蜜蜂财经编译报道:11月7日,安全新闻和调查博客KrebsOnSecurity 发表了对REACT Task Force的采访,这是加利福尼亚州一个致力于打击网络犯罪的执法小组。

根据文章,REACT的成员认为“SIM卡交换劫持”是其打击加密货币欺诈的“最高优先级”之一。以下提到的就是欺诈者如何使用通过eBay购买的99美分SIM卡,只需拨打一个电话即可窃取数百万美元的加密资产。

什么是“SIM卡交换劫持”?

SIM卡交换是指通过欺诈手段诱使电信提供商,比如T-Mobile,将受害者的电话号码转移到攻击者持有的SIM卡上 - 通常是从eBay购买并插入“燃烧器”电话,如Samy Tarazi,圣克拉拉郡治安官办公室的一名中士和一名REACT主管告诉KrebsOnSecurity:“我们说的是年龄主要在19岁到22岁之间的孩子能够盗取数百万美元的加密货币……我们现在要对付的是这样一个人,他在eBay上买了一张99美分的SIM卡,把它插到一个便宜的燃烧器电话里,打了一个电话,偷走了数百万美元。这很恐怖。”

根据Motherboard的调查,SIM卡交换劫持相对容易实现,并有所泛滥。报告还指出,“美国各地有数百人的手机号码被这种骗局劫持。”

事实上,在REACT团队所在的加利福尼亚州,SIM卡交换劫持似乎是加密欺诈者中的新动向。塔拉齐告诉克雷布森安全局:“这可能是目前REACT公司最优先考虑的问题,因为有人可能正在积极进行SIM卡交换劫持,甚至就在我们现在说话的时候。”不过,他补充说,“只有几十个人”要对这些罪行负责:“就被盗数量和成功实施盗窃案的人数而言,这些数字可能具有历史意义。”

访问某人的电话号码到底是如何帮助窃取加密资产的呢?

一旦黑客劫持了受害者的电话号码,他们就用它来重置他或她的密码,并侵入他们的账户,包括电子邮件和加密货币交易所的账户。因此,他们可以使用储存在热钱包里的加密资产。

罪犯进行SIM卡交换劫持的策略可能会有所不同。就像Motherboard所述,欺诈者经常使用所谓的“插头”:电信公司的内部人员,他们通过做非法交换获得报酬。一位匿名的SIM劫持者告诉该杂志:“当你告诉某人(在一家电信公司工作)他们可以赚钱时,每个人都在使用它们(……)。”

另一位匿名消息人士称,电信运营商Verizon向Motherboard表示,他们曾通过Reddit联系过他,对方向他行贿,以换取SIM卡互换。同样,据报道,一名T-mobile商店经理在Instagram上贴出了自己的照片并贴上T-mobile的标签后,就收到了诈骗分子的短信。他被告知,如果用新SIM卡传输客户的电话号码,他每周可以赚到1000美元。

Verizon的另一名员工声称,在Reddit上找到他的黑客承诺,如果他愿意合作,他们将在几个月内“赚10万美元” - 他所要做的只是“为黑客激活SIM卡”,或把他的员工ID和PIN交给攻击者

事实上,圣克拉拉县地方检察官办公室的侦探Caleb Tuttle在KrebsOnSecurity的采访中强调了三种常见的SIM卡交换劫持场景:1、攻击者贿赂或威胁移动商店员工协助犯罪;2、现有或前雇员故意滥用他们查阅客户资料的权利;3、移动商店的员工欺骗其他分店里毫无戒心的同事,让他们把受害者现有的SIM卡换成新的。

正如Wired指出的那样,SIM交换甚至允许窃贼绕过双重身份认证,特别是它如果涉及SMS备份的话。塔特尔警探对KrebsOnSecurity的评论似乎证实了这一点:他建议人们在电子邮件账户上使用短信以外的东西进行双重身份验证。具体来说,他提到了Authy mobile app或谷歌Authenticator作为可能的替代:“假设我有一个Coinbase帐户,我将其设置为需要密码和Authy生成的一次性代码,但我与该Coinbase帐户绑定的Gmail帐户不使用Authy,只使用SMS进行双重身份验证处理。一旦我SIM卡被换,通常也可以通过短信请求来重置他的Gmail密码,然后使用我的设备在Gmail帐户上设置Authy。现在,我可以访问您的Coinbase帐户,并且可以有效锁定您的两个帐户。”

Tarazi警官还敦促公众认识到基于SMS的双重身份验证的潜在危险,尽管它已经成为在线服务的常见安全解决方案。“[…大多数不关注SIM卡交换问题的人都不知道,他们的手机和相关账户可以如此轻易地被接管。[…在这种情况下,受害者并没有下载恶意软件或落入一些愚蠢的钓鱼邮件。他们只是因为遵循行业标准而最终受害。”

谁是目标?

活跃于加密货币社区的人,主要包括:他们可能在加密货币相关的初创公司工作,作为演讲者参加区块链会议,或者在社交媒体上讨论他们的加密投资。

REACT约翰·罗斯(John Rose)解释说,SIM卡交换劫持者单独盗取加密资产要容易得多,也更安全,即使他们在黑客攻击期间发现了传统银行账户的密码一般也不会轻易下手。“当这些攻击发生时,许多SIM卡交换受害者的个人信息被暴露出来,他们非常害怕,这是可以理解的。但攻击者主要对加密货币感兴趣,因为加密货币可以方便地通过在线交易洗钱,而且交易无法逆转。”

目前,REACT团队已经参与了多起涉及SIM卡交换劫持的案例。例如,据KrebsOnSecurity报道,在2018年7月初,总部位于旧金山的加密货币公司BlockStar的首席执行官Christian Ferri被黑客攻击,据报道由于SIM卡交换劫持而损失了价值10万美元的加密货币。

Ferri在欧洲旅行时发现他的T-Mobile手机已经没有服务了——据称黑客入侵了T-Mobile的客户数据库,并关闭了他手机里的SIM卡。相反,他们激活了一个新设备,并将其插入到自己的设备中。

窃贼通过控制他的手机号码来更改他的Gmail账户密码。然后,他们用Ferri的账户密码访问了其他站点的谷歌驱动器文档,包括加密货币交易。尽管有可能从Ferri那里偷到更多的钱,不过小偷们只把他的加密储蓄作为目标。

有趣的是,Ferri告诉KrebsOnSecurity,当他联系T-Mobile询问这次攻击的情况时,公司通知他,犯罪分子已经进入T-Mobile商店,并以Ferri的名义出示假身份证。

然而,当REACT团队根据SIM卡交换的日期和时间研究视频监控录像时,据称没有任何证据表明有人进入商店出示假身份证。Ferri认为,T-Mobile对这一事件的解释“充其量只是一种误解,更可能是某种程度上的掩盖”。

警察介入:逮捕正在进行中

2018年7月底,加州警方逮捕了20岁的乔·奥尔蒂斯(Joe Ortiz)。据报道,在身份不明的合作者的帮助下,奥尔蒂斯侵害了大约40名受害者。

正如Motherboard指出的那样,奥尔蒂斯和他的同事“专门针对那些涉及加密货币和区块链领域的人”,据称在今年5月纽约召开的共识会议上,他们对一些人进行了黑客攻击。

这名黑客目前面临28项指控:13项身份盗窃指控、13项黑客攻击指控和两项重大盗窃指控。根据首席调查员在法庭上提交的声明,奥尔蒂斯告诉调查人员,他和他的“同伙”窃取了“数百万美元的加密货币”。

8月,加州警方逮捕了另一名19岁的SIM交换诈骗者Xzavyer Narvaez。根据起诉书,Narvaez被控七项电脑犯罪、身份欺诈和重大盗窃罪。

蜜蜂财经获悉,在被捕前,Narvaez设法将部分被盗的比特币用于购买跑车。在研究了DMV的记录后,警方发现他买了一辆2018年的迈凯轮,一部分是用比特币,一部分是通过用2012年的奥迪R8交易,Narvaez于2017年6月用比特币购买了这辆奥迪R8。

根据法庭文件,执法部门还从比特币支付提供商BitPay和加密货币交易所Bittrex获得了数据。报告显示,在2018年3月12日至7月12日期间,Narvaez的账户管理了157个比特币(目前价值约100万美元)。

由REACT公司负责的另一项调查导致两名男子在俄克拉荷马州被捕。23岁的弗莱彻·罗伯特·奇尔德斯和21岁的约瑟夫·哈里斯被控通过SIM卡交换从总部位于圣何塞的加密货币公司的Crowd Machine上窃取1400万美元。

根据Etherscan的数据,9月22日,大约有10亿枚代币从Crowd Machine钱包转移到了交易所,而代币价格暴跌,据CoinMarketCap获得的数据显示,其价格在夜间下跌了约87%。

Crowd Machine的创始人兼首席执行官Craig Sproule证实,黑客事件发生,两名嫌疑人被俄克拉荷马州警方逮捕,但拒绝向媒体提供更多细节,称调查正在进行中。

负责此事的特工肯·瓦伦丁(Ken Valentine)就此事提供了更多细节,并讨论了SIM卡交换劫持的性质:“如果(一个嫌疑人)瞄准哪个拥有加密货币的合适人选,那么可以立即对其手机进行SIM卡交换劫持。通过双重身份验证,他们获取加密货币的账号,并在自己的手机上接收验证消息。”

“就像酒店给一个假身份证的小偷一把房间钥匙”:SIM卡交换劫持的法律先例

8月15日,在另一起引人注目的SIM卡劫持案件中,总部位于波多黎各的企业家兼TransformGroup首席执行官迈克尔•特平(Michael Terpin)向美国电话电报公司(AT&T)提起了2.24亿美元的诉讼。他认为,这家电信巨头向黑客提供了访问他电话号码的途径,导致了一场重大的加密盗窃。这可能是SIM卡劫持的一个法律先例,受害者起诉他们的电信供应商允许黑客接管他们的电话号码。

特平声称,他在7个月的时间里遭遇两次黑客攻击导致他损失了价值2400万美元的加密货币:长达69页的起诉书中提到了两起分别发生在2017年6月11日和2018年1月7日的事件。根据这份文件,在这两种情况下,AT&T都未能保护特平的数字身份。

首先,根据起诉书,这位企业家在2017年夏天发现,他的电话号码被窃听,原因是他的手机突然死机了。然后,他从AT&T那里得知,“在AT&T门店的11次尝试失败后”,他的密码被远程更改。

在劫持特平的手机号码后,攻击者利用他的个人信息侵入他的账户,这些账户使用电话号码作为验证手段,包括他的“加密货币账户”。据报道,黑客还劫持了特平的Skype账户,以冒充他,并说服他的一个客户向他们发送加密货币。

据报道,AT&T在黑客从特平账户窃取“大量资金”后,才切断了对他们的访问。该文件还表示,事故发生后,特平于2017年6月13日与美国电话电报公司(AT&T)代表会面,讨论了这起攻击事件,对方并承诺将把他的账户转移到“更高安全级别”,并提供“特殊保护”。

然而,蜜蜂财经获悉,半年后的2018年1月7日,特平的手机又因为另一起攻击事件而关机。起诉书称,尽管在2017年6月采取了额外的安全措施,但“AT&T门店的一名员工与一名冒充者合作进行SIM卡劫持欺诈”。

据称,窃贼在第二次攻击中窃取了价值2400万美元的加密货币,尽管特平在手机停止工作后试图“立即”联系AT&T,但是据称AT&T“无视”他的要求。原告在诉状中称,特平的妻子当时也曾试图给AT&T打过电话,但当她要求与AT&T的欺诈部门取得联系时,被“无休止地等待”。

“AT&T所做的就像一家酒店给一个带有假身份证的小偷一个房间钥匙,使用钥匙可以安全地从合法所有者那里偷走保险箱中的珠宝”,投诉着重强调了电信诈骗的潜在规模,以及电信提供商的责任。原告控诉称:“AT&T无法保护其近1.4亿客户免受SIM卡交换欺诈。”

与此同时,执法部门已经开始格外关注SIM卡交换劫持,正如上述加州事件所显示的那样。指挥官约翰·罗斯雄心勃勃地说:“在SIM卡交换劫持停止之前,REACT不会停止对SIM卡交换的调查。我们会逮捕美国所有的SIM卡交换诈骗者。”


来源:cointelegraph