FTX Hack: нерозгадана таємниця заміни SIM-карти

Міністерство юстиції нещодавно тихо розпечатали обвинувальний акт що деякі мейнстримові та Крипто медійні платформи швидко підхопили та повідомили як звинувачення, які «розгадали» таємницю крадіжки Криптовалюта на суму 400 мільйонів доларів, яку раніше тримала криптобіржа FTX, що зруйнувалася.

Звинувачення було не таким. Але це відображає зростаючу регулятивну та економічну стурбованість як он-шорних, так і офшорних Криптовалюта компаній. Шахрайство з «обміном SIM-карти», яке нібито було спрямоване проти FTX у листопаді 2022 року, є майже елементарним «хакерським» ONE , заснованим на крадіжці особистих даних і неправдивому видаванні особи за власника фінансового рахунку, який здебільшого націлений на компанії, які надають все більш застарілі дво- або багатофакторну ідентифікацію («2FA» і «MFA» відповідно) захист Політика конфіденційності для своїх клієнтів і власників рахунків.

Федеральні регулюючі органи в США все більше пристосовуються до небезпек, які створюють системи, які покладаються на процедури захисту Політика конфіденційності , які є вразливими до заміни SIM-карти. Федеральна комісія зі зв’язку впроваджує нові правила, тоді як нещодавні правила SEC щодо кібербезпеки, ймовірно, вимагатимуть від компаній активізувати свою гру Політика конфіденційності перед лицем цієї конкретної загрози. Дійсно, SEC ще більше мотивована зараз, мабуть, з огляду на її власне нещодавнє фіаско із заміною SIM-карти.

Нові звинувачення і хакери FTX

24 січня 2024 року прокуратура округу Колумбія оприлюднила обвинувальний висновок із заголовком «Сполучені Штати проти Пауелл та ін.» після арешту деяких фігурантів цієї справи. Як стверджується, Роберт Пауелл, Картер Рон і Емілі Ернандес працювали разом, щоб отримати викрадену особисту ідентифікаційну інформацію («PII») понад 50 жертв.

Згодом тріо використало цю викрадену інформацію для створення фальшивих документів, що посвідчують особу, щоб змусити постачальників послуг зв’язку замінити обліковий запис стільникового телефону жертви крадіжки на новий пристрій, який належав обвинуваченим або неназваним «співучасникам», яким тріо обвинувачених продавало викрадену ідентифікаційну інформацію.

Схема ґрунтується на перепризначенні номера телефону жертви фізичному телефону, контрольованому злочинцем, що тягне за собою передачу або перенесення номера жертви (і, по суті, ідентифікації) на модуль ідентифікації абонента, або «SIM», картку, яка фізично зберігається на новому пристрої злочинця. Це називається схемою «SIM swap».

Завдяки схемі обміну SIM-карти, про яку йдеться у справі «Сполучені Штати проти Пауелла», обвинувачені та неназвані співучасники шахрайським шляхом спонукали постачальників бездротового зв’язку перепризначити номери мобільних телефонів із SIM-картки законного користувача на той, який контролювався відповідачами чи цими неназваними співучасниками. Потім обмін SIM-картою дозволив тріо Пауелл та іншим отримати доступ до електронних рахунків жертв у різних фінансових установах, щоб викрасти кошти з цих рахунків.

Ключовою перевагою для обвинувачених у обміні SIM-картою була можливість перехоплювати на нових шахрайських пристроях повідомлення з цих фінансових рахунків, щоб підтвердити, що особа, яка має доступ до облікового запису, є законним власником облікового запису. Зазвичай, якщо не йдеться про шахрайство, ця автентифікація призведе до SMS-повідомлення або іншого повідомлення, надісланого законному користувачеві, який потім автентифікує спробу доступу до облікового запису, надавши код, включений у текст або повідомлення. Однак у цьому випадку цей Secret код перейшов безпосередньо до шахраїв, які використовували код, щоб видати себе за власника рахунку та зняти кошти.

Хоча звинувачення Пауелла не називає FTX жертвою, звинувачення щодо найбільшого випадку шахрайства із заміною SIM-карт, описаного в обвинувальному акті, чітко стосуються «злому» FTX, який стався під час публічного оголошення про банкрутство цієї компанії – дати, час і суми збігаються з публічними повідомленнями про цей злом, а повідомлення ЗМІ містять підтвердження, надане інсайдерами розслідування, що FTX насправді є «компанією-жертвою-1», як описано в Пауелл. Під час злому FTX було багато припущень щодо зловмисників: внутрішня робота, тіньові державні регулятори?

Читайте також: Таємниця злому FTX, можливо, розкрита: США звинуватили тріо у крадіжці, включаючи сумнозвісну атаку на Крипто біржу

Чимало заголовків статей, у яких згадується обвинувальний висновок щодо Пауелла, стверджують, що таємницю розгадано: троє обвинувачених скоїли злом FTX. Але насправді звинувачення говорить про протилежне. Хоча в обвинувальному акті конкретно та поіменно описано трьох обвинувачених у звинуваченнях щодо крадіжки ідентифікаційної інформації, перенесення номерів мобільних телефонів на SIM-карту, отриману шахрайським шляхом, і продажу викрадених кодів доступу FTX, в обвинувальному акті, зокрема, відсутні будь-які посилання на трьох обвинувачених, коли описується фактична крадіжка коштів FTX.

Натомість у ньому йдеться про те, що «співучасники змови отримали несанкціонований доступ до облікових записів [FTX]» і «співучасники перевели понад 400 мільйонів доларів у віртуальній валюті з віртуальних гаманців [FTX] на гаманці віртуальної валюти, контрольовані співзмовниками». Звичайність при складанні обвинувальних актів полягає в тому, щоб називати обвинувачених у діях, вчинених підсудними. Тут неназвані «співучасники» зробили останні і найважливіші кроки. Таємниця того, ким можуть бути ці «співучасники» змови, залишається живою і може тривати до тих пір, поки не знімуть нові звинувачення або суд не розкриє більше фактів.

SIM-свопи, регулятори та бізнес-ризики

Справа FTX підкреслює зростання обізнаності серед прокурорів і регуляторів про легкість і поширеність схем обміну SIM-карт. Читання звинувачення у справі Пауелла мало чим відрізняється від читання ONE із сотень звинувачень у крадіжках кредитних карток, які щороку розглядають федеральні та державні прокурори. Що стосується шахрайства, то заміна SIM-карти є недорогою, невибагливою та механічною. Але, якщо ти злочинець, це працює.

Заміна SIM-карти працює здебільшого через уразливості в протоколах захисту від шахрайства та ідентифікації телекомунікацій, а також у результаті відносно слабких процедур захисту від шахрайства та перевірки ідентифікації, які використовуються за замовчуванням для багатьох постачальників онлайн-послуг, включаючи фірми, що надають фінансові послуги. Нещодавно, у грудні 2023 року, Федеральна комісія зі зв’язку випустила a Звіт і замовлення вжиття заходів, спрямованих на усунення вразливості постачальників бездротового зв’язку щодо заміни SIM-карти. Звіт і розпорядження містять вимогу про те, щоб постачальники послуг бездротового зв’язку використовували безпечні методи автентифікації клієнтів перед виконанням змін SIM-карти, як описано в обвинуваченні у справі Пауелла, при цьому прагнучи зберегти відносну легкість, якою користуються клієнти, коли законно переносять номер телефону на новий пристрій. З огляду на зростаючу обізнаність про те, з якою зловмисники під час заміни SIM-карти використовують базовий MFA і менш безпечний 2FA, особливо через незахищені канали обміну SMS-повідомленнями, цей акт балансування продовжуватиме створювати проблеми як для телекомунікацій, так і для постачальників послуг, включаючи Крипто , які покладаються на них.

Крипто

Провайдери бездротового зв'язку не єдині, хто стикається з дедалі більшою ретельністю щодо звинувачень Пауелла. Справа також містить уроки та попередження для Крипто .

Навіть якщо відповідачі у справі Powell не були людьми, які фактично отримували доступ до гаманців FTX і їх вичерпували, вони нібито надали для цього коди автентифікації, які вони отримали за допомогою досить простої (як стверджується) схеми обміну SIM-карт. На тлі зародження режиму кібербезпеки SEC цей випадок підкреслює необхідність для бірж, які працюють у США, розробити процеси для оцінки та управління ризиками кібербезпеки, включаючи «зломи», подібні до того, що було вчинено у справі FTX. Враховуючи власний досвід SEC як жертву нещодавньої атаки під час обміну SIM-картою, ми можемо очікувати, що Відділ правозастосування приділятиме більше уваги атакам обміну SIM-картою на біржі.

Це може поставити офшорні біржі, які уникають SEC або іншого регуляторного нагляду, у невигідне становище. Вимоги SEC щодо регулярного Повідомлення інформації щодо управління ризиками кібербезпеки, стратегії та управління – у поєднанні із зовнішнім аудитом цього – гарантують, що клієнти та контрагенти можуть зрозуміти кроки, які такі фірми вживають для пом’якшення ризиків подій, схожих на FTX. Офшорні фірми можуть застосовувати подібні прозорі підходи до розкриття інформації про кібербезпеку, але це передбачає схильність до прозорості з боку фірм, які можуть бути певною мірою алергією на це поняття, як це було у FTX. Крипто та проекти можуть передбачити посилення тиску – з боку регуляторів і з боку ринку – щодо прийняття, розкриття, демонстрації та підтримки практик кібербезпеки на рівні, значно вищому за той, який дозволяє рудиментарним шахраям, як описано підсудними у справі Пауелла, втекти з мільйонами.