SIM-свопинг набирает обороты: Как владельцам биткойнов сохранить сбережения

0

Вопреки распространённому мнению, использование номера телефона для двухфакторной аутентификации может стать причиной, по которой вы лишитесь всех своих сбережений в криптовалюте. Особенно если вы храните её на сторонних сервисах, типа криптовалютных бирж или платформах для кредитования. Изо дня в день в криптосообществе не устают повторять мантру: «Не ваши приватные ключи = не ваши криптовалюты».

В течение большей части последнего десятилетия сочетание этих двух практик (читай – ошибок) привело к росту явления под названием SIM-свопинг.

SIM-свопинг – относительно недорогой способ, для которого не нужны особые технические навыки и посредством которого злоумышленники могут заполучить контроль над всеми учётными записями жертвы. Конечно, если потенциальная жертва использует этот номер телефона для авторизации в различные сервисы, будь то электронная почта или даже криптокошелёк. Тут скорее работает социальная инженерия, нежели техническая подкованность хакера. По сути ему нужно разузнать, какие способы подтверждения личности использует мобильный оператор жертвы, и добыть немного информации о самой «мишени». И зачастую для этого достаточно узнать только лишь номер телефона.

Тут надо сделать оговорку на то, что в тех же США всё большую популярность приобретает услуга так называемых eSIM – электронных SIM-карт, которые вообще не нужно устанавливать в смартфон. Мобильный оператор просто удалённо назначает вам номер телефона. Какой бы SIM-картой вы ни пользовались, эта опасность угрожает всем, а последствия будут крайне неприятными.

Рост популярности SIM-свопинга

Нарастающая угроза мошенничества с подменой SIM-карт была выявлена исследованием, которое в январе 2020 года опубликовала группа профессоров и аспирантов факультета компьютерных наук Гарвардского университета и Центра политики в области информационных технологий Принстонского университета.

SIM-свопер пытается украсть сим-карту потенциальной жертвы. Источник: indigodefense.com

«Злоумышленник звонит вашему оператору, притворяется вами и просит перенести обслуживание на новую SIM-карту, которая находится во власти злоумышленника, — написал Арвинд Нараянан, доцент Принстонского университета и один из авторов исследования, — Угроза достаточно серьёзная, но при этом сотни веб-сайтов и сервисов используют SMS-уведомления в качестве двухфакторной аутентификации, что подвергает риску ваши учётные записи».

В ходе исследования был протестирован протокол аутентификации пяти крупнейших мобильных операторов США — AT&T, T-Mobile, Tracfone, US Mobile и Verizon. Попытавшись произвести атаку с подменой SIM-карты на 10 различных аккаунтов каждого оператора, авторам исследования удалось выяснить, что все 5 из них используют небезопасные методы аутентификации.

«В целом эти выводы помогают объяснить столь быстрое распространение угрозы атаки с подменой SIM-карты», – подытожил Нараянан.

Ещё большую озабоченность данной проблемой провоцирует тот факт, что в ходе эксперимента удалось подменить SIM-карту даже самого Нараяна. Когда он позвонил в отдел обслуживания клиентов мобильного оператора и сообщил о мошенничестве, оператор даже был не в состоянии подтвердить его личность, так как злоумышленник уже завладел номером телефона. В конечном итоге Нараяну удалось восстановить контроль над своей «симкой», однако пришлось применить собственные же исследования и воспользоваться уязвимостью протокола оператора мобильной связи.

Просто повезло, что исследователю быстро удалось вернуть номер. После того, как хакер берёт под свой контроль SIM-карту жертвы, у него в буквальном смысле развязаны руки. Как указано в исследовании, это в значительной степени связано тем, что пользователи используют небезопасные методы аутентификации для доступа к своим сбережениям в интернете. Это может быть и SMS-уведомление, и/или двухфакторная аутентификация с кодом или посредством роботизированного звонка (очевидно, эти способы абсолютно небезопасны, так как злоумышленник уже заполучил доступ к вашему номеру телефона). К тому же большинство людей если и используют защиту с секретными вопросами, то ответы на эти вопросы зачастую достаточно просто выяснить. Как например в случае с девичьей фамилией матери.

Кроме того, исследование также выявило 17 веб-сайтов, на которых учётные записи пользователей могут быть скомпрометированы как минимум SIM-свопингом (основой для этого метода послужил набор данных с twofactorauth.org). К слову, вскоре после публикации исследования T-Mobile связалась с авторами и сообщила, что больше не подтверждает владельцев SIM-карт с помощью перечисления последних входящих звонков.

Мошенники метят на Биткойн

SIM-свопинг на слуху уже несколько лет. Однако большинство атак ориентированы на жертв из буквально нескольких категорий: знаменитости с раскрученными аккаунтами в соцсетях – вроде гендиректора Twitter Джека Дорси, – либо тех, кто владеет значительным количеством криптовалют. В ходе стремительного аптренда Биткойна в прошлом году, жертвами атак с подменой SIM-карт стали несколько владельцев крипты.

Генеральный директор сети микроблогинга Twitter Джек Дорси

Например, в декабре 2019 года криптожурналист и ведущая подкаста Лора Шин рассказала собственную историю о том, как ей «посчастливилось» стать жертвой телефонных мошенников. В конечном итоге её не смогли ограбить, но, как она сама отметила, ситуация довольно ироничная, ведь она сама ещё в 2016 году тщательно освещала эту тему и была вроде как готова к любым атакам. На поверку все её меры предосторожности оказались уязвимыми.

По некоторым предположениям, владельцы биткойнов стали лакомым кусочком для мошенников с подменой SIM-карты, так как криптовалютные транзакции навсегда записываются в блокчейн и отменить их технически невозможно. С точки зрения расследования и поиска преступников, властям гораздо проще иметь дело с обычными пользователям мобильных телефонов, нежели пытаться вернуть украденные криптовалюты (даже несмотря на то, что перемещение средств можно легко отследить в блокчейне).

При этом, в отличие от большинства счетов в интернет-банкинге, лишь несколько криптобирж – включая Coinbase, Gemini, ItBit и Binance US, – защищены страховкой FDIC, которая страхует депозиты участников на сумму до 250 000$. Это имеет определённый смысл, если рассматривать ценность Биткойна в роли децентрализованного и неизменяемого актива. Но это также означает, что никогда не стоит принимать условную безопасность криптовалют как данность.

«Жернова правосудия»

Предприниматель, инвестор и основатель первого ангельского фонда для Биткойн-энтузиастов Bitangels, Майкл Терпин, слишком хорошо понимает, о чём идёт речь.

Как он заявил в одном из интервью криптоинформационному ресурсу Bitcoin Magazine: «Жернова правосудия перемалывают медленно».

Оставьте ответ

Ваш электронный адрес не будет опубликован.