7 ноября в новостной блоге безопасности и блоге расследования KrebsOnSecurity было опубликовано интервью с Целевой группой РЕАКТ, группой правоохранительных органов в Калифорнии, посвященной борьбе с киберпреступностью.
Согласно статье, члены REACT считают, что «SIM-обмен» является одним из его «высших приоритетов» в попытке бороться с мошенничеством с криптовалютами. Вот как мошенники используют 99-процентные SIM-карты, купленные с eBay, чтобы украсть миллионные криптограммы одним звонком.
«Обмен SIM-картой»: что это?
Обмен SIM-картой - это процесс создания провайдера телекоммуникационных услуг, например, T-Mobile, перенос телефонного номера жертвы на SIM-карту, удерживаемую злоумышленником, - обычно купившаяся с eBay и подключенная к телефону с «горелкой», так как Samy Tarazi, сержант в офисе шерифа округа Санта-Клара и руководитель РЕАКТ, сказал KrebsOnSecurity:
«Мы говорим о детях в возрасте от 19 до 22 лет, которые могут украсть миллионы долларов в криптотерминах [...], мы имеем дело с тем, кто покупает 99-процентную SIM-карту с eBay, подключает ее к дешевой горелке телефон, звонит и крадет миллионы долларов. Это очень замечательно.
Согласно расследованию материнской платы , замена SIM-карты «относительно легко снять и получила широкое распространение». Также было высказано предположение, что «сотни людей в США получили номер своего сотового телефона, захваченный в этом так называемом« Port Out Scam ». »
Действительно, в Калифорнии, где базируется команда РЕАКТ, обмен SIM-картами, похоже, является новым увлечением криптомашин. Тарази сказал KrebsonSecurity:
«На данный момент это, пожалуй, самый высокий приоритет РЕАКТА, учитывая, что обмен SIM-картами активно происходит с кем-то, возможно, даже сейчас, когда мы говорим».
Он добавил, однако, что «всего лишь несколько десятков человек» ответственны за совершение этих преступлений:
«Для краденых количеств и количества успешных людей, которые принимают его, цифры, вероятно, являются историческими».
Итак, как именно имеет доступ к номеру телефона человека, чтобы украсть крипто?
Как только хакеры получают доступ к номеру телефона жертвы, они используют его для сброса своих паролей и входа в свои учетные записи, включая электронную почту и учетные записи на обмене криптовалютами. Следовательно, они получают доступ к криптовым средствам, хранящимся на горячих кошельках.
Тактика, используемая преступниками для обмена SIM-картами, может быть разной. Как и на материнской плате, мошенники часто используют так называемые «пробки»: инсайдеры компаний телекоммуникационных компаний, которым платят за незаконные свопы. Анонимный угонщик SIM сказал изданию:
«Каждый использует их [...] Когда вы говорите кому-то [кто работает в телекоммуникационной компании], они могут зарабатывать деньги, они это делают».
Другой анонимный источник - поставщик телекоммуникационных услуг Verizon сообщил материнской плате, что к нему обратились через Reddit , где ему предлагали взятки в обмен на SIM-обмены. Аналогичным образом, менеджер магазина T-mobile, как сообщается, был отправлен мошенниками на Instagram после публикации изображения самого себя и пометки его # T-mobile. Ему сказали, что он может составлять до 1000 долларов США в неделю за перевод телефонных номеров клиентов на новые SIM-карты.
Другой сотрудник Verizon утверждал, что хакер, который также нашел его на Reddit, пообещал, что они сделают «100 000 долларов в течение нескольких месяцев», если он будет сотрудничать - все, что ему нужно было сделать, - либо активировать SIM-карты для [хакера], когда [он был] на работе или дать [нападающему свой] идентификатор сотрудника и PIN-код. "
Действительно, Калеб Таттл, детектив в окружном прокуроре округа Санта-Клара, выделил три общих сценария обмена SIM-картой в интервью KrebsOnSecurity:
Злоумышленник подкупает или угрожает мобильному магазину в оказании помощи в совершении преступления;
Действующие и / или бывшие сотрудники мобильного магазина намеренно злоупотребляют своим доступом к данным о клиентах;
Сотрудники мобильного магазина обманывают ничего не подозревающих партнеров из других филиалов в обмен существующей SIM-картой жертвы с новой.
Обмен SIM-картами позволяет ворам обойти даже двухфакторную аутентификацию, особенно если это связано с резервным копированием SMS, как указывает Wired . Комментарий детектора Tuttle для KrebsOnSecurity, похоже, подтверждает это: он советует людям использовать что-то, кроме текстовых сообщений для двухфакторной аутентификации на своих учетных записях электронной почты. В частности, он упоминает мобильное приложение Authy или Google Authenticator как возможные альтернативы:
«Предположим, у меня есть учетная запись Coinbase, и у меня она настроена на то, чтобы требовать пароль и одноразовый код, созданный Authy, но моя учетная запись Gmail, привязанная к этой учетной записи Coinbase, не использует Authy и просто использует SMS для двухфакторного , Как только я перейду на SIM-карту этого человека, я часто могу использовать этот доступ к [запросить ссылку через текстовое сообщение], чтобы сбросить его пароль Gmail, а затем настроить Authy в учетной записи Gmail с помощью моего устройства. Теперь у меня есть доступ к вашей учетной записи Coinbase и может эффективно блокировать вас обоих. "
Сержант Тарази также призывает общественность признать потенциальную опасность двухфакторной аутентификации на основе SMS, хотя она стала распространенным решением для обеспечения безопасности онлайн-сервисов.
«[...] большинство людей, которые не следят за проблемой обмена SIM-картами, не имеют понятия, что их телефон и связанные аккаунты могут быть легко приняты. [...] В этом случае жертва не загружала вредоносное ПО или не попадала на какую-то глупую фишинговую электронную почту. Они просто попадают под угрозу, потому что они следуют отраслевому стандарту ».
Кто является целью?
Люди, которые активны в сообществе криптовалюта, в основном: они могут работать на стартапах, связанных с криптовалютами, участвовать в качестве докладчиков на конференциях по блочной цепочке или обсуждать свои криптовые инвестиции в социальные сети.
Рейтинговый лейтенант Джон Роуз объясняет, что гораздо проще и безопаснее заставить SIM-карт менять украсть криптофонды, даже если они обнаруживают пароли для традиционных банковских счетов во время взлома:
«Многие жертвы смены SIM-карт, по понятным причинам, очень боятся того, сколько их личной информации было обнаружено, когда происходят эти атаки. Но [нападавшие] в основном заинтересованы в таргетинге на криптовые валюты для удобства, с помощью которого эти средства могут быть отмыты через онлайн-биржи, а также потому, что транзакции не могут быть отменены ».
Команда REACT участвовала в нескольких случаях, связанных с обменом SIM-картами в этот момент.
Например, в начале июля 2018 года Христиан Ферри, генеральный директор Cryptocurrency фирмы BlockStar в Сан-Франциско, был взломан и, как сообщается, потерял 10000 долларов за криптовыделения в результате обмена SIM-картой, сообщает KrebsOnSecurity.
Ферри был в поездке в Европу, когда узнал, что его телефон T-Mobile больше не обслуживается - хакеры якобы ворвались в базу данных клиентов T-Mobile и дезактивировали SIM-карту в своем телефоне. Вместо этого они активировали новую, которая была подключена к их собственному устройству.
Воры использовали контроль над своим мобильным номером, чтобы изменить свой пароль учетной записи Gmail. Затем они обратились к документу Google Диска с учетными данными Ферри на другие сайты, включая обмен криптовалютами. Несмотря на возможность украсть больше средств у Ферри, воры только нацелились на его криптосбережение.
Интересно, что Ферри рассказал KrebsOnSecurity, что, когда он добрался до T-Mobile об атаке, компания сообщила ему, что преступник вошел в магазин T-Mobile и показал фальшивый идентификатор на имя Ферри.
Однако, когда команда REACT изучила видеозапись видеозаписи с даты и времени его обмена SIM-картой, она якобы не показала никаких доказательств того, что кто-либо входит в магазин, чтобы представить поддельный идентификатор. Ферри утверждает, что объяснение инцидента «Т-Мобил» было в лучшем случае недоразумением и, скорее, сокрытие на каком-то уровне ».
Полицейские шаги: проводятся аресты
Первый сообщенный случай против кого-то, кто предположительно использовал замену SIM-карты, появился в конце июля 2018 года, когда полиция Калифорнии арестовала 20-летнего Джо Ортиса, который, как сообщается, взломал около 40 жертв с помощью еще неизвестных сотрудников.
Как указывает материнская плата , Ортис и его партнеры «специально нацелены на людей, вовлеченных в мир криптовалюты и блокчейн», предположительно взломали несколько человек на конференции консенсуса в Нью-Йорке в мае.
Хакер теперь сталкивается с 28 обвинениями: 13 случаев кражи личных данных, 13 пунктов взлома и два града большого кражи, согласно жалобе, поданной против него. Сообщается, что Ортис сообщил следователям, что он и его «созаговорщики» имеют доступ к «миллионам долларов в криптовалюте», согласно заявлению, поданному в суд главным следователем.
В следующем месяце, в августе, полиция в Калифорнии арестовала еще одного предполагаемого SIM-переключателя, 19-летнего
Xzavyer Narvaez. Согласно заявлению, Нарваес обвиняется в семи пунктах компьютерных преступлений, мошенничестве с использованием личных данных и грандиозном краже.
До ареста Нарваез, как сообщается, удалось провести часть украденного Биткойна на спортивных автомобилях. После изучения записей DMV полиция обнаружила, что он купил 2018 McLaren, частично заплатив долю в Биткойне, а частично - в 2012 году Audi R8, который Narvaez приобрел с Bitcoin в июне 2017 года.
Согласно судебным документам, правоохранительные органы также получили данные от Bitcoin поставщика платежей BitPay , а криптовалютные биржи Bittrex . Он показал, что с 12 марта по 12 июля 2018 года счет Нарваэса управлял 157 биткойнами (сейчас их стоит около 1 миллиона долларов).
Отдельное расследование под надзором РЕАКТ привело к тому, что двое мужчин были арестованы в Оклахоме. Флетчер Роберт Чайлдерс, 23 года, и Джозеф Харрис, 21 год, были обвинены в краже 14 миллионов долларов из штаб-квартиры компании Crowd Machine, расположенной в штате Сан-Хосе, через SIM-карты.
Согласно Etherscan, около 1 миллиарда токенов были переведены из кошелька Crowd Machine на биржи 22 сентября, а стоимость токена забита, потеряв около 87% своей цены за ночь, как показывают данные, полученные на CoinMarketCap.com .
Основатель и генеральный директор Crowd Machine Крейг Спрул подтвердил, что был взломан взломан, и два подозреваемых были арестованы в Oklahoma News 4, но отказались предоставить какие-либо дополнительные сведения в средствах массовой информации, ссылаясь на продолжающееся расследование.
Специальный агент по сбору, Кен Валентайн, предоставил более подробную информацию об инциденте, обсудив характер SIM-карт:
«Если (подозреваемый) нацелился на подходящего человека, у которого есть криптовалютность на этом телефоне, тогда у вас есть немедленный доступ к нему. С двухфакторной аутентификацией у них есть номер учетной записи для криптовалютности и может получать сообщения аутентификации на замененном сотовом телефоне «.
«Как гостиница, предоставляющая вору с поддельным ID ключом комнаты:« Юридический прецедент в обмене SIM-картой
В отдельном высокий профиль SIM свопинга случае, 15 августа, Пуэрто - Рико на основе предприниматель и генеральный директор TransformGroup, Майкл Terpin, подал иск в размере $ 224 млн против AT & T . Он считает, что телекоммуникационный гигант предоставил хакерам доступ к своему номеру телефона, что привело к серьезному криптографическому хевисту. Это может быть юридическим прецедентом для обмена SIM-картой, где жертва подает в суд на своего поставщика телекоммуникационных услуг, чтобы позволить хакерам взять на себя их номер телефона.
Терпин утверждает, что он потерял криптовалюты на сумму 24 миллиона долларов в результате двух хаков, произошедших в течение семи месяцев: 69-страничная жалоба упоминает два отдельных эпизода от 11 июня 2017 года и 7 января 2018 года. В обоих случаях , согласно документу, AT & T, не удалось защитить цифровую идентификацию Терпина.
Во-первых, летом 2017 года предприниматель узнал, что его номер AT & T был взломан, когда его телефон внезапно погас, согласно жалобе. Затем он узнал от AT & T, что его пароль был удален удаленно «после того, как 11 попыток в магазинах AT & T потерпели неудачу».
Получив доступ к телефону Терпина, злоумышленники использовали его личную информацию для проникновения на его учетные записи, которые используют телефонные номера в качестве средства проверки, включая его «учетные записи криптовалюты». Хакеры также, как сообщается, захватили учетную запись Skype Терпина, чтобы выдать себя за него и убедить одного из его клиенты отправили им криптовалютность.
По сообщениям, AT & T прекратил доступ к хакерам только после того, как им удалось украсть «значительные средства» у Терпина. В документе также говорится, что после инцидента, 13 июня 2017 года, Терпин встретился с представителями AT & T для обсуждения атаки, и было обещано, что его учетная запись будет перенесена на «более высокий уровень безопасности» со «специальной защитой».
Тем не менее, полгода спустя, 7 января 2018 года, телефон Терпина, по сообщениям, снова отключился из-за другого нападения. В жалобе утверждается, что «работник в магазине AT & T сотрудничал с мошенником, совершившим мошенничество с использованием SIM-карты», несмотря на то, что дополнительные меры безопасности были приняты еще в июне 2017 года.
Воры, как утверждается, украли криптовалюты стоимостью около 24 миллионов долларов во время второй атаки, хотя он и пытался связаться с AT & T «мгновенно» после того, как его телефон перестал работать. AT & T якобы «проигнорировал» его просьбу. Жалоба истца утверждает, что жена Терпина также пыталась позвонить в AT & T в то время, но была поставлена на «бесконечную хватку», когда она попросила подключиться к отделу мошенничества AT & T.
https://cointelegraph.com/news/sim-swapping-becomes-increasingly-popular-in-california-police-make-it-high-priority