Ipinapaliwanag ng CoinDesk ang SIM Jacking

Ngayon, sinisira namin ang mga pag-atake sa SIM card sa paraang maiintindihan ng iyong lolo, ipinakita sa parehong format na AUDIO at full-text.

Para sa maagang pag-access bago ang aming regular na tanghali sa Eastern time release, mag-subscribe sa Mga Apple Podcasts, Spotify, Mga Pocketcast, Mga Google Podcasts, Castbox, mananahi, RadioPublica o RSS.

Sa pantheon ng Crypto hacks, ang "SIM jacking" ay ONE sa pinakamasama. Ang hack, na hindi gaanong hack at mas social engineering, ay karaniwang isang paraan ng pagnanakaw ng pagkakakilanlan, kung saan pinapalitan ng attacker ang SIM card ng biktima nang malayuan, kadalasan sa tulong ng carrier ng iyong cell-phone, at pagkatapos ay papasok sa email ng biktima, Crypto, mga bank account, karaniwang lahat ng bagay na talagang T mong pasukin ng isang tao. At ang mga kahihinatnan ay maaaring maging kakila-kilabot, ito rin ay naka-net sa mga umaatake ng sampu-sampung milyon sa pagnakawan sa nakalipas na ilang taon.

Ito ay mapangahas ngunit ito ay maiiwasan din, na may kaunting kamalayan.

Sa episode na ito ng CoinDesk Explains, ipinaliwanag ng mga editor ng CoinDesk na sina Adam B. Levine at John Biggs ang pag-atake, kung ano ang maaaring maging kahulugan nito Para sa ‘Yo, kung paano ito gumagana at kung ano ang maaari mong gawin upang maiwasan ito sa paraang maiintindihan kahit ni John. Espesyal na salamat sa security guru Ralph Echemendia para sa payo sa podcast ngayon.

Para sa maagang pag-access bago ang aming regular na tanghali sa Eastern time release, mag-subscribe sa Mga Apple Podcasts, Spotify, Mga Pocketcast, Mga Google Podcasts, Castbox, mananahi, RadioPublica o RSS.

Transcript

Adam: Sa pantheon ng Crypto hacks, ang “SIM jacking” ay ONE sa pinakamasama. Ang hack, na hindi gaanong hack at mas social engineering, ay karaniwang isang paraan ng pagnanakaw ng pagkakakilanlan, kung saan pinapalitan ng attacker ang SIM card ng biktima nang malayuan, kadalasan sa tulong ng carrier ng iyong cell-phone, at pagkatapos ay papasok sa iyong email, Crypto, mga bank account, karaniwang lahat ng bagay na talagang T mong pasukin ng isang tao. Ito ay mapangahas ngunit ito ay maiiwasan din na may kaunting kamalayan. At ang mga kahihinatnan ay maaaring maging kakila-kilabot, ito rin ay naka-net sa mga umaatake ng sampu-sampung milyon sa pagnakawan sa nakalipas na ilang taon.

John: Maligayang pagdating sa CoinDesk Explains, isang paminsan-minsang serye mula sa Markets Daily team kung saan kami ay naghihiwalay at ginalugad ang kumplikadong mundo ng Blockchains at Cryptocurrencies tulad ng Bitcoin. Ako si John Biggs...

Adam: ...at ako si Adam B. Levine. Sa mundo ngayon na mahigpit na konektado, palaging nakakapagod na mawala ang iyong telepono, ngunit kapag idinagdag mo ang "iyong pera" sa pangungusap na iyon, mas masakit ito.

Kaya sa pagkakataong ito pinag-uusapan natin kung paano nawala ang mga telepono ng ilang tao [at], sa tulong ng ilang matalinong social engineering, kung minsan ay sampu-sampung milyong dolyar kasama nito.

Adam: So John, naranasan mo mismo ito, tama?

John: Talagang. Noong 2017, pinalitan ng ilang jackass ang SIM card nila sa akin, sa palagay ko sa pamamagitan ng pagtawag sa T-Mobile at pagpapanggap na ako. Para silang, "Hello, ito si John Biggs, na-upgrade ko ang aking telepono o isang bagay at kailangan mong ilipat ang serbisyo sa aking bagong telepono." Ngayon, malinaw na hindi ako ang tumatawag, ngunit malamang na naniwala ang T-Mobile sa kanila at ginawa ito.

AT NGAYON ISANG DRAMATIC RE-ENACTMENT, NA TAMPOK SI JOHN BIGGS BILANG PHONE COMPANY REP AT ADAM B. LEVINE BILANG PEKENG JOHN BIGGS.

John: Salamat sa pagtawag sa iyong kumpanya ng telepono, paano kita matutulungan ngayon?

Adam: Kumusta, oo, ako si John Biggs at kailangan kong i-activate mo ang aking bagong SIM card.

John: Ikinagagalak kong tulungan ka niyan. Maaari mo bang i-verify ang iyong account gamit ang iyong numero ng Social Security, uri ng iyong dugo at laki ng iyong sapatos?

Adam: Sa totoo lang hindi, nagmamadali ako at kailangan mo lang akong tulungan.

John: Paumanhin sir, T kita matutulungan kung T mo ma-verify ang iyong account.

Adam: Darn, OK, tatawag ako mamaya.

LUMIPAS ANG DALAWANG ORAS

John: Kumusta, ito ay isa pang REP mula sa iyong kumpanya ng telepono. Paano kita matutulungan?

Adam: Kumusta, ako si John Biggs at kailangan mong i-activate ang aking bagong telepono.

John: Maaari mo bang i-verify ang iyong account?

Adam: Hindi.

John: Ayos lang, hayaan mo akong gumawa ng pagbabago ngayon.

WAKAS

John: Ito ay medyo madali. Ang totoong trick ay kung T ka magtagumpay sa unang REP, maaari kang tumawag muli sa karaniwang walang limitasyong bilang ng beses hanggang sa mawala ang suporta ng kumpanya ng iyong telepono, makalimutan ang protocol ng seguridad at sumang-ayon na gawin ang pagbabago. At ang mga taong ito ay talagang matalino, na may tulad ng umiiyak na mga tunog ng sanggol sa background at iba pa.

Adam: Iyan ang bahagi ng social engineering. Walang sinuman ang aktwal na nagha-hack o umaatake sa iyong telepono mismo, sinasamantala nila ang katotohanang nais ng suporta ng T-Mobile na tulungan ka, o hindi bababa sa hindi ka sinisigawan ng sobra. Kaya't kapag may tumawag at nagpanggap na ikaw, sa halip ay maaari silang tumulong sa isang taong sumusubok na magnakaw mula sa iyo. So anong nangyari?

John: Oo, binili ito ng aking carrier, at tinulungan sila sa pamamagitan ng pag-activate ng kanilang bagong telepono gamit ang aking kasalukuyang numero. Iyon naman, isara ang mga serbisyo ng network sa aking telepono at, ilang sandali pa, pinayagan ang hacker na baguhin ang karamihan sa aking mga password sa Gmail, aking password sa Facebook at mag-text sa ngalan ko.

Adam: Ok, kaya ngayon nasa kanila ang iyong cell phone, natatanggap nila ang iyong mga tawag sa telepono, natatanggap nila ang iyong mga text message at T ka. Ngunit paano nila nabibigyan ng kakayahang baguhin ang lahat ng mga password na iyon?

John: Halos lahat ng serbisyo mula sa Gmail hanggang Facebook hanggang Coinbase hanggang BYNANCE ay nag-aalala na hindi ka gagawa ng magandang trabaho sa pamamahala ng iyong mga password. Kaya gumawa sila ng isang bagay na mas insecure sa pamamagitan ng pagdaragdag ng two-factor authentication sa pamamagitan ng text message. Maraming mga kumpanya ang huminto dito, ngunit ito ay isang malaking butas pa rin.

Adam: Kaya nung naging phone nila ang phone mo, ngayon sila na ang makakapag-reset ng password mo.

John: Tama iyan. Ang lahat ng dalawang-factor na notification ay napunta, bilang default, sa aking numero ng telepono, na ngayon ay kanilang numero ng telepono, kaya wala akong natanggap na mga abiso at sa halos dalawang minuto ay na-lock ako sa aking digital na buhay.

Adam: Aray.

John: Oo... Napansin ko ang lahat ng ito sa mga 10 p.m. at maswerte ako. Alam ko kung ano ang nangyayari at tinawag akong T-Mobile. Pagsapit ng 10:30 p.m. Ni-reset ko ang aking lumang SIM at sinimulan ang proseso ng pagpapalit ng lahat ng aking password at pagpapatigas ng aking two-factor account at T-Mobile account.

Adam: May nakuha ba sila?

John: Kaya, ito ay isang nakakatawang kuwento. Isang linggo bago ako may kausap sa Crypto sa Facebook. Nakalimutan ko kung ano. Kaya pagkaraan ng ilang araw, nakatanggap ako ng mensahe mula sa taong iyon sa Facebook Messenger na nagsasabing, "Uy, nasa isang masamang sitwasyon ako sa pananalapi at T ako makapunta sa aking Crypto. Maaari mo ba akong padalhan ng anim Bitcoin nang tama at ipapadala ko sa iyo ang walo bukas?"

At ako ay tulad ng "Huh, mukhang magandang deal!"

Adam: Nagpadala ka ba ng Bitcoin?

John: Sa kabutihang palad, hindi, ngunit iyon ang MO. Noong na-lock ako sa aking mga account, nagpanggap ang mga hacker na ako at hiniling sa aking mga kaibigan na magpadala sa kanila ng Bitcoin. Ang ONE sa kanila ay nag-text sa ONE sa aking mga kaibigan at sinabing, “Kung T ko makuha ang Crypto na ito ngayon, tatanggalin nila ang plug sa aking ama sa ospital.” Nalaman nilang may sakit ang tatay ko. At ang kaibigang Crypto ay parang “Uh, oo, hindi ganyan ang trabaho ng mga ospital.”

Adam: Grabe naman.

Nagkaroon din ng kaso ni Nicholas Truglia, isang 21-taong-gulang na New Yorker na nang-hijack ng maraming telepono at talagang nagnakaw ng milyun-milyong dolyar. Ayon sa mga dokumento ng korte, si Truglia ay sinasabing nagnakaw mula sa kanyang ama at maging sa isang patay na tao.

Kapansin-pansin, nakuha ni Truglia si Michael Terpin, isang mamumuhunan ng Cryptocurrency . Ginamit niya ang ONE sa mga socially engineered SIM swaps na ito sa telepono ni Terpin para magnakaw ng $24 milyon sa Crypto, na humantong sa pagbubukas ni Terpin ng $200 milyong demanda laban sa kanyang cell phone provider, AT&T.

John: Magkano ang mayroon sa lalaking ito? Ayon sa mga dokumento ng korte, marami siyang Trezors. "Ang ONE ay may higit sa $40 milyon na halaga ng pera ng iba't ibang cryptos, at ang ONE ay may higit sa $20 milyon na halaga ng pera ng iba't ibang cryptos." Nakakabaliw.

Adam: So paano ka lalaban?

John: Ang aking kaibigan na si Ralph, CEO ng Seguru at ang tech guy ni Oliver Stone, ay may ilang mga ideya. Kinausap ko siya ngayon tungkol sa pagprotekta sa iyong sarili mula sa mga hack sa SIM.

Adam: So two-factor everything, pero hindi na may mga text message.

John: Siguradong. Huwag umasa sa iyong telepono para sa seguridad. Ito ay masyadong mapanganib. Palaging gumamit ng non-SMS-based na 2-factor na kontrol.

Adam: Na-hack ka ba kamakailan?

Zohn: <BIGLANG NAGD-DIALING MULA SA TELEPHONE> Not that I can tell.

Adam: Teka, tumatawag ka ba mula sa iyong telepono?

Zohn: Oo... Magtiwala ka sa akin, Adam. Magtiwala ka sa akin. Oo nga pala Adam, pwede ba akong humiram ng dalawang Bitcoin hanggang bukas? Babayaran kita ng tatlong Bitcoin sa umaga.

<ANG TUNOG NG FAILURE>