Взлом FTX: неразгаданная тайна подмены SIM-карт

Недавно Министерство юстиции тихо раскрылообвинительное заключение что некоторые популярные и Криптo медиаплатформы быстро подхватили и сообщили об обвинениях, которые «раскрыли» тайну кражи Криптовалюта на сумму 400 миллионов долларов, ранее принадлежавшей обанкротившейся криптобирже FTX.

Обвинение было не таким. Но оно отражает растущую нормативную и экономическую обеспокоенность, с которой сталкиваются как оншорные, так и офшорные Криптовалюта компании. Мошенничество с «подменой SIM-карт», которое предположительно было направлено против FTX в ноябре 2022 года, является почти элементарным «хакерским» инструментом — ONE на краже личных данных и ложном выдаче себя за владельца финансового счета, — который в основном нацелен на компании, предоставляющие все более устаревшие двух- или многофакторные средства защиты Политика конфиденциальности для своих клиентов и владельцев счетов («2FA» и «MFA» соответственно).

Федеральные регуляторы в США все больше реагируют на опасности, которые представляют системы, полагающиеся на процедуры защиты Политика конфиденциальности , которые уязвимы для подмены SIM-карт. Федеральная комиссия по связи разрабатывает новые правила, в то время как недавние правила SEC по кибербезопасности, вероятно, потребуют от компаний повысить уровень Политика конфиденциальности перед лицом этой конкретной угрозы. Действительно, SEC теперь, возможно, еще более мотивирована, учитывая ее собственное недавнее фиаско с подменой SIM-карт.

Новые обвинения и хакеры FTX

24 января 2024 года прокуратура США по округу Колумбия обнародовала обвинительное заключение под названием «Соединенные Штаты против Пауэлла и др.» после ареста некоторых обвиняемых, названных в этом деле. Как утверждается, Роберт Пауэлл, Картер Рон и Эмили Эрнандес работали вместе, чтобы получить украденную личную идентификационную информацию («PII») более 50 жертв.

Впоследствии трое обвиняемых использовали украденную информацию для создания поддельных документов, удостоверяющих личность, с целью обмануть поставщиков телекоммуникационных услуг и заставить их перевести учетную запись мобильного телефона жертвы кражи личных данных на новое устройство, находящееся у обвиняемых или неназванных «сообщников», которым трое обвиняемых продали украденную ПД.

Схема основана на переназначении номера телефона жертвы на физический телефон, контролируемый преступником, что влечет за собой передачу или перенос номера жертвы (и, по сути, личности) на модуль идентификации абонента или «SIM», карту, физически находящуюся в новом устройстве преступника. Это называется схемой «замены SIM».

Посредством схемы подмены SIM-карт, заявленной в деле United States v. Powell, ответчики и неназванные сообщники обманным путем заставили поставщиков беспроводной связи переназначить номера сотовых телефонов с SIM-карты законного пользователя на SIM-карту, контролируемую ответчиками или неназванными сообщниками. Подмена SIM-карты затем позволила трио Powell и другим лицам получить доступ к электронным счетам жертв в различных финансовых учреждениях, чтобы украсть средства с этих счетов.

Главным преимуществом для ответчиков по подмене SIM-карт была возможность перехватывать на новых мошеннических устройствах сообщения с этих финансовых счетов, которые пытались подтвердить, что лицо, получающее доступ к счету, является законным владельцем счета. Обычно, если не было никакого мошенничества, эта аутентификация приводила к отправке SMS-сообщения или другого сообщения законному пользователю, который затем подтверждал попытку доступа к счету, предоставляя код, включенный в текст или сообщение. Однако в этом случае этот Secret код попадал непосредственно к мошенникам, которые использовали его, чтобы выдать себя за владельца счета и снять средства.

Хотя в обвинительном заключении Пауэлла FTX не названа жертвой, утверждения, связанные с крупнейшим инцидентом мошенничества с подменой SIM-карт, описанным в обвинительном заключении, явно относятся к «взлому» FTX, который произошел во время публичного объявления о банкротстве этой компании — даты, время и суммы совпадают с публичными сообщениями об этом взломе, а сообщения СМИ включали подтверждение, предоставленное инсайдерами расследования, что FTX на самом деле является «Компанией-жертвой-1», как описано в Пауэлле. Во время взлома FTX было много предположений относительно виновных: внутренняя работа, теневые государственные регуляторы?

Читать дальше: Тайна взлома FTX, возможно, раскрыта: США обвиняют троих в краже, включая печально известную атаку на Криптo биржу

Многие заголовки статей, которые подхватили обвинительное заключение Пауэлла, заявляют, что тайна раскрыта: трое обвиняемых совершили взлом FTX. Но на самом деле обвинительное заключение предполагает обратное. Хотя обвинительное заключение описывает трех обвиняемых конкретно и поименно в обвинениях относительно кражи PII, переноса номеров мобильных телефонов на SIM-карту, полученную обманным путем, и продажи украденных кодов доступа FTX, обвинительное заключение, в частности, опускает любые ссылки на трех обвиняемых при описании фактического хищения средств FTX.

Вместо этого в нем говорится, что «сообщники получили несанкционированный доступ к счетам [FTX]» и «сообщники перевели более 400 миллионов долларов в виртуальной валюте из виртуальных валютных кошельков [FTX] в виртуальные валютные кошельки, контролируемые сообщниками». При составлении обвинительных заключений принято называть обвиняемых в действиях, совершенных обвиняемыми. Здесь именно неназванные «сообщники» предприняли последние и самые важные шаги. Тайна того, кем могут быть эти «сообщники», остается живой и может продолжаться до тех пор, пока новые обвинения не будут сняты или суд не раскроет больше фактов.

Замена SIM-карт, регуляторы и бизнес-риски

Дело FTX подчеркивает растущую осведомленность прокуроров и регулирующих органов о простоте и распространенности схем подмены SIM-карт. Чтение обвинительного заключения Пауэлла мало чем отличается от чтения ONE из сотен обвинительных заключений о краже кредитных карт, которые федеральные и государственные прокуроры ведут каждый год. Что касается мошенничества, подмена SIM-карт — это недорогой, несложный и механический способ. Но если вы преступник, это работает.

Подмена SIM-карт в значительной степени является результатом уязвимостей в протоколах телекоммуникаций по борьбе с мошенничеством и идентификации, а также результатом относительно слабых процедур по борьбе с мошенничеством и проверке идентификации, используемых по умолчанию для слишком многих поставщиков онлайн-услуг, включая компании финансовых услуг. Недавно, в декабре 2023 года, Федеральная комиссия по связи выпустилаОтчет и заказпринятие мер, направленных на устранение уязвимостей SIM-замены беспроводных провайдеров. Отчет и приказ включают требование, чтобы беспроводные провайдеры использовали безопасные методы аутентификации клиентов перед выполнением замены SIM-карты, описанной в обвинительном заключении Пауэлла, стремясь при этом сохранить относительную легкость, которой пользуются клиенты при законном переносе телефонного номера на новое устройство. В условиях растущего осознания легкости, с которой преступники, занимающиеся заменой SIM-карт, используют базовую MFA и менее безопасную 2FA,особенно по незащищенным каналам обмена SMS-сообщениями, этот баланс будет и дальше создавать проблемы как для телекоммуникационных компаний, так и для поставщиков услуг, включая Криптo , которые от них зависят.

Криптo

Беспроводные провайдеры не одиноки в том, что сталкиваются с растущим вниманием, связанным с обвинениями Пауэлла. Это дело также несет уроки и предупреждения для Криптo .

Даже если ответчики по делу Powell не были теми, кто фактически получил доступ к кошелькам FTX и опустошил их, они якобы предоставили коды аутентификации для этого, которые они получили с помощью довольно простой (как утверждается) схемы обмена SIM-картами. На фоне зарождающегося режима кибербезопасности SEC дело подчеркивает необходимость для бирж, работающих в США, разрабатывать процессы оценки и управления рисками кибербезопасности, включая «взломы» типа тех, что были совершены в деле FTX. Учитывая собственный опыт SECкак жертва недавней атаки по подмене SIM-карт, можно ожидать, что Отдел по обеспечению соблюдения правил будет уделять больше внимания атакам на биржи с подменой SIM-карт.

Это может поставить офшорные биржи, которые избегают надзора SEC или других регулирующих органов, в невыгодное положение. Требования SEC относительно регулярного Раскрытие информации информации об управлении рисками кибербезопасности, стратегии и управлении — в сочетании с внешним аудитом того же — гарантируют, что клиенты и контрагенты могут понять шаги, которые такие фирмы предпринимают для снижения рисков события, подобного FTX. Офшорные фирмы могут применять аналогичные прозрачные подходы к раскрытию информации о кибербезопасности, но это предполагает склонность к прозрачности со стороны фирм, которые могут испытывать некоторую аллергию на это понятие — как это было с FTX. Криптo и проекты могут ожидать возросшего давления — со стороны регулирующих органов и рынка — с целью принятия, раскрытия, демонстрации и поддержания практик кибербезопасности на уровне, значительно превышающем тот, который позволяет элементарным мошенникам, как описывают обвиняемых в деле Powell, скрываться с миллионами.