Dwudziestoletni student z Bostonu został aresztowany w połowie lipca za współtworzenie zorganizowanej grupy przestępczej, która dokonała kradzieży Bitcoina (BTC) i innych kryptowalut o łącznej wartości ponad 5 mln dolarów. Złodzieje wykorzystali dotąd mało znaną, lecz coraz częściej wykorzystywaną metodę uzyskania dostępu do telefonów komórkowych ofiar, zwaną SIM hijacking. Jak dotąd jest to największa kradzież za pomocą tej metody.
Na czym polega atak?
SIM hijacking, określany również jako SIM swapping, to metoda oszustwa i kradzieży uprawnień przy wykorzystaniu tzw. inżynierii społecznej, polegająca na namierzeniu i przejęciu numeru telefonu ofiary, a konkretnie dostępu do jej karty SIM. Przejęcie numeru odbywa się najczęściej za pośrednictwem biura obsługi klienta operatora komórkowego ofiary - atakujący, który wcześniej zebrał podstawowe dane osobowe na temat właściciela numeru, kontaktuje się z obsługą klienta, podszywając się pod ofiarę. Złodziej przekonuje pracownika obsługi, że zgubił kartę SIM, uwierzytelniając się danymi zebranymi na temat ofiary (np. adres zamieszkania, nr ubezpieczenia) i prosi o przeniesienie numeru na nową kartę SIM, która jest w posiadaniu atakującego. W taki sposób złodziej przechodzi przez najtrudniejszy etap ataku, który wymaga zmanipulowania pracownika obsługi operatora komórkowego.
Kolejny etap jest znacznie prostszy, jednak wymaga od złodzieja szybkiego i dokładnie zaplanowanego działania. W momencie przeniesienia numeru na nową kartę SIM (należącą do atakującego), ofiara traci możliwość wykonywania połączeń w swoim telefonie. Złodzieje mają niewiele czasu na to, aby za pomocą dostępu do nr telefonu ofiary zresetować hasła do wybranych serwisów, a także w skrajnych przypadkach obejść dwustopniową autoryzację, gdy ofiara ataku jako metodę odzyskiwania wybrała kod wysyłany na nr telefonu. Początkowo ataki SIM hijackingu były skierowane głównie na użytkowników portali społecznościowych, takich jak Instagram i Twitter (dokładnie w taki sposób zhackowano w grudniu zeszłego roku konto Johna McAfee na Twitterze) od niedawna jednak hackerzy skupili się na kradzieży środków swoich ofiar ulokowanych na giełdach kryptowalut.
Ponad 5 mln dolarów w kryptowalutach
Wg wstępnego dochodzenia oskarżony dwudziestolatek, wraz z członkami grupy, dokonali ok. 40 opisanych powyżej ataków przejęcia nr telefonu, kradnąc łącznie ponad 5 mln dolarów.
Grupa przestępcza skupiała się wyłącznie na osobach posiadających kryptowaluty i mających aktywne konta na giełdach kryptowalut. Szczególnie aktywni byli podczas nowojorskiej konferencji Consensus 2018 w maju, będącej jednym z największych wydarzeń branży blockchain. Podczas jej trwania atakujący zdołali za pomocą przejęcia nr telefonu okraść jednego z kryptowalutowych przedsiębiorców na kwotę ok. 1.5 mln dolarów (była to duża część środków zebranych podczas przeprowadzonego przez niego ICO)
Poszukiwania złodziei rozpoczęły się po tym, gdy jedna z ofiar zgłosiła fakt dwukrotnej kradzieży jej nr telefonu na policję.
Amerykańskie organy ścigania dzięki pomocy największego operatora telekomunikacyjnego, jakim jest AT&T, uzyskały informację o numerach IMEI telefonów wykorzystywanych przez atakujących do dokonywania kradzieży kart SIM. Dzięki temu, śledczym udało się powiązać z nr IMEI adresy mailowe należące do dwudziestoletniego studenta i tym samym odkryć jego tożsamość.
Złodziej do upłynnienia skradzionych środków, wartych ponad milion dolarów, wykorzystywał najpopularniejsze giełdy kryptowalut, takie jak Binance, Bittrex oraz Coinbase. Łącza kwota kradzieży dokonanych przez całą grupę przestępczą przekracza 5 mln dolarów.
Ataki coraz częstsze
Sfera kryptowalut, wraz ze zwiększeniem swojej popularności i napływem kapitału, stała się ofiarą nasilających się i coraz bardziej pomysłowych ataków i wyłudzeń.
Pomijając ataki na same giełdy kryptowalut, z których jak dotąd największy opiewał na sumę ponad 400 mln dolarów (w kryptowalucie Nem na giełdzie Coincheck), a także ataki cryptojackingu, które bezprawnie wykorzystują moc obliczeniową ofiar najczęściej do kopania Monero, coraz popularniejsze są ataki wykorzystujące inżynierię społeczną (ang. social engineering). Polegają one na podszywaniu się i manipulowaniu ofiarami w celu uzyskania dostępu do ich danych lub środków pieniężnych. Tego typu ataki nie łamią żadnych zabezpieczeń, a jedynie wykorzystują niewiedzę, brak czujności i łatwowierność ofiar.
Czytaj także: Ile można zarobić nielegalnie kopiąc Monero?
Jednym z popularnych przykładów ataków tego typu był phishing, polegający na podszywaniu się m.in. pod pracowników obsługi giełdy kryptowalut, a także wysyłanie maili mistyfikujących automatyczne wiadomości od giełdy, które za pomocą linków odsyłały do fałszywych kopii witryn giełdowych, które przejmowały dane do logowania użytkowników.
Jeszcze bardziej wyrafinowane ataki, dotyczące nie tylko klientów giełd kryptowalut, mają miejsce w Polsce, gdzie masowo wysyłane są wzbudzające zainteresowanie wiadomości (np. jako wezwanie do zapłaty) z załącznikami, które uruchamiają na komputerze ofiary złośliwy skrypt. Opis jednej z głośniejszych sytuacji tego typu:
Czytaj także: Uwaga na wirus atakujący klientów BitBay, banków i portfele kryptowalutowe!
