CoinDesk spiega il SIM Jacking

Oggi analizziamo gli attacchi alle schede SIM in un modo che anche tuo nonno può capire,presentato sia in AUDIO che in formato testo integrale.

Per un accesso anticipato prima delle nostre consuete uscite di mezzogiorno, ora orientale, iscriviti conPodcast di Apple,Spottizzare,Telefoni tascabili,Podcast di Google,Scatola di Casting,Cucitrice,RadioPubblica O SCOPRI DI PIÙ.

Nel pantheon degli hack Cripto , il "SIM jacking" è ONE dei peggiori. L'hack, che è meno un hack e più un'ingegneria sociale, è fondamentalmente una forma di furto di identità, con l'attaccante che scambia la scheda SIM di una vittima da remoto, di solito con l'aiuto del tuo operatore di telefonia mobile, e poi si infiltra nell'e-mail, Cripto, nei conti bancari di quella vittima, fondamentalmente in tutte le cose in cui sicuramente T vuoi che qualcuno si intrufoli. E le conseguenze possono essere terribili, ha anche fruttato agli aggressori decine di milioni di bottino negli ultimi anni.

È audace ma è anche prevenibile, con un po' di consapevolezza.

In questo episodio di CoinDesk Explains, i redattori CoinDesk Adam B. Levine e John Biggs spiegano l'attacco, cosa potrebbe significare Per te, come funziona e cosa puoi fare per prevenirlo in un modo che persino John potrebbe capire. Un ringraziamento speciale al guru della sicurezza Ralph Echemendiaper i consigli nel podcast di oggi.

Per un accesso anticipato prima delle nostre consuete uscite di mezzogiorno, ora orientale, iscriviti conPodcast di Apple,Spottizzare,Telefoni tascabili,Podcast di Google,Scatola di Casting,Cucitrice,RadioPubblica O SCOPRI DI PIÙ.

Trascrizione

Adamo: Nel pantheon degli hack Cripto , il "SIM jacking" è ONE dei peggiori. L'hack, che è meno un hack e più un'ingegneria sociale, è fondamentalmente una forma di furto di identità, con l'aggressore che scambia la scheda SIM di una vittima da remoto, di solito con l'aiuto del tuo operatore di telefonia mobile, e poi si infiltra nella tua e-mail, nelle tue Cripto, nei tuoi conti bancari, fondamentalmente in tutte le cose in cui sicuramente T vuoi che qualcuno si infiltri. È audace ma è anche prevenibile con un po' di consapevolezza. E le conseguenze possono essere terribili, ha anche fruttato agli aggressori decine di milioni di bottino negli ultimi anni.

Giovanni: Benvenuti a CoinDesk Explains, una serie occasionale del team Mercati Daily in cui analizziamo ed esploriamo il complesso mondo delle Blockchain e delle Criptovalute come Bitcoin. Sono John Biggs...

Adamo:...e io sono Adam B. Levine. Nel mondo strettamente connesso di oggi fa sempre schifo perdere il telefono, ma quando aggiungi "i tuoi soldi" a quella frase è ancora più doloroso.

Quindi questa volta parleremo di come alcune persone hanno perso i loro telefoni [e], con l'aiuto di un'ingegnosa ingegneria sociale, a volte decine di milioni di dollari insieme ad essi.

Adamo: Allora John, hai vissuto questa esperienza in prima persona, giusto?

Giovanni: Assolutamente. Nel 2017 un idiota ha scambiato la sua scheda SIM con la mia, credo chiamando T-Mobile e fingendo di essere me. Mi hanno detto, "Ciao, sono John Biggs, ho cambiato telefono o qualcosa del genere e ho bisogno che tu trasferisca il servizio al mio nuovo telefono". Ora, è chiaro che non ero io a chiamare, ma T-Mobile deve averci creduto e aver fatto in modo che accadesse.

E ORA UNA DRAMMATICA RIEVOCAZIONE, CON JOHN BIGGS NEI CONFRONTI DEL REP DELLA COMPAGNIA TELEFONICA E ADAM B. LEVINE NEI CONFRONTI DEL FALSO JOHN BIGGS.

Giovanni: Grazie per aver chiamato la tua compagnia telefonica, come posso aiutarti oggi?

Adamo:Ciao, sì, sono John Biggs e ho bisogno che tu attivi la mia nuova scheda SIM.

Giovanni: Sono felice di aiutarti. Puoi verificare il tuo account con il tuo numero di previdenza sociale, il tuo gruppo sanguigno e la tua misura di scarpe?

Adamo:In realtà no, ho molta fretta e ho solo bisogno che tu mi aiuti.

Giovanni:Mi dispiace signore, T posso aiutarla se T riesce a verificare il suo account.

Adamo:Accidenti, ok, ti richiamo più tardi.

DUE ORE DOPO

Giovanni:Salve, sono un altro REP della tua compagnia telefonica. Come posso aiutarti?

Adamo:Ciao, sono John Biggs e ho bisogno che tu attivi il mio nuovo telefono.

Giovanni:Puoi verificare il tuo account?

Adamo:No.

Giovanni:Va bene, lasciami apportare questa modifica ora.

FINE

Giovanni: È praticamente così facile. Il vero trucco è che se T ci riesci con la prima REP, puoi richiamare praticamente un numero illimitato di volte finché il supporto della tua compagnia telefonica non sbaglia, dimentica il protocollo di sicurezza e accetta di apportare la modifica. E questi ragazzi sono davvero intelligenti, con suoni come di un bambino che piange in sottofondo e roba del genere.

Adamo: Questa è la parte di ingegneria sociale. Nessuno sta effettivamente hackerando o attaccando il tuo telefono, stanno approfittando del fatto che il supporto T-Mobile vuole aiutarti, o almeno non farsi sgridare troppo da te. Quindi quando qualcuno chiama e finge di essere te, può finire per aiutare qualcuno che sta cercando di derubarti. Quindi cosa è successo?

Giovanni:Sì, il mio operatore l'ha comprato, e li ha aiutati attivando il loro nuovo telefono con il mio numero attuale. Questo, a sua volta, ha disattivato i servizi di rete sul mio telefono e, pochi istanti dopo, ha permesso all'hacker di cambiare la maggior parte delle mie password di Gmail, la mia password di Facebook e di inviare messaggi di testo per conto mio.

Adamo: Ok, quindi ora hanno il tuo cellulare, ricevono le tue telefonate, ricevono i tuoi messaggi di testo e tu T. Ma come fa questo a dargli la possibilità di cambiare tutte quelle password?

Giovanni:Quasi tutti i servizi là fuori, da Gmail a Facebook, da Coinbase a BYNANCE, sono preoccupati che tu non faccia un buon lavoro nel gestire le tue password. Quindi hanno fatto qualcosa di ancora più insicuro aggiungendo l'autenticazione a due fattori tramite messaggio di testo. Molte aziende hanno smesso di farlo, ma è ancora una lacuna enorme.

Adamo:Quindi, quando il tuo telefono è diventato il loro telefono, ora erano loro a poter reimpostare la tua password.

Giovanni: Esatto. Tutte le notifiche a due fattori sono andate, di default, al mio numero di telefono, che ora era il loro numero di telefono, quindi non ho ricevuto nessuna notifica e in circa due minuti sono stato bloccato fuori dalla mia vita digitale.

Adamo: Ahi.

Giovanni:Sì... Ho notato tutto questo verso le 22:00 e sono stato fortunato. Sapevo cosa stava succedendo e ho chiamato T-Mobile. Alle 22:30 ho resettato la mia vecchia SIM e ho iniziato il processo di modifica di tutte le mie password e di rafforzamento dei miei account a due fattori e dell'account T-Mobile.

Adamo: Hanno ottenuto qualcosa?

Giovanni: Allora, questa è una storia divertente. Una settimana prima stavo parlando con qualcuno di Cripto su Facebook. Non ricordo di cosa. Quindi qualche giorno dopo ho ricevuto un messaggio da quel tizio su Facebook Messenger che diceva: "Ehi, sono in una situazione finanziaria davvero brutta e T riesco ad accedere alle mie Cripto. Puoi inviarmi subito sei Bitcoin e io te ne invierò otto domani?"

E io dico "Eh, sembra un buon affare!"

Adamo: Hai inviato i Bitcoin?

Giovanni: Fortunatamente no, ma quello era il modus operandi. Quando sono stato bloccato fuori dai miei account, gli hacker hanno finto di essere me e hanno chiesto ai miei amici di inviare loro Bitcoin. ONE di loro ha mandato un messaggio a ONE dei miei amici e ha detto: "Se T ricevo subito questa Cripto , staccheranno la spina a mio padre in ospedale". Avevano capito che mio padre era malato. E l'amico Cripto ha detto "Eh, sì, non è così che funzionano gli ospedali".

Adamo: È orribile.

C'è stato anche il caso di Nicholas Truglia, un newyorkese di 21 anni che ha dirottato diversi telefoni e ha rubato milioni di dollari. Secondo i documenti del tribunale, Truglia avrebbe rubato a suo padre e persino a un uomo morto.

In particolare, Truglia ha preso Michael Terpin, un investitore in Criptovaluta . Ha utilizzato ONE di questi SIM swap socialmente ingegnerizzati con il telefono di Terpin per rubare 24 $ milioniin Cripto, che ha portato Terpin ad aprire un $200causa da milioni di dollari contro il suo gestore di telefonia mobile, AT&T.

Giovanni: Quanto aveva questo tizio? Secondo i documenti del tribunale, aveva diversi Trezor. "ONE aveva oltre 40 milioni di dollari in contanti in varie criptovalute, e l' ONE aveva oltre 20 milioni di dollari in contanti in varie criptovalute". È folle.

Adamo: Quindi come si fa a reagire?

Giovanni:Il mio amico Ralph, CEO di Seguru e tecnico di Oliver Stone, ha qualche idea. Ho parlato con lui oggi su come proteggersi dagli hack delle SIM.

Adamo:Quindi tutto è a due fattori, manoncon messaggi di testo.

Giovanni:Assolutamente. Non affidarti mai al tuo telefono per la sicurezza. È troppo pericoloso. Usa sempre il controllo a 2 fattori non basato su SMS.

Adamo:Sei stato hackerato di recente?

Zohn:<ALL'IMPROVVISO CHIAMANDO UN TELEFONO> Non che io possa dirlo.

Adamo:Aspetta, stai chiamando dal tuo telefono?

Zohn: Sì... Fidati di me, Adam. Fidati di me. A proposito, Adam, posso prendere in prestito due Bitcoin fino a domani? Ti restituirò tre Bitcoin domattina.

<IL SUONO DEL FALLIMENTO>