Compartilhe este artigo

CoinDesk explica SIM Jacking

No panteão dos hacks de Cripto , “SIM jacking” é um dos piores. Nós o detalhamos Para Você em formato de AUDIO e texto completo.

Atualizado 13 de set. de 2021, 12:21 p.m. Publicado 26 de fev. de 2020, 5:34 p.m. Traduzido por IA

Hoje vamos analisar os ataques ao cartão SIM de uma forma que até seu avô pode entender,apresentado em formato de AUDIO e texto completo.

A História Continua abaixo

Não perca outra história.Inscreva-se na Newsletter Crypto for Advisors hoje. Ver Todas as Newsletters

Ao se inscrever, você receberá emails sobre os produtos da CoinDesk e concorda com os nossos termos de uso e política de privacidade.

Para acesso antecipado antes de nossos lançamentos regulares ao meio-dia, horário do leste, assine comPodcasts da Apple,Spotify,Pocketcasts,Podcasts do Google,Caixa de transmissão,Costureiro,Rádio Pública ou RSS.

No panteão dos hacks de Cripto , o “SIM jacking” é um dos piores. O hack, que é menos um hack e mais engenharia social, é basicamente uma forma de roubo de identidade, com o invasor trocando o cartão SIM da vítima remotamente, geralmente com a ajuda da sua operadora de celular, e então invadindo o e-mail, Cripto, contas bancárias da vítima, basicamente todas as coisas que você definitivamente T quer que alguém invada. E as consequências podem ser terríveis, também rendeu aos invasores dezenas de milhões em saques nos últimos anos.

É audacioso, mas também pode ser prevenido, com um pouco de conscientização.

Neste episódio do CoinDesk Explains, os editores do CoinDesk Adam B. Levine e John Biggs explicam o ataque, o que ele pode significar Para Você, como ele funciona e o que você pode fazer para preveni-lo de uma forma que até mesmo John possa entender. Agradecimentos especiais ao guru da segurança Ralph Echemendiapara os conselhos do podcast de hoje.

Transcrição

Adão: No panteão dos hacks de Cripto , o “SIM jacking” é um dos piores. O hack, que é menos um hack e mais engenharia social, é basicamente uma forma de roubo de identidade, com o invasor trocando o cartão SIM da vítima remotamente, geralmente com a ajuda da sua operadora de celular, e então invadindo seu e-mail, Cripto, contas bancárias, basicamente todas as coisas que você definitivamente T quer que alguém invada. É audacioso, mas também é evitável com um pouco de conscientização. E as consequências podem ser terríveis, também rendeu aos invasores dezenas de milhões em saques nos últimos anos.

John: Bem-vindo ao CoinDesk Explains, uma série ocasional da equipe do Mercados Daily onde nós dividimos e exploramos o complexo mundo de Blockchains e Criptomoedas como Bitcoin. Eu sou John Biggs...

Adão:...e eu sou Adam B. Levine. No mundo tão conectado de hoje, é sempre uma droga perder seu telefone, mas quando você adiciona "seu dinheiro" a essa frase, é ainda mais doloroso.

Então, desta vez estamos falando sobre como algumas pessoas perderam seus telefones [e], com a ajuda de alguma engenharia social inteligente, às vezes dezenas de milhões de dólares junto com eles.

Adão:Então, John, você vivenciou isso em primeira mão, certo?

John: Claro. Em 2017, um idiota trocou o cartão SIM dele pelo meu, acho que ligando para a T-Mobile e fingindo ser eu. Eles disseram: "Olá, aqui é John Biggs, atualizei meu telefone ou algo assim e preciso que você transfira o serviço para meu novo telefone". Agora, claramente não fui eu quem ligou, mas a T-Mobile deve ter acreditado neles e feito acontecer.

E AGORA UMA RECONSTITUIÇÃO DRAMÁTICA, COM JOHN BIGGS COMO O REP DA COMPANHIA TELEFÔNICA E ADAM B. LEVINE COMO O FALSO JOHN BIGGS.

John: Obrigado por ligar para sua companhia telefônica. Como posso ajudá-lo hoje?

Adão:Olá, sim, sou John Biggs e preciso que você ative meu novo cartão SIM.

John: Fico feliz em ajudar você com isso. Você pode verificar sua conta com seu número de Seguro Social, seu tipo sanguíneo e seu tamanho de sapato?

Adão:Na verdade não, estou com muita pressa e preciso que você me ajude.

John: Sinto muito senhor, T posso ajudá-lo se você T conseguir verificar sua conta.

Adão:Droga, ok, ligo mais tarde.

DUAS HORAS DEPOIS

John: Olá, aqui é outro REP da sua companhia telefônica. Como posso ajudar?

Adão:Olá, sou John Biggs e preciso que você ative meu novo telefone.

John: Você pode verificar sua conta?

Adão:Não.

John: Tudo bem, deixe-me fazer essa alteração agora.

FIM

John: É bem fácil assim. O verdadeiro truque é que se você T tiver sucesso com a primeira REP, você pode ligar de volta basicamente um número ilimitado de vezes até que o suporte da sua operadora de telefonia deslize, esqueça o protocolo de segurança e concorde em fazer a mudança. E esses caras são realmente espertos, com sons de bebê chorando no fundo e coisas assim.

Adão: Essa é a parte da engenharia social. Ninguém está realmente hackeando ou atacando seu telefone em si, eles estão tirando vantagem do fato de que o suporte da T-Mobile quer ajudar você, ou pelo menos não ser repreendido demais por você. Então, quando alguém liga e finge ser você, eles podem acabar ajudando alguém que está tentando roubar de você. Então, o que aconteceu?

John:Sim, minha operadora comprou, tudo bem, e os ajudou ativando o novo telefone deles com meu número atual. Isso, por sua vez, desligou os serviços de rede do meu telefone e, momentos depois, permitiu que o hacker alterasse a maioria das minhas senhas do Gmail, minha senha do Facebook e enviasse mensagens de texto em meu nome.

Adão: Ok, então agora eles têm seu celular, eles recebem suas ligações, eles recebem suas mensagens de texto e você T. Mas como isso dá a eles a habilidade de mudar todas essas senhas?

John:Quase todos os serviços por aí, do Gmail ao Facebook, do Coinbase ao BYNANCE, estão preocupados que você não fará um bom trabalho de gerenciamento de suas senhas. Então eles fizeram algo ainda mais inseguro ao adicionar autenticação de dois fatores via mensagem de texto. Muitas empresas pararam com isso, mas ainda é um buraco enorme.

Adão:Então, quando seu telefone se tornou o telefone deles, eles passaram a ser os únicos a poder redefinir sua senha.

John: Isso mesmo. Todas as notificações de dois fatores foram, por padrão, para o meu número de telefone, que agora era o número de telefone deles, então não recebi nenhuma das notificações e em cerca de dois minutos fui bloqueado da minha vida digital.

Adão: Ai.

John:Sim... Percebi tudo isso por volta das 22h e tive sorte. Eu sabia o que estava acontecendo e liguei para a T-Mobile. Às 22h30, reiniciei meu SIM antigo e comecei o processo de alterar todas as minhas senhas e fortalecer minhas contas de dois fatores e a conta da T-Mobile.

Adão:Eles ganharam alguma coisa?

John: Então, essa é uma história engraçada. Uma semana antes eu estava falando com alguém em Cripto no Facebook. Não me lembro sobre o quê. Então, alguns dias depois, recebi uma mensagem desse cara no Facebook Messenger dizendo: "Ei, estou em uma situação financeira muito ruim e T consigo acessar minha Cripto. Você pode me enviar seis Bitcoin agora mesmo e eu te envio oito amanhã?"

E eu fico tipo "Huh, isso parece um bom negócio!"

Adão:Você enviou o Bitcoin?

John: Felizmente, não, mas esse era o MO. Quando fui bloqueado de minhas contas, os hackers fingiram ser eu e pediram aos meus amigos que enviassem Bitcoin para eles. Um deles mandou uma mensagem para um dos meus amigos e disse: "Se eu T receber essa Cripto agora, eles vão desligar o meu pai do hospital". Eles descobriram que meu pai estava doente. E o amigo da Cripto disse: "Uh, sim, não é assim que os hospitais funcionam".

Adão:Isso é horrível.

Houve também o caso de Nicholas Truglia, um nova-iorquino de 21 anos que sequestrou vários telefones e, na verdade, roubou milhões de dólares. De acordo com documentos judiciais, Truglia é acusado de ter roubado de seu pai e até mesmo de um homem morto.

Mais notavelmente, Truglia pegou Michael Terpin, um investidor de Criptomoeda . Ele usou uma dessas trocas de SIM socialmente projetadas com o telefone de Terpin para roubar $ 24 milhõesem Cripto, o que levou Terpin a abrir uma $200processo de US$ 1 milhão contra sua operadora de celular, a AT&T.

John: Quanto esse cara tinha? De acordo com os documentos do tribunal, ele tinha vários Trezors. “Um tinha mais de $ 40 milhões em valor em dinheiro de várias criptomoedas, e o ONE tinha mais de $ 20 milhões em valor em dinheiro de várias criptomoedas.” É loucura.

Adão:Então como você revida?

John:Meu amigo Ralph, CEO da Seguru e cara de tecnologia da Oliver Stone, tem algumas ideias. Falei com ele hoje sobre se proteger de hacks de SIM.

Adão:Então, tudo é de dois fatores, masnãocom mensagens de texto.

John:Definitivamente. Nunca dependa do seu telefone para segurança. É muito perigoso. Sempre use controle de 2 fatores não baseado em SMS.

Adão:Você foi hackeado recentemente?

Zohn:<LIGANDO DE REPENTE DE UM TELEFONE> Não que eu saiba.

Adão:Espere, você está ligando do seu telefone?

Zohn: Sim... Confie em mim, Adam. Confie em mim. A propósito, Adam, você pode me emprestar dois Bitcoin até amanhã? Eu te pago três Bitcoin de volta pela manhã.

Security Podcasts Markets Daily SIM Jack

John Biggs

John Biggs é um empreendedor, consultor, escritor e Maker. Ele passou quinze anos como editor do Gizmodo, CrunchGear e TechCrunch e tem uma profunda experiência em startups de hardware, impressão 3D e blockchain. Seu trabalho apareceu na Men's Health, Wired e no New York Times. Ele comanda o podcast Technotopia sobre um futuro melhor.

Ele escreveu cinco livros, incluindo o melhor livro sobre blogs, Bloggers Boot Camp, e um livro sobre o relógio mais caro já feito, Marie Antoinette's Watch. Ele mora no Brooklyn, Nova York.

Adam B. Levine

Adam B. Levine se juntou à CoinDesk em 2019 como editor de sua nova divisão de AUDIO e Podcasts . Anteriormente, Adam fundou o talk show de longa duração Let's Talk Bitcoin! com os coapresentadores Stephanie Murphy e Andreas M. Antonopoulos.

Encontrando sucesso inicial com o programa, Adam transformou a homepage do podcast em uma plataforma completa de publicação e newsdesk, fundando a LTB Network em janeiro de 2014 para ajudar a ampliar a conversa com perspectivas novas e diferentes. Na primavera daquele ano, ele lançaria o primeiro e maior programa de recompensas tokenizadas para criadores e seu público. No que muitos chamaram de uma versão influente inicial do "Steemit"; LTBCOIN, que foi concedido a criadores de conteúdo e membros do público pela participação, foi distribuído até que o LTBN foi adquirido pela BTC, Inc. em janeiro de 2017.

Com a rede lançada e crescendo, no final de 2014, Adam voltou sua atenção para os desafios práticos de administrar o programa tokenizado e fundou a Tokenly, Inc. Lá, ele liderou o desenvolvimento das primeiras máquinas de venda tokenizadas com Swapbot, solução de identidade tokenizada Tokenpass, e-commerce com TokenMarkets.com e mídia com Token.fm. Adam possui alguns BTC, ETH e pequenas posições em vários outros tokens.