CoinDesk объясняет, как взломать SIM-карту

Сегодня мы разберем атаки на SIM-карты так, что даже ваш дедушка поймет.,представлено как в AUDIO , так и в полнотекстовом формате.

Для раннего доступа до наших обычных полуденных релизов по восточному времени оформите подписку с помощьюПодкасты Apple, Спотифай, Карманные касты, Google Подкасты, Кастбокс, Сшиватель, РадиоПублика или RSS.

В пантеоне Криптo «SIM-джекинг» — ONE из худших. Этот взлом, который в меньшей степени является взломом, а в большей — социальной инженерией, по сути является формой кражи личных данных, когда злоумышленник удаленно меняет SIM-карту жертвы, обычно с помощью вашего оператора сотовой связи, а затем взламывает электронную почту, Криптo, банковские счета этой жертвы, в общем, все то, что вы определенно T хотите, чтобы кто-то взломал. И последствия могут быть ужасными, он также принес злоумышленникам десятки миллионов добычи за последние несколько лет.

Это дерзко, но этого можно избежать, проявив немного осознанности.

В этом выпуске CoinDesk Explains редакторы CoinDesk Адам Б. Левин и Джон Биггс объясняют атаку, что она может означать Для вас, как она работает и что вы можете сделать, чтобы предотвратить ее так, чтобы даже Джон мог понять. Особая благодарность гуру безопасности Ральф Эхемендиаза советы в сегодняшнем подкасте.

Для раннего доступа до наших обычных полуденных релизов по восточному времени оформите подписку с помощьюПодкасты Apple, Спотифай, Карманные касты, Google Подкасты, Кастбокс, Сшиватель, РадиоПублика или RSS.

Транскрипт

Адам: В пантеоне Криптo «SIM-джекинг» является ONE из худших. Взлом, который является не столько взломом, сколько социальной инженерией, по сути является формой кражи личных данных, когда злоумышленник удаленно меняет SIM-карту жертвы, обычно с помощью вашего оператора сотовой связи, а затем взламывает вашу электронную почту, Криптo, банковские счета, в общем, все то, что вы определенно T хотите, чтобы кто-то взломал. Это дерзко, но это также можно предотвратить, если быть немного осведомленным. И последствия могут быть ужасными, это также принесло злоумышленникам десятки миллионов добычи за последние несколько лет.

Джон: Добро пожаловать в CoinDesk Explains, эпизодическую серию от команды Рынки Daily, в которой мы разбираем и исследуем сложный мир блокчейнов и криптовалют, таких как Bitcoin. Меня зовут Джон Биггс...

Адам:...и я Адам Б. Левин. В сегодняшнем тесно связанном мире всегда обидно терять телефон, но когда вы добавляете к этому предложению «свои деньги», это становится еще больнее.

Итак, на этот раз мы говорим о том, как некоторые люди теряли свои телефоны [и], с помощью хитрой социальной инженерии, иногда вместе с ними теряли и десятки миллионов долларов.

Адам: Итак, Джон, ты испытал это на собственном опыте, да?

Джон: Конечно. В 2017 году какой-то придурок поменял свою SIM-карту с моей, полагаю, позвонив в T-Mobile и притворившись мной. Они сказали: «Привет, это Джон Биггс, я обновил свой телефон или что-то в этом роде, и мне нужно, чтобы вы перевели обслуживание на мой новый телефон». Теперь, очевидно, это был не я, но T-Mobile, должно быть, поверили им и сделали это.

А ТЕПЕРЬ ДРАМАТИЧЕСКАЯ РЕКОНСТРУКЦИЯ С ДЖОНОМ БИГГСОМ В РОЛИ REP ТЕЛЕФОННОЙ КОМПАНИИ И АДАМОМ Б. ЛЕВАЙНОМ В РОЛИ ПОДДЕЛЬНОГО ДЖОНА БИГГСА.

Джон: Спасибо, что позвонили в вашу телефонную компанию. Чем я могу вам помочь?

Адам:Привет, да, я Джон Биггс, и мне нужно, чтобы ты активировал мою новую SIM-карту.

Джон: Я с радостью вам в этом помогу. Можете ли вы подтвердить свой счет, указав номер социального страхования, группу крови и размер обуви?

Адам:На самом деле нет, я очень тороплюсь и просто хочу, чтобы ты мне помог.

Джон: Извините, сэр, я T смогу вам помочь, если вы T сможете подтвердить свою учетную запись.

Адам:Черт, ладно, я перезвоню позже.

ДВА ЧАСА СПУСТЯ

Джон: Здравствуйте, это еще один REP вашей телефонной компании. Чем я могу вам помочь?

Адам:Привет, меня зовут Джон Биггс, и мне нужно, чтобы вы активировали мой новый телефон.

Джон: Можете ли вы подтвердить свой аккаунт?

Адам:Неа.

Джон: Хорошо, позвольте мне сейчас внести это изменение.

КОНЕЦ

Джон: Это довольно просто. Настоящий трюк в том, что если у вас T получится с первым REP, вы можете перезванивать практически неограниченное количество раз, пока служба поддержки вашей телефонной компании не ошибется, не забудет протокол безопасности и не согласится внести изменения. И эти ребята действительно умные, с такими звуками, как плач ребенка на заднем плане и прочим.

Адам: Это часть социальной инженерии. Никто на самом деле не взламывает и не атакует ваш телефон, они пользуются тем фактом, что поддержка T-Mobile хочет вам помочь или, по крайней мере, не хочет, чтобы вы на нее слишком много кричали. Поэтому, когда кто-то звонит и выдает себя за вас, он может в итоге помочь кому-то, кто пытается украсть у вас. Так что же произошло?

Джон:Да, мой оператор все правильно купил, и помог им, активировав их новый телефон с моим текущим номером. Это, в свою очередь, отключило сетевые службы на моем телефоне и, несколько мгновений спустя, позволило хакеру изменить большинство моих паролей Gmail, мой пароль Facebook и отправлять текстовые сообщения от моего имени.

Адам: Хорошо, теперь у них есть ваш мобильный телефон, они получают ваши звонки, они получают ваши текстовые сообщения, а вы T. Но как это дает им возможность менять все эти пароли?

Джон:Почти все сервисы, от Gmail до Facebook, от Coinbase до BYNANCE, обеспокоены тем, что вы не сможете хорошо управлять своими паролями. Поэтому они сделали что-то еще более небезопасное, добавив двухфакторную аутентификацию через текстовое сообщение. Многие компании прекратили это, но это все еще огромная дыра.

Адам: Итак, когда ваш телефон стал их телефоном, теперь они могли сбросить ваш пароль.

Джон: Верно. Все двухфакторные уведомления по умолчанию отправлялись на мой номер телефона, который теперь был их номером телефона, поэтому я не получал ни одного уведомления, и примерно через две минуты я был заблокирован от своей цифровой жизни.

Адам: Ой.

Джон:Да... Я заметил все это около 10 вечера, и мне повезло. Я знал, что происходит, и позвонил в T-Mobile. К 10:30 вечера я сбросил настройки своей старой SIM-карты и начал процесс смены всех своих паролей и укрепления двухфакторных учетных записей и учетной записи T-Mobile.

Адам: Они что-нибудь получили?

Джон: Так вот, это забавная история. Неделю назад я разговаривал с кем-то в Криптo на Facebook. Не помню о чем. Так вот, через несколько дней после этого я получил сообщение от того парня в Facebook Messenger: «Эй, у меня очень плохая финансовая ситуация, и я T могу добраться до своей Криптo. Можешь отправить мне шесть Bitcoin прямо сейчас, а я отправлю тебе восемь завтра?»

И я такой: «Хм, это звучит как хорошая сделка!»

Адам: Вы отправили Bitcoin?

Джон: К счастью, нет, но таков был MO. Когда мои аккаунты были заблокированы, хакеры притворились мной и попросили моих друзей отправить им Bitcoin. ONE из них написал ONE из моих друзей и сказал: «Если я T получу эту Криптo прямо сейчас, они отключат моего отца в больнице». Они поняли, что мой отец болен. И Криптo друг такой: «Э-э, да, больницы так не работают».

Адам: Это ужасно.

Также было дело Николаса Труглии, 21-летнего жителя Нью-Йорка, который угнал несколько телефонов и фактически украл миллионы долларов. Согласно судебным документам, Труглиа предположительно украл деньги у своего отца и даже у мертвеца.

В частности, Трулья заполучил Майкла Терпина, инвестора в Криптовалюта . Он использовал ONE из этих социально-инженерных обменов SIM-карт с телефоном Терпина, чтобы украсть $24 миллионв Криптo, что привело к открытию Терпином $200иск на сумму в миллион долларов против своего оператора сотовой связи AT&T.

Джон: Сколько было у этого парня? Согласно судебным документам, у него было несколько Trezor. «У ONE было более 40 миллионов долларов наличными в различных криптовалютах, а у ONE было более 20 миллионов долларов наличными в различных криптовалютах». Это безумие.

Адам: Так как же вы даете отпор?

Джон:У моего приятеля Ральфа, генерального директора Seguru и технического специалиста Оливера Стоуна, есть несколько идей. Я говорил с ним сегодня о том, как защитить себя от взломов SIM-карт.

Адам:Итак, все учитывается по-двум факторам, нонетс текстовыми сообщениями.

Джон:Определенно. Никогда не полагайтесь на свой телефон для безопасности. Это просто слишком опасно. Всегда используйте двухфакторный контроль без СМС.

Адам:Вас недавно взломали?

Зон:<ВНЕЗАПНО НАБИРАЕТСЯ С ТЕЛЕФОНА> Насколько я могу судить, нет.

Адам:Подожди, ты звонишь со своего телефона?

Зон: Да... Поверь мне, Адам. Поверь мне. Кстати, Адам, можно мне одолжить два Bitcoin до завтра? Я верну тебе три Bitcoin утром.

<ЗВУК НЕУДАЧИ>