O hack da FTX: o mistério não resolvido da troca de SIM

O Departamento de Justiça recentemente revelou discretamenteuma acusação que algumas plataformas de mídia tradicionais e de Cripto rapidamente captaram e relataram como acusações que “resolveram” o mistério de um roubo de US$ 400 milhões em Criptomoeda , anteriormente detidas pela falida bolsa de criptomoedas FTX.

A acusação não foi isso. Mas reflete uma crescente preocupação regulatória e econômica enfrentada por empresas de Criptomoeda on-shore e off-shore. A fraude de “troca de SIM” que supostamente teve como alvo a FTX, em novembro de 2022, é quase uma ferramenta de “hacking” rudimentar – ONE em roubo de identidade e falsa representação de um titular de conta financeira – que tem como alvo, em grande parte, empresas que fornecem proteções de Política de Privacidade de identificação de dois ou vários fatores (“2FA” e “MFA”, respectivamente) cada vez mais antiquadas para seus clientes e titulares de contas.

Os reguladores federais nos EUA estão cada vez mais atentos aos perigos representados por sistemas que dependem de procedimentos de proteção de Política de Privacidade que são vulneráveis ​​a trocas de SIM. A Comissão Federal de Comunicações está buscando novas regras, enquanto os recentes regulamentos de segurança cibernética da SEC provavelmente exigirão que as empresas melhorem seu jogo de Política de Privacidade diante dessa ameaça específica. De fato, a SEC está ainda mais motivada agora, talvez, dado seu próprio fiasco recente de troca de SIM.

Novas acusações e os hackers da FTX

Em 24 de janeiro de 2024, o Gabinete do Procurador dos Estados Unidos para o Distrito de Columbia revelou uma acusação, intitulada Estados Unidos v. Powell, et al., após a prisão de alguns dos réus nomeados naquele caso. Conforme alegado, Robert Powell, Carter Rohn e Emily Hernandez trabalharam juntos para obter informações de identificação pessoal (“PII”) roubadas de mais de 50 vítimas.

O trio posteriormente usou essas informações roubadas para criar documentos de identificação falsos com o propósito de enganar as operadoras de telecomunicações para que trocassem a conta de telefone celular da vítima de roubo de identidade para um novo dispositivo mantido pelos réus ou por "co-conspiradores" não identificados a quem o trio de réus vendeu PII roubadas.

O esquema depende da reatribuição do número de telefone das vítimas para um telefone físico controlado por um criminoso, o que envolve a transferência ou portabilidade do número das vítimas (e, em essência, identidade) para o Subscriber Identity Module, ou cartão “SIM”, fisicamente mantido no novo dispositivo do criminoso. Isso é conhecido como esquema de “troca de SIM”.

Por meio do esquema de troca de SIM alegado em United States v. Powell, os réus e co-conspiradores não identificados induziram fraudulentamente os provedores de telecomunicações sem fio a reatribuírem números de telefone celular do cartão SIM do usuário legítimo para aquele controlado pelos réus ou pelos co-conspiradores não identificados. A troca de SIM então permitiu que o trio Powell e outros acessassem as contas eletrônicas das vítimas em várias instituições financeiras para roubar fundos dessas contas.

O principal benefício para os réus da troca de SIM foi a capacidade de interceptar nos novos dispositivos fraudulentos mensagens dessas contas financeiras buscando autenticar que a pessoa que acessava a conta era o titular legítimo da conta. Normalmente, quando não há fraude envolvida, essa autenticação resultaria em um texto SMS ou outra mensagem enviada ao usuário legítimo, que então autenticaria a tentativa de acesso à conta fornecendo um código incluído no texto ou mensagem. Nesse caso, porém, esse código Secret foi diretamente para os fraudadores, que usaram o código para se passar pelo titular da conta e sacar fundos.

Embora a acusação de Powell não nomeie a FTX como vítima, as alegações em torno do maior incidente de fraude de troca de SIM descrito na acusação referem-se claramente ao "hack" da FTX que ocorreu na época do anúncio público de falência da empresa — as datas, horários e valores se alinham com os relatórios públicos desse hack, e os relatórios da mídia incluíram a confirmação fornecida por pessoas de dentro da investigação de que a FTX é, de fato, a "Empresa Vítima-1", conforme descrito em Powell. Na época do hack da FTX, houve muita especulação quanto aos perpetradores: trabalho interno, reguladores governamentais obscuros?

Leia Mais: Mistério do hack da FTX possivelmente resolvido: EUA acusam trio de roubo, incluindo ataque infame a bolsa de Cripto

Muitas das manchetes de artigos que pegaram a acusação de Powell proclamam que o mistério está resolvido: os três réus cometeram o hack da FTX. Mas a acusação na verdade sugere o oposto. Enquanto a acusação descreve os três réus especificamente e pelo nome nas alegações sobre o roubo de PII, a portabilidade de números de celular para um SIM obtido de forma fraudulenta e a venda de códigos de acesso FTX roubados, a acusação omite notavelmente qualquer referência aos três réus ao descrever o roubo real de fundos da FTX.

Em vez disso, ele relata que “co-conspiradores obtiveram acesso não autorizado às contas [FTX]” e “co-conspiradores transferiram mais de US$ 400 milhões em moeda virtual das carteiras de moeda virtual [FTX] para carteiras de moeda virtual controladas pelos co-conspiradores”. A convenção na elaboração de acusações é nomear os réus em ações cometidas pelos réus. Aqui, são os “co-conspiradores” não nomeados que deram os passos finais e mais significativos. O mistério de quem esses “co-conspiradores” podem ser permanece vivo e pode continuar a menos e até que novas acusações sejam retiradas ou um julgamento revele mais fatos.

Trocas de SIM, reguladores e risco empresarial

O caso FTX destaca uma conscientização crescente entre promotores e reguladores sobre a facilidade e prevalência de esquemas de troca de SIM. Ler a acusação de Powell não é diferente de ler uma das centenas de acusações de roubo de cartão de crédito que promotores federais e estaduais perseguem a cada ano. No que diz respeito a fraudes, a troca de SIM é de baixo custo, pouco sofisticada e rotineira. Mas, se você for um criminoso, funciona.

A troca de SIM funciona em grande parte como resultado de vulnerabilidades nos protocolos antifraude e de identificação das telecomunicações e como resultado de procedimentos antifraude e de verificação de identificação relativamente fracos usados como padrão para muitos provedores de serviços online, incluindo empresas de serviços financeiros. Recentemente, em dezembro de 2023, a Comissão Federal de Comunicações emitiu umaRelatório e Ordemadotando medidas projetadas para abordar vulnerabilidades de troca de SIM de provedores sem fio. O Relatório e Ordem inclui uma exigência de que provedores sem fio usem métodos seguros de autenticação de clientes antes de realizar mudanças de SIM do tipo descrito na acusação de Powell, enquanto buscam manter a relativa facilidade que os clientes desfrutam ao portar legitimamente um número de telefone para um novo dispositivo. Em face de uma crescente conscientização da facilidade com que os perpetradores de troca de SIM exploram MFA básico e 2FA menos seguro,particularmente sobre trilhos de mensagens SMS inseguros, esse ato de equilíbrio continuará a representar desafios tanto para as telecomunicações quanto para os provedores de serviços – incluindo empresas de Cripto – que dependem delas.

Segurança Cripto

Os provedores sem fio não estão sozinhos em enfrentar um escrutínio crescente relevante às alegações da acusação de Powell. O caso também contém lições e avisos para a indústria de Cripto .

Mesmo que os réus em Powell não fossem as pessoas que realmente acessaram e esgotaram as carteiras FTX, eles supostamente forneceram os códigos de autenticação para fazer isso, que obtiveram por meio de um esquema de troca de SIM bastante básico (como alegado). Contra o pano de fundo do regime de segurança cibernética nascente da SEC, o caso destaca a necessidade de as bolsas que operam nos EUA desenvolverem processos para avaliar e gerenciar riscos de segurança cibernética, incluindo “hacks” do tipo perpetrado no caso FTX. Dada a própria experiência da SECcomo vítima de um recente ataque de troca de SIM, podemos esperar que a Divisão de Execução preste mais atenção aos ataques de troca de SIM contra exchanges.

Isso poderia colocar as bolsas offshore que evitam a SEC ou outra supervisão regulatória em desvantagem. Os requisitos da SEC em relação à Aviso Importante regular de informações sobre gerenciamento de risco de segurança cibernética, estratégia e governança – juntamente com auditoria externa das mesmas – garantem que clientes e contrapartes possam entender as etapas que essas empresas tomam para mitigar os riscos de um evento como o FTX. As empresas offshore podem adotar abordagens igualmente transparentes para divulgações de segurança cibernética, mas isso pressupõe uma inclinação para a transparência de empresas que podem ser um tanto alérgicas a essa noção – como foi a FTX. As empresas e projetos de Cripto podem antecipar uma pressão maior – de reguladores e do mercado – para adotar, divulgar, demonstrar e manter práticas de segurança cibernética em um nível bem acima daquelas que permitem que fraudadores rudimentares, como os réus em Powell são descritos, fujam com milhões.