Este empreendedor foi trocado de SIM com tanta frequência que abriu uma empresa para combater isso

Na primeira vez que foi trocado de SIM em 2018, Haseeb Awan levou na cabeça e esperou que T acontecesse novamente. Então veio o segundo incidente. Depois o terceiro. Depois o quarto. Após a última troca, Awan parou de confiar em sua operadora de celular para KEEP sua conta segura e resolveu resolver o problema por conta própria: ele abriu sua própria empresa de serviços de celular.

Foi uma grande mudança em relação ao seu antigo emprego como gerente da rede de caixas eletrônicos BitAccess Bitcoin , uma empresa da qual ele foi cofundador e que, aliás, fez dele um alvo PRIME para troca de SIM.

Seu novo empreendimento,Efani, se dedica a acabar com um problema que é muito comum para usuários de Criptomoeda – um problema que a maioria das operadoras de telefonia móvel, como evidenciado pelos próprios problemas da Awan, não conseguiu resolver adequadamente.

O que é troca de SIM?

SIM-swapping é um hack de engenharia social em que um invasor transfere o número de telefone de uma vítima para um cartão SIM que ele controla. Para sequestrar uma conta de celular, um invasor pode se passar por uma vítima para convencer um representante de atendimento ao cliente a trocar o número para o novo cartão SIM. Em casos mais elaborados, uma troca de SIM pode ocorrer como um trabalho interno ou por meio de suborno de um REP de atendimento ao cliente.

Esses ataques de engenharia social se tornaram um problema muito comum no reino do Bitcoin e das Criptomoeda , particularmente para suas personalidades de alto perfil. Normalmente, os SIM swappers visam usuários de Criptomoeda com a esperança de acessar suas contas de câmbio por meio de mensagens de texto e autenticação de dois fatores.

Talvez o exemplo mais famoso deste vetor de ataque venha de Michael Terpin, que perdeu cerca de 24 milhões de dólares numa troca de SIM, o que levou a umaProcesso de US$ 220 contra a AT&T. Bastanteoutros usuários de Criptomoedaforam vítimas de tais ataques e, posteriormente, tiveram suas contas de câmbio drenadas de fundos. O hacker do Twitter de 2020 foi aindaparte de um sindicato que orquestrou trocas de SIM.

Leia Mais: Juiz rejeita pedido de indenização de US$ 200 milhões em processo de hack de Cripto da AT&T

Efani: Uma empresa de segurança cibernética que fornece serviços de telecomunicações

Awan está na longa lista de vítimas de troca de SIM de Cripto , e é por isso que ele fundou a Efani em 2019.

A empresa opera um BIT como uma operadora de rede virtual móvel. Ela usa a infraestrutura de rede da Verizon, AT&T e T-Mobile para atender seus clientes. Mas ela depende apenas dessa infraestrutura para fornecer cobertura de celular. Todo o resto do plano de US$ 99/mês, do gerenciamento de dados ao atendimento ao cliente, é gerenciado internamente de acordo com as próprias práticas da Efani.

“Nosso foco é a segurança cibernética. Outras empresas são provedoras de telecomunicações que têm outras empresas fornecendo segurança para elas. Somos uma empresa de segurança cibernética que fornece serviços de telecomunicações.”

De acordo com Awan, a maioria das operadoras de telefonia móvel só exige um número de telefone e conta para fazer alterações em um plano existente. Elas também dão aos usuários a opção de definir um PIN, mas mesmo essa camada de proteção pode ser ignorada se o hacker for esperto o suficiente. Mais difíceis de controlar ainda são subornos e trabalhos internos.

11 camadas de defesa

A solução da Efani para esse problema? Tornar tão difícil fazer alterações em uma conta que um ataque é virtualmente impossível.

“Você não pode fazer uma alteração na sua conta ligando para o serviço de atendimento ao cliente”, disse Awan ao CoinDesk. “Mesmo se você ligar, eles não estão autorizados a fazer nenhuma alteração. Para algo como trocar um cartão SIM, você pode ter que passar por 11 camadas de autenticação.”

Essas 11 camadas de autenticação são o número máximo de métodos de verificação disponíveis para usuários Efani, enquanto cada conta tem um mínimo de sete etapas de autenticação quando um usuário deseja substituir seu cartão SIM. Essas verificações envolvem fornecer os últimos quatro dígitos do cartão de crédito registrado, número de telefone, número do cartão SIM e outras informações.

“Nós o tornamos tão rigoroso que elimina qualquer chance de troca de SIM. A maioria das pessoas desiste após a segunda ou terceira etapa de autenticação”, disse Awan.

Leia Mais: Engenharia social: uma praga na Cripto e no Twitter, improvável que pare

Talvez o recurso mais importante – e o último passo para autorizar uma alteração em uma conta – envolva a autenticação de uma carta de intenção. Cada usuário deve visitar um tabelião para autorizar uma alteração em seu serviço, e esse tabelião é verificado pela equipe jurídica da Efani.

Mesmo após essa etapa final, um período de “esfriamento” de sete dias entra em vigor antes que o novo cartão SIM possa ser ativado. E T pode ser qualquer cartão SIM antigo comprado na loja de conveniência local; a Efani envia a cada titular da conta dois cartões SIM criptografados quando eles se inscrevem no serviço, e apenas o backup está autorizado a carregar o número do usuário se o cartão antigo for perdido.

Velhos truques, novos cães

Além dessas medidas, a Efani realiza verificações de antecedentes de todos os funcionários, exige autorização de vários funcionários para fazer alterações de conta e armazena informações do cliente em silos de servidor para KEEP os dados segregados. Além disso, os nomes e números de telefone dos clientes são mantidos separados.

Os planos da Efani também são segurados em até US$ 5 milhões pelo Lloyd's of London para qualquer roubo ou violação de dados que possa ocorrer por meio dos serviços da Efani.

Awan, que criou a empresa com suas próprias finanças, disse que ela é lucrativa e está a caminho de atingir sete dígitos em receita este ano. Cerca de um terço de seus clientes são usuários de Criptomoeda , disse ele, acrescentando que o restante são tipicamente indivíduos de alto perfil, incluindo atletas profissionais do LA Lakers e do San Francisco Giants, outras celebridades e um bom número de advogados.

Quando perguntado sobre o que pode ser feito para “consertar” o estado atual da troca de SIM (sem começar um negócio concorrente), Awan foi pessimista sobre a capacidade de mudança em provedores legados. A maioria dos funcionários de atendimento ao cliente, que são contratados para começar, “não são sofisticados o suficiente para entender o nível de ameaça”.

Além disso, mudar algo que afeta tão poucos clientes provavelmente não está no radar deles, principalmente considerando que exigiria uma reformulação completa de seus processos.

“T acho que esse problema será resolvido por nenhuma operadora. Mudar o sistema atual exigiria atualizar o sistema e os processos para cada conta móvel na América e isso não é fácil de fazer”, disse Awan.

“O segundo problema é que as operadoras querem acreditar que isso não é um problema. Afeta provavelmente 1% da população. Seria como dizer: “Ok, todo carro vendido nos EUA vem com vidro à prova de balas.”