SIM-свопинг набирает обороты: Как владельцам биткойнов сохранить сбережения

1
ПОДЕЛИТЬСЯ

Вопреки распространённому мнению, использование номера телефона для двухфакторной аутентификации может стать причиной, по которой вы лишитесь всех своих сбережений в криптовалюте. Особенно если вы храните её на сторонних сервисах, типа криптовалютных бирж или платформах для кредитования. Изо дня в день в криптосообществе не устают повторять мантру: «Не ваши приватные ключи = не ваши криптовалюты».

В течение большей части последнего десятилетия сочетание этих двух практик (читай – ошибок) привело к росту явления под названием SIM-свопинг.

SIM-свопинг – относительно недорогой способ, для которого не нужны особые технические навыки и посредством которого злоумышленники могут заполучить контроль над всеми учётными записями жертвы. Конечно, если потенциальная жертва использует этот номер телефона для авторизации в различные сервисы, будь то электронная почта или даже криптокошелёк. Тут скорее работает социальная инженерия, нежели техническая подкованность хакера. По сути ему нужно разузнать, какие способы подтверждения личности использует мобильный оператор жертвы, и добыть немного информации о самой «мишени». И зачастую для этого достаточно узнать только лишь номер телефона.

Тут надо сделать оговорку на то, что в тех же США всё большую популярность приобретает услуга так называемых eSIM – электронных SIM-карт, которые вообще не нужно устанавливать в смартфон. Мобильный оператор просто удалённо назначает вам номер телефона. Какой бы SIM-картой вы ни пользовались, эта опасность угрожает всем, а последствия будут крайне неприятными.

Рост популярности SIM-свопинга

Нарастающая угроза мошенничества с подменой SIM-карт была выявлена исследованием, которое в январе 2020 года опубликовала группа профессоров и аспирантов факультета компьютерных наук Гарвардского университета и Центра политики в области информационных технологий Принстонского университета.

мошенник удочкой ловит сим-карту из телефона
SIM-свопер пытается украсть сим-карту потенциальной жертвы. Источник: indigodefense.com

«Злоумышленник звонит вашему оператору, притворяется вами и просит перенести обслуживание на новую SIM-карту, которая находится во власти злоумышленника, — написал Арвинд Нараянан, доцент Принстонского университета и один из авторов исследования, — Угроза достаточно серьёзная, но при этом сотни веб-сайтов и сервисов используют SMS-уведомления в качестве двухфакторной аутентификации, что подвергает риску ваши учётные записи».

В ходе исследования был протестирован протокол аутентификации пяти крупнейших мобильных операторов США — AT&T, T-Mobile, Tracfone, US Mobile и Verizon. Попытавшись произвести атаку с подменой SIM-карты на 10 различных аккаунтов каждого оператора, авторам исследования удалось выяснить, что все 5 из них используют небезопасные методы аутентификации.

«В целом эти выводы помогают объяснить столь быстрое распространение угрозы атаки с подменой SIM-карты», – подытожил Нараянан.

Ещё большую озабоченность данной проблемой провоцирует тот факт, что в ходе эксперимента удалось подменить SIM-карту даже самого Нараяна. Когда он позвонил в отдел обслуживания клиентов мобильного оператора и сообщил о мошенничестве, оператор даже был не в состоянии подтвердить его личность, так как злоумышленник уже завладел номером телефона. В конечном итоге Нараяну удалось восстановить контроль над своей «симкой», однако пришлось применить собственные же исследования и воспользоваться уязвимостью протокола оператора мобильной связи.

Просто повезло, что исследователю быстро удалось вернуть номер. После того, как хакер берёт под свой контроль SIM-карту жертвы, у него в буквальном смысле развязаны руки. Как указано в исследовании, это в значительной степени связано тем, что пользователи используют небезопасные методы аутентификации для доступа к своим сбережениям в интернете. Это может быть и SMS-уведомление, и/или двухфакторная аутентификация с кодом или посредством роботизированного звонка (очевидно, эти способы абсолютно небезопасны, так как злоумышленник уже заполучил доступ к вашему номеру телефона). К тому же большинство людей если и используют защиту с секретными вопросами, то ответы на эти вопросы зачастую достаточно просто выяснить. Как например в случае с девичьей фамилией матери.

Кроме того, исследование также выявило 17 веб-сайтов, на которых учётные записи пользователей могут быть скомпрометированы как минимум SIM-свопингом (основой для этого метода послужил набор данных с twofactorauth.org). К слову, вскоре после публикации исследования T-Mobile связалась с авторами и сообщила, что больше не подтверждает владельцев SIM-карт с помощью перечисления последних входящих звонков.

Мошенники метят на Биткойн

SIM-свопинг на слуху уже несколько лет. Однако большинство атак ориентированы на жертв из буквально нескольких категорий: знаменитости с раскрученными аккаунтами в соцсетях – вроде гендиректора Twitter Джека Дорси, – либо тех, кто владеет значительным количеством криптовалют. В ходе стремительного аптренда Биткойна в прошлом году, жертвами атак с подменой SIM-карт стали несколько владельцев крипты.

гендиректор Твиттера Джек Дорси фото
Генеральный директор сети микроблогинга Twitter Джек Дорси

Например, в декабре 2019 года криптожурналист и ведущая подкаста Лора Шин рассказала собственную историю о том, как ей «посчастливилось» стать жертвой телефонных мошенников. В конечном итоге её не смогли ограбить, но, как она сама отметила, ситуация довольно ироничная, ведь она сама ещё в 2016 году тщательно освещала эту тему и была вроде как готова к любым атакам. На поверку все её меры предосторожности оказались уязвимыми.

По некоторым предположениям, владельцы биткойнов стали лакомым кусочком для мошенников с подменой SIM-карты, так как криптовалютные транзакции навсегда записываются в блокчейн и отменить их технически невозможно. С точки зрения расследования и поиска преступников, властям гораздо проще иметь дело с обычными пользователям мобильных телефонов, нежели пытаться вернуть украденные криптовалюты (даже несмотря на то, что перемещение средств можно легко отследить в блокчейне).

При этом, в отличие от большинства счетов в интернет-банкинге, лишь несколько криптобирж – включая Coinbase, Gemini, ItBit и Binance US, – защищены страховкой FDIC, которая страхует депозиты участников на сумму до 250 000$. Это имеет определённый смысл, если рассматривать ценность Биткойна в роли децентрализованного и неизменяемого актива. Но это также означает, что никогда не стоит принимать условную безопасность криптовалют как данность.

«Жернова правосудия»

Предприниматель, инвестор и основатель первого ангельского фонда для Биткойн-энтузиастов Bitangels, Майкл Терпин, слишком хорошо понимает, о чём идёт речь.

Как он заявил в одном из интервью криптоинформационному ресурсу Bitcoin Magazine: «Жернова правосудия перемалывают медленно».

весы в суде

А всё дело в том, что Терпин слишком долго ждал правосудия по делу о краже у него $224 млн. Он подал иск на мобильного оператора AT&T после того, как отдел по работе с клиентами позволил группе хакеров завладеть номерами телефонов Терпина от операторов AT&T и T-Mobile, на которые были привязан сервисы для получения доступа к криптовалюте.

По его словам, в первый раз группа злоумышленников «обманула сотрудников точек продаж сразу двух мобильных операторов в Бостоне».

«Между этими инцидентами прошло меньше часа, и они просто передали им мои данные от обоих номеров».

За счёт этих атак они украли больше половины биткойнов с учётной записи Терпина на криптобирже. К слову, эти аккаунты Терпин заводил ещё при цене Биткойна в $100.

После этого случая Терпин попросил обоих операторов повысить уровень безопасности их систем. Как оказалось, и у AT&T, и у T-Mobile есть дополнительные сервисы в виде повышенной защиты. Однако все эти меры на поверку оказались бесполезными. К примеру, 19-летний сотрудник точки продаж AT&T в Нью-Джерси в январе 2018 года просто раскрыл данные учётной записи Терпина за взятку в $100. Таким образом группа злоумышленников похитила у предпринимателя альткойнов на $24 млн.

Всё верно, в тот день они могли заполучить только «шиткойны», однако на то время они стоили хороших денег.

И в отличие от Биткойна, украденные у Терпина альтернативные криптовалюты TRIG, SKY и STEEM просто не имели опции восстановления кошелька при наличии приватного ключа.

Несмотря на то, что Терпин пережил SIM-свопинг более двух лет назад, он заявляет, что каждую неделю с ним связывается очередная жертва мошенничества с подменой SIM-карты и просит помочь вернуть деньги.

Кто чаще всего становится SIM-свопером?

Терпин был вовлечён в судебный процесс против 21-летнего жителя Нью-Йорка Николаса Трульи, которого на тот момент обвиняли в краже $24 млн с помощью SIM-свопинга. Изначально его судили по делу о краже криптовалюты на $1 млн в эквиваленте у Росса Уайта – исполнительного директора компании StopSIMCrime.org из Кремниевой Долины.

николас трулья майкл терпин суд
SIM-свопер Николас Трулья (слева) и Биткойн-предприниматель Майкл Терпин (справа). Источник: New York Post

Терпин, судя по всему, вовремя обратил внимание на это дело, и в итоге именно Трулья компенсировал Терпину $75 млн. Как выяснилось в ходе расследования, в день атаки на телефонные номера Терпина, Трулья разослал всей своей семье и друзьям сообщения, что ему удалось украсть криптовалюту на $20 млн, и что теперь его жизнь изменится навсегда. Терпин уверен, что Трулья не действовал в одиночку, а скорее всего, входит в организованную группировку SIM-своперов из 26 человек.

Журналист-расследователь Брайан Кребс сложил вместе дело Трульи и несколько других арестованных, пытаясь сформировать характеристику среднестатистического SIM-свопера. По словам Кребса, это мужчины моложе 25 лет.

Сложный выбор между безопасностью и удобством

Аналитик безопасности в Webroot Тайлер Моффитт, списывает уязвимость владельцев биткойнов ввиду недостаточных мер безопасности мобильных операторов на постоянно отстающее законодательство.

«Когда появляются новые технологии, законы всегда тормозят. Я думаю, мы не увидим необходимых правовых актов, которые защитили бы таких пострадавших, ещё лет пять. А за это время SIM-своперы похитят очень много криптовалюты».

Моффитт – лишь один из многих, кто считает, что в дилемме безопасности и удобства большинство людей будут склоняться именно к удобству. Он уверен, что именно по такому принципы устроено большинство компаний и общество в целом.

Но как на это смотрят в правительстве? 9 января 2020 года письмо, подписанное шестью американскими законодателями, было направлено Аджит Пай, председателю Федеральной комиссии по коммуникациям (FCC). Ранее он занимал должность генерального юрисконсульта в Verizon – крупнейшего оператора сотовой связи в США. Вместе с призывом к усилению защиты от мошенничества с подменой SIM-карт мобильных абонентов в письме приведено заявление следователей из Целевой группы REACT об общем ущербе, который принёс только данный тип атаки:

Известно о более чем 3000 жертв SIM-свопинга, у которых похитили в общей сложности $70 млн. Это ущерб для всей страны.

Также, в письме поднимается вопрос о том, что хакинг становится всё более продуманным. Сейчас злоумышленники научились проникать в компьютерные сети мобильных операторов, обманывая или принуждая сотрудников запускать вредоносные программы на рабочих компьютерах, и это уже не говоря про прямой подкуп.

В конечном итоге, законодатели и авторы этого письма признают, что SIM-свопинг начинает представлять реальную угрозу национальной безопасности. Хотя бы потому, что многие сотрудники государственных служб используют различные формы двухфакторной аутентификации. По такому предположению организованная группа хакеров или злоумышленников может получить доступ к электронной почте государственных должностных лиц, а затем использовать это в своих – редко доброжелательных – интересах. Например, можно безосновательно или со злым умыслом на всю страну запускать оповещения о чрезвычайных ситуациях от имени Федерального агентства по управлению чрезвычайными ситуациями.

Терпин отправил аналогичное письмо в FCC осенью 2019 года с более конкретным запросом.

Я рекомендую FCC принудить всех американских операторов мобильной связи зашифровать пароли.

иллюстрация замок на синем фонеЭто ключевая плешь в системе безопасности операторов мобильной связи. В отличие от банков, авиалиний или отелей, где доступ разрешается или запрещается в зависимости от того, есть ли у конкретного клиента необходимый пароль или ключ, пароли всех пользователей мобильных операторов находятся в распоряжении сотрудников компаний. В частности, это устроено так, опять же, ради удобства. Ведь такая структура позволяет быстро восстановить номер телефона клиента в случае утери или повреждения SIM-карты и телефона. Однако это также обнажает очень серьёзную проблему безопасности. Особенно учитывая, что все точки продаж тех или иных операторов являются франшизами, а значит, доступ распространяется и на третьих лиц.

На этот счёт высказался Гвидо Аппенцеллер, главный директор по продуктам Yubico, компании по обеспечению безопасности аппаратного оснащения, наиболее известной благодаря изобретению YubiKey.

«Речь не только о сотрудниках телекоммуникационной компании. Каждый сотрудник розничной точки продаж – а это сторонние организации – могут получить доступ к этим базам данных. А если прибавить к этому тот факт, что среднестатистический работник точки продаж мобильного оператора получает в районе $10 в час, становится очевидно, почему их так просто подкупить.».

Владея биткойнами, необходимо знать, как себя обезопасить

В условную культуру и – с технической стороны – в код Биткойна с самого начала зашит важный нюанс. Истинная финансовая свобода влечёт за собой и новый уровень личной, финансовой и технологической ответственности. То же касается конфиденциальности и безопасности операций, однако ими часто жертвуют. Даже не столько ради удобства, сколько ради дополнительной прибыли за счёт увеличения показателей торговли и кредитования. В целом, ничто так не мотивирует, как всё большая сумма в биткойнах, которой можно очень просто лишиться. Но и недооценивать свои сбережения не стоит – ведь терять всегда неприятно.

Большинство людей не станут жертвами SIM-свопинга. Но, как предполагает Аппенцеллер, кошельки с криптовалютой на суммы от, скажем, $10 тыс. всегда будут привлекать хакеров.

При этом надо помнить, что есть и более простые, но продуманные способы украсть криптовалюту. Взять хотя бы вредоносные программы, которые умеют обходить двухфакторную аутентификацию без необходимости подменять или красть SIM-карту жертвы. Сюда входят и фишинговые сайты, как например тот, что использовался при недавнем взломе криптобиржи Binance, когда хакерам удалось украсть $41 млн.

Хорошие новости в том, что уже сейчас есть технологии, которые помогут вам оградить себя от атак с подменой SIM-карты, а также более хитрых фишинговых атак. Самый сильный и доступный для масс метод 2FA называется U2F – двухфакторная аутентификация с помощью USB. Аппенцеллер утверждает, что использование U2F ликвидирует риск SIM-свопинга, а также «фишинговых и других атак, вроде атаки посредника или загрузки вредоносных программ».

Его компания Yubico создала U2F в сотрудничестве с Google и с тех пор применяет технологию в своём флагманском продукте YubiKey. Таким образом, YubiKey можно считать эквивалентом 2FA в виде аппаратного кошелька. И на момент написания этой статьи ни один из пользователей YubiKey не становился жертвой SIM-свопинга.

Как избежать атаки с подменой SIM-карты

Руководствуясь вышеприведённой информацией можно составить список действий, которые помогут вам не стать очередной жертвой SIM-свопинга. Также, предлагаем вам мнения нескольких экспертов по безопасности и членов Биткойн-сообщества на этот счёт.

телефон с сим-картой на оранжевом фоне, sim-свопинг
Источник иллюстрации: Wired

Для начинающих и средних пользователей Биткойна

Храните биткойны в аппаратных кошельках и прекратите использовать 2FA на смартфоне. Совет от Джеймсона Лоппа, инженера-программиста из команды Bitcoin Core:

«Храните свои приватные ключи в аппаратных устройствах, желательно с поддержкой мультиподписей. Не используйте веб-кошельки, поскольку у них слишком много уязвимостей перед злоумышленниками. Используйте аппаратную двухфакторную аутентификацию во всех веб-приложениях, которые это поддерживают. Желательно не использовать 2FA по SMS, а также возможность сброса/восстановления пароля к какому-либо приложению посредством телефона».

Если вы не перемещаете биткойны часто, то не храните их на биржах. Для большей убедительности можете проштудировать интернет на предмет взломов и экзит-скамов криптобирж только за последнюю пару лет. По возможности обсудите с представителем мобильного оператора, каким образом вы можете повысить безопасность своей SIM-карты. И лучше использовать 2FA в виде приложения, на которое вы установите собственный пароль для входа. Это же подтверждает и совет Тайлера Моффитта:

«Вы можете попросить оператора повысить уровень безопасности вашего телефонного номера. И не используйте аутентификацию по SMS. Используйте для этого приложения, вроде Google Authenticator или Authy».

Для тех, кто пользуется SIM-картами по удостоверению личности (большинство из нас)

Ещё раз перечитайте политику безопасности своего мобильного оператора и других сервисов, которыми пользуетесь в интернете. Вы даже можете попробовать самостоятельно взломать свои учётные записи.

«Я думаю, что вопрос нужно ставить более глубокий: зачем мы вообще продолжаем использовать номера телефонов? Просто попробуйте авторизоваться во все ваши сервисы, используя номер телефона. Если у вас получится, значит, вы потенциальная жертва SIM-свопера», — Мэтт Оделл, Биткойн-предприниматель и соучредитель CoinPrices.io. Он также интересуется темой кибербезопасности.

Для тех, кто думает, что биткойны можно спасти одним лишь аппаратным кошельком

Вместе с Биткойн-кошельками всегда желательно использовать менеджеры паролей. Регулярно проверяйте, можете ли вы без привлечения дополнительных средств авторизоваться в свои кошельки.

«Я использую менеджер паролей, это отличная практика. Все, с кем я работаю, используют менеджер паролей», — Гвидо Аппенцеллер

 

«Что касается управления паролями и ключами, я использую надёжный менеджер паролей с несколькими зашифрованными резервными копиями на USB-носителях. По крайней мере, одна копия лежит дома, другая вне дома. Я всегда беру с собой копию в путешествия и периодически проверяю работоспособность. Основная часть моей заначки хранится на аппаратных кошельках, и ещё немного в кошельке Bitcoin Core, с которого я пополняю Casa, мобильные приложения, пользуюсь сетью Lightning и т. д.», — Гай Свон, ведущий подкаста Cryptoconomy

Лучший уровень защиты при сохранении относительного удобства использования

Купите себе хоть один YubiKey, они не такие уж и дорогие.

«Купите несколько YubiKeys (на всякий случай) и по возможности используйте их для 2FA. Многие менеджеры паролей поддерживают YubiKey 2FA, и многие веб-приложения сейчас поддерживают U2F 2FA. Эти два устройства можно подружить между собой. Если веб-приложение поддерживает только коды TOTP, вы все равно можете защитить такие данные на YubiKey, используя приложение Yubico для аутентификации», — Джеймсон Лопп

Отражаем более сложные атаки

Занесите важные страницы с чувствительными данными в закладки, и пользуйтесь ими.

«Взлом Binance – отличный пример того, как может навредить 2FA. Конкретно в той ситуации люди просто каждый раз вбивали Binance в поисковую строку браузера и нажимали по первым ссылками, которые оказались рекламой фишинговых сайтов от злоумышленников. Поэтому, чтобы не попадать на такие фейки, сохраните ссылки на страницы», — Тайлер Моффитт

Кроме того, не забывайте постоянно черпать новую информацию по теме мошенничества с подменой SIM-карт. Это поможет вам быть в курсе возникновения очередных злоумышленников и не попасть в их сети. Также, не будет лишним периодически анализировать нововведения в законах вашей страны, ведь возможно наказание и способы решения вашей проблемы уже были предусмотрены, и даже при самом страшном исходе вы сможете получить хоть какую-то компенсацию.

Источник

1 КОММЕНТАРИЙ

  1. «Например, можно безосновательно или со злым умыслом на всю страну запускать оповещения о чрезвычайных ситуациях от имени Федерального агентства по управлению чрезвычайными ситуациями»

    Еще более вероятен корыстный умысел. Наведение ложной паники даже в одной узкой области экономики, причем всего лишь на несколько минут, может здорово обогатить тех, кому удастся провернуть такое. Предварительно зашортив деривативы с хорошим рычагом и на хорошую сумму, манипуляторы откупят их на спровоцированном ими же простреле. Один такой «удар» — и можно всю жизнь не работать.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here