Прив’язувати акаунт SIM давно стало стандартом безпеки в банках і різних фінансових сервісах, у тому числі і в криптовалютных. Здається, що двофакторна аутентифікація надійно захищає дані активи.
Але насправді це не так: у квітні студент з Каліфорнії отримав 10 років в’язниці за крадіжку криптовалют з допомогою SIM-карт. 21-річний Джоел Ортіз зміг вкрасти близько $7.5 мільйона в криптовалютах через так званий SIM-свопінг (обмін сім-картами) — шахрайську схему, в рамках якої зловмисники отримують доступ до інформації жертви, а потім звертаються до оператора стільникового зв’язку і просять перевипустити SIM-карту, видаючи себе за іншу людину. За допомогою SIM-свопінгу крадуть кріптовалюти на мільйони доларів.
Наскільки SIM-свопінг загрожує власникам криптовалют і як убезпечити свої крипто-активи?
Навігація по матеріалу:
- 1 Чим небезпечний SIM-свопінг?
- 2 Наскільки поширений SIM-свопінг?
- 3 чи Можна повернути викрадені кошти?
- 4 Як ще шахраї можуть отримати доступ до криптовалютам жертви через SIM-карти?
- 5 Як не стати жертвою SIM-свопінгу?
Чим небезпечний SIM-свопінг?
Перша серія крупних крадіжок криптовалют з допомогою SIM-свопінгу сталася ще взимку 2016 року в США. Жертви зберігали кріптовалюти на різних біржах, використовуючи двофакторну авторизацію, коли для доступу з нового пристрою треба отримати код на телефон.
Спочатку шахраї дізнаються номер телефону та персональні дані жертви (через відкриті джерела або через співробітників операторів за частину винагороди). Після цього блокують сімку — для цього достатньо лише подзвонити в службу підтримки, представитися і повідомити про втрату телефону. Потім треба домогтися переведення номери на свою сімку. Зробити це можна по-різному: обдуривши менеджера, вступивши у змову із співробітниками телеком-компанії або просто потрапивши на зговірливого представника служби підтримки.
Отримавши потрібні дані, шахраї встановлюють контроль над номером. Це дає їм доступ до більшості інтернет – і банківських сервісів, які використовують двофакторну аутентифікацію і до яких прив’язана сімка. В тому числі і до криптобіржам і онлайн-гаманцях.
«Важливо розуміти, що SIM-свопінг — це не тільки і не стільки про криптовалютах. Прецеденти з викраденням кріптовалюти — приватний випадок, який отримав резонанс. В цілому ж загроза набагато більш глобальна і зачіпає всі аспекти захисту персональних даних», — зауважила Катерина Малярова, кандидат юридичних наук, викладач програми додаткової освіти BCL.
Наскільки поширений SIM-свопінг?
Точних даних ніхто не знає. Стільникові оператори Росії не відповіли на наш запит.
Найбільше гучних випадків SIM-свопінгу відбулося в США. Мова йде про кілька тисяч прецедентів в рік. Судячи з усього, головна мета американських хакерів — активні члени криптосообщества, власники великих сум у криптовалютах. За словами биткоин-підприємця Джобі Вікса, він не знає жодної людини з американського крипто-ком’юніті, у якого не крали б номер. Поліція Каліфорнії навіть взяла випадки SIM-свопінгу на особливий контроль, а за даними звіту CipherTrace, SIM-свопінг — трендовий напрямок серед шахраїв в 2018 році.
Зловмисники — це, в основному, юні хакери у віці від 19 до 25 років. У липні 2018 року поліція заарештувала 20-річного студента коледжу Джоела Ортіза, який вкрав з допомогою SIM-свопінгу близько $7.5 мільйона в криптовалютах, з яких $5.2 мільйона він вкрав у підприємця з Купертіно. Всього шахрай обікрав близько 40 осіб. У квітні цього року каліфорнійський суд засудив його до 10 років в’язниці.
Також в 2018 році за SIM-свопінг заарештували:
- 19-річного Ксав’єра Нарваеза, звинуваченого в крадіжці близько $1 мільйона;
- 21-річного Ніколаса Трулья, обвинуваченого у зломі сімок декількох великих підприємців з Кремнієвої долини і крадіжці великих сум з гаманців на Coinbase і Gemini;
- 25-річного Джозефа Хандшумахера, звинуваченого у крадіжці 57 ВТС;
- 23-річного Джозефа Харріса і 21-річного Роберта Чилдерса, які звинувачуються в крадіжці допомогою SIM-свопінгу $14 мільйонів у криптовалютной компанії Crowd Machine;
- 20-річного Доусона Бейкиса, звинуваченого у 50 випадках шахрайства з використанням SIM-свопінгу.
«Цей вектор атаки досить старий, раніше його використовували для крадіжки коштів через онлайн-банкінг. SIM-карти дуже погано захищені і легко клонуються. Також легко зробити копію сім-карти у самого оператора», — зауважив Едуард Барк, співзасновник криптовалютной біржі EXMO.
Згадок про подібні арешти в Росії поки немає, але якщо ви або ваші знайомі зіткнулися з SIM-свопингом, напишіть про це в коментарях.
Чи можна повернути викрадені кошти?
Якщо хтось вкрав гроші з вашого банківського рахунку, ви, швидше за все, зможете їх повернути. Якщо шахрай отримав доступ до вашого крипто-гаманцю, вам навряд чи вдасться заповнити втрати. Адже у випадку з SIM-свопингом незрозуміло, хто повинен нести відповідальність за втрату коштів — оператор, біржа або сам власник гаманця? Наскільки нам відомо, поки що жодна біржа або оператор не компенсували збитки постраждалим їх.
«Вважаю, що ключову роль у процесі забезпечення безпеки власників SIM-карт повинна бути відведена власне не власникам, а мобільним операторам. Як показують дослідження, в значному числі випадків SIM-свопінг стає можливим завдяки внутрішнім витокам інформації, а також участі співробітників телеком-компаній в цих атаках», — зазначила Катерина Малярова.
Едуард Барк, співзасновник криптовалютной біржі EXMO, у разі доведеної крадіжки з використанням SIM-свопінгу порадивзвертатися до оператора, так як зловмисник скористався всіма даними, які користувач (нехай і не спеціально, а з необережності) йому надав».
У серпні 2018 року підприємець і CEO TransformGroup Майкл Терпін, який став жертвою шахраїв, вирішив, що повинен відповідати оператор. Він подав позов на $224 мільйони проти телекомунікаційної компанії AT&T. Терпін звинуватив провайдера в тому, що той надав хакерам можливість заволодіти його номером. У 69-сторінковому позові Терпін стверджує, що з-за двох хакерських атак з використанням SIM-свопінгу він втратив $24 мільйони. Тепер підприємець вимагає AT&T повернути викрадені кошти і виплатити компенсацію у розмірі $200 мільйонів.
Такої ж логіки дотримується і американська юридична компанія Silver Miller, яка подала арбітражні позови проти AT&T і T-Mobile від імені кількох жертв, позбулися через SIM-свопінгу $621,000, $400,000 і $250,000 в криптовалюте. Silver Miller звинувачує операторів в тому, що ті створюють сприятливі умови для шахрайства.
Як ще шахраї можуть отримати доступ до криптовалютам жертви через SIM-карти?
На жаль, SIM-свопінг не єдина загроза, що виходить від сім-карт.
Перехоплення СМС з паролем. Щоб отримати доступ до рахунків, не завжди потрібно красти номер. З допомогою протоколу Signaling System 7 (SS7) шахраї вміють перехоплювати коди і текстові послання в СМС. Ще в 2017 році Positive Technologies провели експерименти з перехоплення СМС, підключення до акаунтів Coinbase, показали, наскільки просто увійти в чужі акаунти.
Переадресація повідомлень. Шахраї можуть зламати особистий кабінет користувача на сайті оператора та налаштувати переадресацію всіх повідомлень на інший номер.
Просте злодійство. Зрештою, сімку або телефон можна просто вкрасти. Поки жертва помітить пропажу, зловмисники можуть вивести всі кошти.
Як не стати жертвою SIM-свопінгу?
Найпростіший і очевидний рада — це не прив’язувати аккаунт на сім-карті. Але, на жаль, багато сервіси вимагають номер мобільного телефону в обов’язковому порядку. У цьому випадку убезпечити свої активи і персональні дані допоможе дотримання перерахованих нижче рекомендацій.
Не вказувати публічно номер телефону, до якого прив’язані акаунти на крипто-майданчиках. Не повідомляйте цей номер нікому і ніде його не публікуйте. Це повинен бути окремий номер телефону, куплений спеціально для прив’язки до аккаунту на біржі або крипто-гаманці. Не прив’язуйте на цей номер облікові записи соцмереж, пошти або інших бірж. Один обліковий запис/гаманець — один номер.
Телефон з сімкою краще зберігати окремо, в захищеному місці. Ви повинні користуватися цим номером раз в 2-3 місяці і не забувати його поповнювати, щоб оператор не заблокував його і не віддав іншій людині.
Встановіть додатковий пароль. Щоб заблокувати сімку, достатньо зателефонувати оператору і назвати ПІБ. Але більшість операторів надають можливість встановити додатковий пароль. Тоді, якщо хтось звернеться за блокуванням сімки або її перевипуском, у нього запросять не лише ПІБ, але і пароль.
Не використовуйте двофакторну аутентифікацію. Замість неї, якщо дозволяє платформа, використовуйте спеціальну програму для двофакторної аутентифікації. Наприклад:
- Google Authenticator,
- Authy,
- Microsoft Кодів,
- Duo,
- Кодів plus.
Ці програми прив’язуються до смартфону, а не до номеру, і генерують тимчасові коди (живуть 30 секунд) для входу в аккаунт. Щоб перестрахуватися, запишіть де-небудь копію ключів від додатків аутентифікації на випадок, якщо ви втратите або зламаєте телефон. Пам’ятайте, що аутентифікацію за допомогою програми треба також поставити і на інші сервіси, прив’язані до аккаунту на біржі. Наприклад, до поштової скриньки.
Замість додатків можна також використовувати метод фізичної аутентифікації — апаратні USB і NFC ключі безпеки, наприклад, Yubikey.
«Не користуйтеся двофакторної аутентифікацією за допомогою SMS, використовуючи замість них TOTP-коди для аутентифікації, не надсилайте свій номер телефону незнайомим людям і не публікуйте його у відкритих джерелах», — порадив власникам криптовалют Едуард Барк, співзасновник криптовалютной біржі EXMO.
- Вимкніть переадресацію дзвінків. Це значно ускладнить план шахраїв отримати швидкий доступ до ваших даних.
- Зберігайте кошти на холодних автономних гаманцях, а самі гаманці — в сейфі або іншому, недоступному для сторонніх людей і хакерських атак місці.
- Оберігайте свої персональні дані. Якщо у шахраїв будуть ваші паспортні дані, скан або копія паспорта, їх шанси обдурити довірливих співробітників стільникового оператора різко зростають.
- Зберігайте анонімність. Не обов’язково бути параноїком, але не варто зайвий раз говорити, на якій біржі ви зберігаєте кошти, скільки саме у вас біткоінів і як ви купили ламбо після чергового бичачого ралі.
- Будьте пильними. Банально не залишайте телефон без нагляду. Якщо раптово пропадає зв’язок і не вийде нікуди додзвонитися, не відкладайте дзвінок оператору і блокуйте номер.
Важливо розуміти, що жоден з цих способів не є гарантією збереження активів та персональних даних. Щоб захистити свої кошти, треба використовувати увесь арсенал захисту від крипто-шахраїв.
Едуард Барк також порадив:
«Щоб уникнути втрати коштів через SIM-свопінгу або інших видів шахрайства, ми рекомендуємо включати обов’язкову повну захист облікового запису, вибір цієї позиції означає, що при зміні налаштувань профілю, виведення коштів або авторизації, крім стандартних логіна і пароля в цілях додаткового захисту будуть використані унікальні одноразові коди через Google Authenticator), не використовувати однакові паролі для пошти та персонального аккаунта, не відкривати підозрілі листи і не переходити за незнайомим посиланнях. Крім того, у нас дуже сильний антифрод-департамент, який контролює поведінку користувача, а в разі виявлення підозрілої активності може тимчасово призупинити висновок і запросити деякі дані користувача для додаткової ідентифікації».
А ви або ваші знайомі стикалися з SIM-свопингом? Напишіть в коментарях.
Дата публікації 04.05.2019
Поділіться цим матеріалом у соціальних мережах і залиште свою думку у коментарях нижче.
Be First to Comment