人生中最昂贵的一节课：基于 SIM 卡转移的攻击细节

这个不就是补卡攻击吗，我觉得锅要甩给那些 优先要求手机短信码登录，在绑定手机后不要求验证其他信息就能重置密码或者不能设密码 的 app

@Kagari 但是作者被社工了……所以验证密保问题什么的肯定也是行不通的，太弱了

U2F WebAuthn 未来所有手机都会支持 WebAuthn 除非本人 别人访问不了

无法访问此页面, 是挂了吗?

@lingll medium 要 FQ

这锅在运营商身上，在攻击者申请 SIM port 的环节没有验证身份。 另外，这个 SIM PORT request 是个什么东西？ 补卡？携号转网？

@Kagari 按照文中的说法，对应用提供商来说，他判断不了用户换了手机吧，毕竟只是发送一个验证码。但是 他是可以判断用户使用的设备的，目前新设备的验证很多也是验证码，微信这种需要用旧设备扫码的好像还算是安全些。

<img src="https://s3-img.meituan.net/v1/mss_3d027b52ec5a4d589e68050845611e68/ff/n0/0h/h5/m5_466386.jpg@596w_1l.jpg">
想到了这个

这类攻击的本质是所实施的安全级别和要保护的东西的价值的不对等性。
2FA 也是有很明显的安全等级的，硬件 Token 就明显要好很多。
但是这些都不是重点，重点是 coinbase 的风控能力太弱，
如果 coinbase 的风控能力达到 Paypal 的程度的话，
这次的攻击完全不会奏效。
好奇国内有多少业内人士能达到上面的这个 view?

责任分析
用户 0% 整个过程完全没有用户参与的机会。
Gmail 0% 免费邮箱做到 Gmail 这种程度已经是突破天花板了，毕竟需要经常和国家资助的 h 客过招。
AT&T 10% 有重大过失，但是他们的服务内容并不包含为用户或 coinbase 或 gmail 做 2FA 这件事情。
Coinbase 90% 如果有 paypal 程度的风控能力的话，在用户重置密码 /使用非常用 IP 地址 /清空或者大额交易这三者同时发生的时候，就会自动触发高危风控，并暂停交易然后人工介入。同时对于大额资金调动也应该强制要求使用硬件 Token 一类的更安全级别的防护措施。