CoinDesk explica el robo de tarjetas SIM

Hoy vamos a desglosar los ataques a tarjetas SIM de una manera que incluso tu abuelo podrá entender.,Presentado tanto en formato de AUDIO como de texto completo.

Para acceder anticipadamente antes de nuestros lanzamientos habituales del mediodía (hora del Este), suscríbase conPodcasts de Apple,Spotify,Pocketcasts,Podcasts de Google,Caja de fundición,Grapadora,RadioPública o RSS.

En el panteón de los hackeos de Cripto , el "jacking de SIM" es ONE de los peores. Este hackeo, que es más ingeniería social que un hack, es básicamente una forma de robo de identidad: el atacante intercambia la tarjeta SIM de la víctima de forma remota, generalmente con la ayuda de su operador de telefonía móvil, y luego accede ilegalmente a su correo electrónico, Cripto, cuentas bancarias, básicamente todo lo que no quiere que alguien acceda. Las consecuencias pueden ser nefastas; además, ha generado decenas de millones de dólares en botín para los atacantes en los últimos años.

Es una acción audaz, pero también se puede prevenir con un poco de concienciación.

En este episodio de CoinDesk Explains, los editores de CoinDesk , Adam B. Levine y John Biggs, explican el ataque, qué podría significar Para ti, cómo funciona y qué puedes hacer para prevenirlo de una manera que incluso John podría entender. Agradecimientos especiales al experto en seguridad. Ralph Echemendiapara los consejos en el podcast de hoy.

Para acceder anticipadamente antes de nuestros lanzamientos habituales del mediodía (hora del Este), suscríbase conPodcasts de Apple,Spotify,Pocketcasts,Podcasts de Google,Caja de fundición,Grapadora,RadioPública o RSS.

Transcripción

AdánEn el panteón de los hackeos de Cripto , el "jacking de SIM" es ONE de los peores. Este hackeo, que es más ingeniería social que un hack, es básicamente una forma de robo de identidad: el atacante intercambia la tarjeta SIM de la víctima de forma remota, generalmente con la ayuda de su operador de telefonía móvil, y luego accede a su correo electrónico, Cripto, cuentas bancarias; básicamente, todo lo que definitivamente no quiere que alguien acceda. Es audaz, pero también se puede prevenir con un poco de conciencia. Y las consecuencias pueden ser nefastas; además, ha generado decenas de millones de dólares en botín para los atacantes en los últimos años.

John: Bienvenidos a CoinDesk Explains, una serie ocasional del equipo de Mercados Daily donde analizamos y exploramos el complejo mundo de las cadenas de bloques y las criptomonedas como Bitcoin. Soy John Biggs...

Adán:...y yo soy Adam B. Levine. En el mundo tan conectado de hoy, siempre es un fastidio perder el teléfono, pero cuando a eso le sumas "tu dinero", es aún más doloroso.

Así que esta vez vamos a hablar de cómo algunas personas han perdido sus teléfonos [y], con la ayuda de una ingeniosa ingeniería social, a veces decenas de millones de dólares junto con ellos.

Adán:Entonces, John, experimentaste esto de primera mano, ¿verdad?

John: Absolutamente. En 2017, un imbécil cambió su tarjeta SIM por la mía, supongo que llamando a T-Mobile y haciéndose pasar por mí. Me dijeron: "Hola, soy John Biggs, cambié mi teléfono o algo así y necesito que me transfieran el servicio". Está claro que no fui yo quien llamó, pero T-Mobile debió de creerles y lo hizo posible.

Y AHORA UNA RECREACIÓN DRAMÁTICA, CON JOHN BIGGS COMO EL REP DE LA COMPAÑÍA TELEFÓNICA Y ADAM B. LEVINE COMO EL FALSO JOHN BIGGS.

John:Gracias por llamar a su compañía telefónica, ¿cómo puedo ayudarle hoy?

Adán:Hola, sí, soy John Biggs y necesito que actives mi nueva tarjeta SIM.

JohnCon gusto te ayudaré con eso. ¿Podrías verificar tu cuenta con tu número de Seguro Social, tu tipo de sangre y tu talla de calzado?

Adán:En realidad no, tengo mucha prisa y solo necesito que me ayudes.

John: Lo siento señor, no puedo ayudarlo si no puede verificar su cuenta.

Adán:Maldita sea, vale, te llamo más tarde.

DOS HORAS DESPUÉS

John: Hola, soy otro REP de su compañía telefónica. ¿Cómo puedo ayudarle?

Adán:Hola, soy John Biggs y necesito que actives mi nuevo teléfono.

John: ¿Puedes verificar tu cuenta?

Adán:No.

John: Está bien, déjame hacer ese cambio ahora.

FIN

JohnEs así de fácil. El truco está en que, si no tienes éxito con la primera REP, puedes volver a llamar prácticamente un número ilimitado de veces hasta que el soporte de tu compañía telefónica cometa un desliz, olvide el protocolo de seguridad y acepte hacer el cambio. Y estos chicos son muy listos, con sonidos de bebé llorando de fondo y cosas así.

AdánEsa es la parte de la ingeniería social. En realidad, nadie está hackeando ni atacando tu teléfono; se aprovechan de que el soporte de T-Mobile quiere ayudarte, o al menos evitar que les grites demasiado. Así que, cuando alguien llama haciéndose pasar por ti, puede acabar ayudando a alguien que intenta robarte. ¿Y qué pasó?

John:Sí, mi operador lo compró y les ayudó activando su nuevo teléfono con mi número actual. Eso, a su vez, cortó la cobertura de mi teléfono y, momentos después, permitió que el hacker cambiara la mayoría de mis contraseñas de Gmail, mi contraseña de Facebook y la de enviar mensajes de texto en mi nombre.

Adán: Bien, ahora tienen tu celular, reciben tus llamadas, reciben tus mensajes de texto, y tú no. ¿Pero cómo les da eso la capacidad de cambiar todas esas contraseñas?

John:Casi todos los servicios, desde Gmail hasta Facebook, Coinbase y BYNANCE, temen que no gestiones bien tus contraseñas. Por eso, hicieron algo aún más inseguro al añadir la autenticación de dos factores por mensaje de texto. Muchas empresas lo han dejado, pero sigue siendo una gran brecha.

Adán:Entonces, cuando su teléfono se convirtió en su teléfono, ahora eran ellos quienes podían restablecer su contraseña.

JohnAsí es. Todas las notificaciones de doble factor se enviaban, por defecto, a mi número de teléfono, que ahora era el suyo, así que no recibí ninguna notificación y en unos dos minutos me quedé sin acceso a mi vida digital.

Adán:¡Ay!

John:Sí... Me di cuenta de todo esto sobre las 10 p. m. y tuve suerte. Sabía lo que pasaba y llamé a T-Mobile. A las 10:30 p. m., restablecí mi antigua tarjeta SIM y comencé el proceso de cambiar todas mis contraseñas y reforzar mis cuentas de doble factor y mi cuenta de T-Mobile.

Adán¿Consiguieron algo?

JohnEsta es una historia curiosa. Una semana antes, estaba hablando con alguien del Cripto en Facebook. No recuerdo de qué se trataba. Unos días después, recibí un mensaje de ese tipo en Facebook Messenger que decía: "Oye, estoy en una situación financiera muy mala y no puedo acceder a mis Cripto. ¿Puedes enviarme seis Bitcoin ahora mismo y te envío ocho mañana?".

Y yo digo: "¡Vaya, eso parece un buen trato!"

Adán¿Enviaste el Bitcoin?

JohnPor suerte, no, pero ese era el modus operandi. Cuando me bloquearon las cuentas, los hackers se hicieron pasar por mí y les pidieron a mis amigos que les enviaran Bitcoin. ONE de ellos le envió un mensaje a ONE de mis amigos: «Si no consigo estas Cripto ahora mismo, le desconectarán a mi papá en el hospital». Habían descubierto que mi papá estaba enfermo. Y el amigo que Cripto dijo: «Ah, sí, así no funcionan los hospitales».

Adán:Eso es horrible.

También se conoció el caso de Nicholas Truglia, un neoyorquino de 21 años que secuestró varios teléfonos y robó millones de dólares. Según documentos judiciales, Truglia presuntamente le robó a su padre e incluso a un difunto.

En particular, Truglia atrapó a Michael Terpin, un inversor en Criptomonedas . Usó ONE de estos intercambios de SIM manipulados socialmente con el teléfono de Terpin para robar $24. millón en Cripto, lo que llevó a Terpin a abrir una cuenta de $200demanda de un millón de dólares contra su proveedor de telefonía móvil, AT&T.

John¿Cuánto tenía este tipo? Según documentos judiciales, tenía varios Trezors. "ONE tenía más de 40 millones de dólares en efectivo en diversas criptomonedas, y el ONE más de 20 millones de dólares en efectivo en diversas criptomonedas". ¡Qué locura!

AdánEntonces, ¿cómo contraatacas?

John:Mi amigo Ralph, director ejecutivo de Seguru y técnico de Oliver Stone, tiene algunas ideas. Hablé con él hoy sobre cómo protegerse de los hackeos de tarjetas SIM.

Adán:Así que todo es de dos factores, peronocon mensajes de texto.

John:Por supuesto. Nunca dependas de tu teléfono para tu seguridad. Es demasiado peligroso. Usa siempre un control de dos factores que no sea SMS.

Adán:¿Te han hackeado recientemente?

Zohn:<MARCANDO DE REPENTE DESDE UN TELÉFONO> No es que yo pueda decirlo.

Adán:Espera, ¿me estás llamando desde tu teléfono?

Zohn: Sí... Créeme, Adam. Créeme. Por cierto, Adam, ¿me prestas dos Bitcoin hasta mañana? Te devuelvo tres Bitcoin mañana.

<EL SONIDO DEL FRACASO>