С помощью социальной
инженерии и атаки под названием «подмена SIM-карты» 21-летний злоумышленник
украл криптовалюты более чем на миллион долларов. Полиция арестовала его, но
вернуть средства не получается.
«Здравствуйте, я
потерял смартфон, не могли бы вы…»

В
США 21-летний мошенник Николас Трулья
(Nicholas Truglia) смог похитить криптовалюты на общую сумму около $1 млн,
используя довольно простую схему — SIM Swapping (подмена SIM-карты). Как
минимум, одна жертва лишилась всех своих сбережений. Полиция арестовала Трулью,
но вернуть награбленное пока не получается.

В
последнее время подмена SIM-карты стало одним из самых популярных типов атаки
на криптоактивы. Злоумышленники эксплуатируют совершенно легитимные опции,
которые предлагают телеком-провайдеры, а конкретнее — возможность присвоения
старого номера новому устройству (такая услуга может быть оказана при потере
или краже смартфона).

Естественно,
операторы телеком-провайдера будут пытаться удостоверить вашу личность,
запрашивая полное имя, адрес, номер телефона, день рождения, кодовое слово и т.
д. Но вся эта информация в какой-то момент могла попасть к хакеру: он мог сам
выудить ее у пользователя с помощью социальной инженерии, или приобрести в
даркнете. В этом случае он может успешно пройти авторизацию вместе с оператором
и таким образом «угнать» чужой телефонный номер.

haker600.jpgМошенник обчистил криптокошельки ИТ-шников Калифорнии с помощью примитивной атаки

Учитывая,
что многие используют SMS с проверочным кодом в качестве элемента двухфакторной
авторизации при получении доступа к своим криптоактивам, у злоумышленника есть
окно возможности (прежде чем жертва обнаружит, что ее телефон не функционирует
как надо и обратится в техподдержку своего провайдера), за которое он может
успеть украсть средства — SMS с проверочным кодом придет мошеннику, а не
жертве.

Именно
так и произошло в данном случае: Николас Трулья успел увести криптовалюту у
состоятельного жителя Сан-Франциско Роберта
Росса
(Robert Ross), обчистив его аккаунты в Coinbase и Gemini.

Как
оказалось, эти деньги Росс откладывал значительную часть жизни и планировал на
эти средства оплатить обучение своих двух дочерей в колледже. Учитывая, что
криптовалюты падают в цене, скорее всего, он бы перевел эти средства в более
надежные активы, но Трулья успел их украсть.

Жертв больше

Трулья произвел аналогичные атаки против еще нескольких
бизнесменов из Кремниевой долины, но преуспел далеко не везде. В целом, как
утверждают правоохранительные органы, он ограбил как минимум шесть человек. Среди
них — исполнительный директор ИТ-компании 0Chain Сасвата Басу (Saswata Basu),
венчурный инвестор Майлз Дэниелсен (Myles Danielsen), вице-президент Hall Capital Partners Гэбриель Катснелсон (Gabrielle
Katsnelson), соосновательница стартапа SMBX и др.

Только $300 тыс. к настоящему времени удалось вернуть,
остальные средства Трулья спрятал так, что их до сих пор не удается отследить.

Интересно,
что ранее сам Трулья весной обращался в правоохранительные органы с жалобой на
своих весьма состоятельных друзей, которые, по утверждению жалобщика, выбивали из
него (в самом буквальном и физическом смысле) логины и пароли к его
криптокошелькам.

Адвокат
обвиняемых заявил позднее, что Трулья сам отозвал обвинения, хотя уголовное
производство, судя по всему, было все-таки возбуждено. Сейчас за решетку угодил
сам Трулья.

Что
же касается мошенничества с подменой SIM-карт, то эта проблема в последнее время
явно набирает остроту, — причем не только для пользователей. Пострадавшие
начинают подавать иски против своих телеком-операторов, перекладывая на них
ответственность за произошедшее. Так, например, в начале ноября 2018 г. несколько
человек, пострадавших от этого типа мошенничества, подали в суд на AT&T.

«Ответственность
за то, что подмена SIM-карт оказывается возможной, несут и жертвы, и
телеком-операторы, — считает Михаил
Зайцев
, эксперт по информационной
безопасности компании SEC Consult Services. — Пользователи — потому что
редко утруждают себя дополнительными средствами защиты и допускают утечку своих
данных, которыми пользуются потом злоумышленники, операторы — поскольку их
штатные алгоритмы аутентификации пользователя часто оказываются бессильными
против злоумышленника, вооруженного обилием сведений о жертве. Впрочем,
перспективы исков против телеком-операторов в данном случае выглядят довольно
туманными».

Источник