Хотя непосредственно не связаны с Bitcoin, я нашел эту статью интересной. Он показывает, как победить чип и пин программы аутентификации 2-фактора.

  http://www.dailymail.co.uk/news/article-2249752/A-999-credit-card-scam-cost-thousands.html

Усилия, затраченные мошенники довольно огромны. Общая суть заключается в следующем. Жертва получает звонок от кого-то, кто утверждает, что следователь милиции. Они утверждают, что ваша кредитная / дебетовая карта была клонирована и злоупотребляют, и, таким образом, что они должны забрать его у вас. Они также говорят, что они нуждаются в PIN-код.

На данный момент жертвами часто становятся подозрительными, потому что многие люди знают, что вы не должны дать свой PIN-код, чтобы кому-либо, в том числе и ваш собственный банк. Таким образом, мошенники имеют аккуратный трюк. Они говорят "набрать 999, обратитесь в полицию и перезвонить мне, что путь", Потерпевший кладет трубку, поднимает его снова и слышит гудок. Однако то, что они не понимают, что одна сторона висит телефон не прекращает вызов. Тональный сигнал, они слышат это подделка, как следующий 999 вызова (играет другой актер / мошенника).

Еще раз, "офицер полиции" запрашивает PIN-код. Если жертвы снова смущаются в этот момент, у них есть еще один ловкий трюк - мошенник говорит "Вы не должны доверять мне, введите номер в и он будет направлен прямо на наши технические человек", Конечно, тональные сигналы записываются. Курьер приходит и забирает карточку позже. Теперь плохие парни имеют как карты и PIN-код и может снять столько денег, сколько они хотят.

Мошенник также держит жертв на линии как можно дольше, пока гонцы снимать деньги. Это, чтобы попытаться остановить жертва от перезвонить в банк или полицию непосредственно, давая время для водозабора пройти.

Хорошая новость является жертвой, который написал для Daily Mail был в значительной степени повторно imbursed банков.

Это жульничество опирается на следующее:

• Peoples предположение, что отбой телефона завершает вызов, когда на самом деле обе стороны должны повесить трубку. Это похоже на то, что должно быть закреплено на телефонном уровне. Предположительно это не влияет на мобильные телефоны.
• Доверие к власти.
• Peoples неправильное убеждение, что EMV-карты могут быть клонированы (вся предпосылка лежит на идее о том, что карта была скомпрометирована, когда его не было).
• Эмоциональные тактика давления и хорошая игра актеров, которые способны отвергнуть советы, данные банки никогда не давать свой PIN-код

Как вы могли бы идти о том, аналогичной афере против средних / обычных пользователей Bitcoin, предполагая абсолютный лучший случай ключевой фразы зашифрованного кошелька, содержащего 2-фактор монету, где второй фактором является выделенным аппаратным устройством?

• Позвоните кому-то, кто вы думаете, имеют некоторый Bitcoins и среднее технических знаний. Требование быть от Microsoft / своего провайдера / и т.д., и государства, по вашему мнению, их компьютер заражен вирусом. Как было показано много раз, в этот момент нетривиальным число людей будет следовать инструкциям и отказаться от контроля над своим компьютером.
• Скажите жертву, чтобы скачать "антивирусный сканер", Сделать это выглядит реалистично. На заднем плане он находит файл бумажник и электронные письма его к мошенникам. Он также перехватывает USB запросы на второй фактор и блокирует их.
• Следующий раз, когда пользователь хочет, чтобы произвести оплату, вирус крадет ключевую фразу шифрования. Он также перехватывает запрос на второй фактор и блокирует его, вызывая бумажник, чтобы показать сообщение об ошибке, как "Невозможно установить соединение с устройством подписания. Проверьте он подключен и работает. Для того, чтобы заказать замену вызова +44 0123 456789", Конечно, устройство работает нормально.
• Пользователь перезванивает и на этот раз вы утверждаете, от производителя своего устройства подписи. Скажите, что вы сожалеете их устройство подписи нарушается и, как обслуживание клиентов очень важно, вы скоро послать курьера, чтобы обеспечить новый. Пользователь с благодарностью принимает эту удобную услугу.
• Курьер приходит и занимает второе устройство фактора подписи.

Теперь вы можете украсть их деньги, потенциально, их сбережения, и на этот раз нет ни одного банка, который будет пытаться получить деньги обратно для вас.

2-фактор монета будет большим шагом вперед в области безопасности Bitcoins при завершении. Однако это все равно будет крайне недостаточный уровень безопасности в случае страны или сообщества, которые хотели принять Bitcoin ан-массово. Возможно, лучшим решением является "банк как субъекты" которые выполняют анализ рисков на транзакциях для Вас, в качестве дополнительного сервиса.

(Редактирование: незначительное улучшение жульничества)