PIN code aktiviert kann ich nun diese abfangen.

Ist den Email konto mit deiner Telefonnummer hinterlegt als Recovery Option, kann ich Email > Passwort Vergessen > Recovery PIN an Telefon senden - Option ausnutzten.

PIN abfangen, email passwort zuruecksetzen. Mit ein wenig Glueck war das deine Primaere Email adresse und jetzt habe ich Zugriff auf alle Konten die du mit dieser EMail adresse geoffnet hast ueber die
"Passwort vergessen" option.

Wenn du konkrete Beispiele sehen moechtest, wie das funktioniert, schaue dir diese "Opfer Berichte" an:

https://spir.ai/article/119/How%20They%20Hacked%20Me

https://medium.com/@CodyBrown/how-to-lose-8k-worth-of-bitcoin-in-15-minutes-with-verizon-and-coinbase-com-ba75fb8d0bac

https://techcrunch.com/2017/09/18/ss7-coinbase-bitcoin-hack-2fa-vulnerable/

Auf dieser (sicheren!) webseite kannst du nachschlagen, ob deine emailadresse von einem Datenleck betroffen worden ist oder nicht. Sie ist wirklich gut.

https://haveibeenpwned.com/

Super. Ich dank dir vielmals für die ganzen Infos. Da werd ich nochmal in Ruhe nachlesen.

Ich habe bei wichtigen Accounts, Emails, Facebook, Exchanges usw immer andere Passwörter und 2 verschiedene Emailadressen

Meine Telefonnumer hat nur Steemit, die Exchanges und ein paar Fluggesellschaften.
Soweit ich mich erinnern kann

Ich werde dann aber mal die 2 Faktor verifikation einrichten, obwohl da ja wohl Google meine Nummer bekommt

Thanks for this! I recently had a freakout about security reset all my primary account passwords to one's that can't be brute forced. Didn't consider the phone exploit however. That's something to consider.

Good job! Me neither until I started looking into all these recent thefts and people losing tokens.

great content man

Thanks bro!

This post received a 39% upvote from @morwhale team thanks to @cryptonik! For more information, click here! , TeamMorocco! .

The @OriginalWorks bot has determined this post by @cryptonik to be original material and upvoted(1.5%) it!

ezgif.com-resize.gif

To call @OriginalWorks, simply reply to any post with @originalworks or !originalworks in your message!