Ang FTX Hack: Ang Hindi Nalutas na SIM Swap Mystery

Ang Kagawaran ng Hustisya kamakailan, tahimik na nabuklod isang sakdal na ang ilang mainstream at Crypto media platform ay mabilis na kinuha at iniulat bilang mga singil na "nakalutas" sa misteryo ng $400 milyong pagnanakaw ng Cryptocurrency na dating hawak ng gumuhong crypto-exchange FTX.

Ang sakdal ay hindi iyon. Ngunit ito ay sumasalamin sa lumalaking regulasyon at pang-ekonomiyang alalahanin na kinakaharap ng parehong on- at off-shore na mga kumpanya ng Cryptocurrency . Ang pandaraya sa "SIM swap" na di-umano'y nagta-target sa FTX, noong Nobyembre 2022, ay halos isang panimulang tool na "pag-hack" - ONE batay sa pagnanakaw ng pagkakakilanlan at maling pagpapanggap ng isang may-ari ng account sa pananalapi - na higit sa lahat ay nagta-target sa mga kumpanyang nagbibigay ng mas lumang dalawa o multi-factor na pagkakakilanlan ("2FA" at "MFA," ayon sa pagkakabanggit) ng mga proteksiyon sa Privacy ng mga kliyente at mga kliyente nila.

Ang mga pederal na regulator sa US ay lalong nakikiramay sa mga panganib na dulot ng mga system na umaasa sa mga pamamaraan ng proteksyon sa Privacy na mahina sa pagpapalit ng SIM. Ang Federal Communications Commission ay nagpapatuloy ng mga bagong panuntunan habang ang kamakailang mga regulasyon sa cybersecurity ng SEC ay malamang na nangangailangan ng mga kumpanya na itaas ang kanilang Privacy game sa harap ng partikular na banta na ito. Sa katunayan, ang SEC ay higit na nauudyok ngayon, marahil, dahil sa sarili nitong kamakailang SIM swap fiasco.

Mga bagong singil at ang mga hacker ng FTX

Noong Enero 24, 2024, ang Opisina ng Abugado ng Estados Unidos para sa Distrito ng Columbia ay naglabas ng isang sakdal, na may caption na United States v. Powell, et al., kasunod ng pag-aresto sa ilan sa mga nasasakdal na pinangalanan sa kasong iyon. Gaya ng pinaghihinalaang, nagtulungan sina Robert Powell, Carter Rohn, at Emily Hernandez upang makakuha ng ninakaw na personal na pagkakakilanlan ng impormasyon (“PII”) ng higit sa 50 biktima.

Pagkatapos ay ginamit ng trio ang ninakaw na impormasyon na iyon para gumawa ng mga maling dokumento ng pagkakakilanlan para sa layuning linlangin ang mga provider ng telecom na palitan ang cellular telephone account ng biktima ng pagnanakaw ng pagkakakilanlan sa isang bagong device na hawak ng mga nasasakdal o ng hindi pinangalanang "mga kasabwat" kung saan ipinagbili ng trio ng mga nasasakdal ang ninakaw na PII.

Ang scheme ay umaasa sa muling pagtatalaga ng numero ng telepono ng mga biktima sa isang pisikal na telepono na kinokontrol ng isang kriminal na aktor, na nangangailangan ng paglipat o pag-port ng numero ng mga biktima (at, sa esensya, pagkakakilanlan) sa Subscriber Identity Module, o “SIM,” card na pisikal na hawak sa bagong device ng kriminal na aktor. Ito ay tinutukoy bilang isang "SIM swap" scheme.

Sa pamamagitan ng SIM swap scheme na pinaghihinalaang sa United States v. Powell, ang mga nasasakdal at hindi pinangalanang co-conspirator ay mapanlinlang na nag-udyok sa mga wireless telecom provider na muling italaga ang mga numero ng cell phone mula sa SIM card ng lehitimong user sa kinokontrol ng mga nasasakdal o ng mga hindi pinangalanang co-conspirator. Pagkatapos ay pinayagan ng SIM swap ang Powell trio at ang iba pa na ma-access ang mga electronic account ng mga biktima sa iba't ibang institusyong pampinansyal upang magnakaw ng mga pondo mula sa mga account na iyon.

Ang pangunahing benepisyo sa mga nasasakdal ng SIM swap ay ang kakayahang humarang sa mga bago at mapanlinlang na device na mensahe mula sa mga financial account na naglalayong patunayan na ang taong nag-a-access sa account ay ang lehitimong may-ari ng account. Karaniwan, kung saan walang sangkot na panloloko, ang pagpapatunay na iyon ay magreresulta sa isang SMS na text o iba pang mensahe na ipinadala sa lehitimong user, na pagkatapos ay magpapatotoo sa sinubukang pag-access ng account sa pamamagitan ng pagbibigay ng code na kasama sa text o mensahe. Sa kasong ito, gayunpaman, ang Secret na code na iyon ay direktang napunta sa mga manloloko, na ginamit ang code upang gayahin ang may-ari ng account at mag-withdraw ng mga pondo.

Bagama't hindi pinangalanan ng Powell na biktima ang FTX, ang mga paratang na pumapalibot sa pinakamalaking insidente ng pandaraya sa pagpapalit ng SIM na inilarawan sa sakdal ay malinaw na tumutukoy sa "hack" ng FTX na naganap sa oras ng pampublikong anunsyo ng bangkarota ng kumpanyang iyon - ang mga petsa, oras, at mga halaga ay naaayon sa pampublikong pag-uulat ng hack na iyon, at ang mga ulat ng media ay inilarawan sa loob ng "FTX-V" na katotohanang inilarawan ng kumpanya sa pamamagitan ng pagsisiyasat. Powell. Sa panahon ng FTX hack, nagkaroon ng maraming haka-haka tungkol sa mga perpetrators: inside job, shadowy government regulators?

Read More: Ang Misteryo ng FTX Hack na Posibleng Malutas: Sinisingil ng US ang Trio Sa Pagnanakaw, Kasama ang Nakakainis na Pag-atake sa Crypto Exchange

Marami sa mga headline mula sa mga artikulo na nakakuha ng sakdal sa Powell ay nagpapahayag na ang misteryo ay nalutas: ang tatlong nasasakdal ay gumawa ng FTX hack. Ngunit ang sakdal ay talagang nagmumungkahi ng kabaligtaran. Bagama't ang sakdal ay partikular na naglalarawan sa tatlong nasasakdal at sa pangalan sa mga paratang tungkol sa pagnanakaw ng PII, ang pag-port ng mga numero ng cell sa isang mapanlinlang na nakuhang SIM, at ang pagbebenta ng mga purloined FTX access code, ang akusasyon ay kapansin-pansing nag-aalis ng anumang pagtukoy sa tatlong nasasakdal kapag inilalarawan ang aktwal na pagnanakaw ng mga pondo ng FTX.

Sa halip, iniuugnay nito na "ang mga co-conspirator ay nakakuha ng hindi awtorisadong pag-access sa [FTX] na mga account" at "ang mga co-conspirator ay naglipat ng higit sa $400 milyon sa virtual na pera mula sa [FTX's] virtual currency wallet sa virtual currency wallet na kinokontrol ng mga co-conspirator." Ang Convention sa pagbalangkas ng mga sakdal ay ang pangalanan ang mga nasasakdal sa mga aksyong ginawa ng mga nasasakdal. Dito, ang hindi pinangalanang "mga kasabwat" ang gumawa ng mga pangwakas at pinakamahalagang hakbang. Ang misteryo kung sino ang mga "kasabwat" na iyon ay maaaring nananatiling buhay, at maaaring magpatuloy maliban kung at hanggang sa bumaba ang mga bagong singil o ang isang pagsubok ay nagpapakita ng higit pang mga katotohanan.

SIM swap, regulators at panganib sa negosyo

Itinatampok ng kaso ng FTX ang lumalagong kamalayan sa mga tagausig at regulator ng kadalian at pagkalat ng mga scheme ng SIM swap. Ang pagbabasa ng sakdal sa Powell ay hindi katulad ng pagbabasa ng ONE sa daan-daang mga sakdal sa pagnanakaw ng credit card na itinutugis ng mga tagausig ng pederal at estado bawat taon. Sa abot ng mga panloloko, ang pagpapalit ng SIM ay mura, hindi sopistikado, at nauulit. Ngunit, kung ikaw ay isang kriminal, ito ay gumagana.

Ang pagpapalit ng SIM ay higit na gumagana bilang resulta ng mga kahinaan sa mga protocol ng anti-fraud at pagkakakilanlan ng telecom, at bilang resulta ng medyo mahinang anti-fraud at mga pamamaraan sa pag-verify ng pagkakakilanlan na ginamit bilang default para sa lahat ng napakaraming online na service provider, kabilang ang mga kumpanya ng serbisyo sa pananalapi. Kamakailan, noong Disyembre ng 2023, ang Federal Communications Commission ay naglabas ng a Ulat at Order pagpapatibay ng mga hakbang na idinisenyo upang matugunan ang mga kahinaan sa pagpapalit ng SIM ng mga provider ng wireless. Kasama sa Ulat at Kautusan ang isang kinakailangan na ang mga wireless provider ay gumamit ng mga secure na paraan ng pag-authenticate ng mga customer bago magsagawa ng mga pagbabago sa SIM ng uri na inilalarawan sa sakdal sa Powell, habang nagsisikap na mapanatili ang relatibong kadalian na tinatamasa ng mga customer kapag lehitimong nag-port ng numero ng telepono sa isang bagong device. Sa harap ng lumalagong kamalayan sa kadalian ng paggamit ng SIM swap perpetrators ng pangunahing MFA at hindi gaanong secure na 2FA, lalo na sa hindi secure na SMS messaging rails, ang pagbabalanse na iyon ay patuloy na maghaharap ng mga hamon sa parehong mga telecom at sa mga service provider – kabilang ang mga kumpanya ng Crypto – na umaasa sa kanila.

Seguridad ng Crypto

Ang mga wireless provider ay hindi nag-iisa sa pagharap sa pagtaas ng pagsisiyasat na may kaugnayan sa mga paratang ng Powell na akusasyon. Ang kaso ay nagtataglay din ng mga aralin at babala para sa industriya ng Crypto .

Kahit na ang mga nasasakdal sa Powell ay hindi ang mga taong aktwal na nag-access at nag-ubos ng mga wallet ng FTX, di-umano'y ibinigay nila ang mga code ng pagpapatunay para sa paggawa nito, na nakuha nila sa pamamagitan ng isang medyo basic (tulad ng sinasabing) SIM swap scheme. Laban sa backdrop ng nascent cybersecurity regime ng SEC, itinatampok ng kaso ang pangangailangan para sa mga palitan na tumatakbo sa U.S. upang bumuo ng mga proseso para sa pagtatasa at pamamahala ng mga panganib sa cybersecurity, kabilang ang mga "hack" ng uri na ginawa sa kaso ng FTX. Dahil sa sariling karanasan ng SEC bilang biktima ng kamakailang pag-atake ng SIM swap, maaari nating asahan ang Enforcement Division na magbibigay ng higit na pansin sa mga pag-atake ng SIM swap laban sa mga palitan.

Na maaaring maglagay ng mga palitan sa labas ng pampang na umiiwas sa SEC o iba pang pangangasiwa sa regulasyon sa isang kawalan. Ang mga kinakailangan ng SEC hinggil sa regular Disclosure ng impormasyon tungkol sa cybersecurity risk management, strategy, at governance – kasama ng outside auditing of the same – ay tumitiyak na mauunawaan ng mga customer at counterparty ang mga hakbang na gagawin ng mga naturang kumpanya para mabawasan ang mga panganib ng isang kaganapang tulad ng FTX. Ang mga kumpanya sa labas ng pampang ay maaaring gumamit ng mga katulad na transparent na diskarte sa mga pagsisiwalat ng cybersecurity, ngunit ito ay ipagpalagay na isang hilig para sa transparency mula sa mga kumpanya na maaaring medyo allergic sa paniwala na iyon - tulad ng FTX. Maaaring asahan ng mga kumpanya at proyekto ng Crypto ang tumaas na presyon – mula sa mga regulator at mula sa merkado – na magpatibay, magbunyag, magpakita, at mapanatili ang mga kasanayan sa cybersecurity sa isang antas na mas mataas sa mga nagbibigay-daan sa mga pasimulang manloloko, gaya ng inilarawan sa mga nasasakdal sa Powell, na tumakas kasama ng milyun-milyon.