L'FTX Hack: il mistero irrisolto dello scambio di SIM

Il Dipartimento di Giustizia ha recentemente, silenziosamente, desecretatoun'accusa che alcune piattaforme di media tradizionali e Cripto hanno rapidamente ripreso e segnalato come accuse che hanno "risolto" il mistero di un furto di 400 milioni di dollari in Criptovaluta precedentemente detenuta dal crollo del crypto-scambio FTX.

L'atto di accusa non era questo. Ma riflette una crescente preoccupazione normativa ed economica che devono affrontare sia le aziende Criptovaluta on-shore che quelle offshore. La frode "SIM swap" che avrebbe preso di mira FTX, nel novembre 2022, è quasi uno strumento di "hacking" rudimentale, ONE sul furto di identità e sulla falsa impersonificazione di un titolare di conto finanziario, che prende di mira in gran parte le aziende che forniscono protezioni Privacy sempre più antiquate tramite identificazione a due o più fattori ("2FA" e "MFA", rispettivamente) per i loro clienti e titolari di conto.

Gli enti regolatori federali negli Stati Uniti sono sempre più attenti ai pericoli posti dai sistemi che si basano su procedure di protezione Privacy vulnerabili agli scambi di SIM. La Federal Communications Commission sta perseguendo nuove regole, mentre le recenti normative sulla sicurezza informatica della SEC richiederanno probabilmente alle aziende di migliorare la propria politica Privacy di fronte a questa specifica minaccia. In effetti, la SEC è ancora più motivata ora, forse, dato il suo recente fiasco di scambio di SIM.

Nuove accuse e gli hacker di FTX

Il 24 gennaio 2024, l'ufficio del procuratore degli Stati Uniti per il distretto di Columbia ha desecretato un atto di accusa, intitolato United States v. Powell, et al., in seguito all'arresto di alcuni degli imputati nominati in quel caso. Come affermato, Robert Powell, Carter Rohn ed Emily Hernandez hanno lavorato insieme per ottenere informazioni di identificazione personale ("PII") rubate di oltre 50 vittime.

Successivamente, il trio ha utilizzato le informazioni rubate per creare falsi documenti di identità allo scopo di ingannare i fornitori di servizi di telecomunicazioni affinché scambiassero l'account del telefono cellulare della vittima del furto di identità con un nuovo dispositivo in possesso degli imputati o di "cospiratori" senza nome a cui il trio di imputati ha venduto le informazioni di identificazione personale rubate.

Lo schema si basa sulla riassegnazione del numero di telefono delle vittime a un telefono fisico controllato da un criminale, che comporta il trasferimento o la portabilità del numero delle vittime (e, in sostanza, dell'identità) al Subscriber Identity Module, o "SIM", carta fisicamente conservata nel nuovo dispositivo del criminale. Questo è definito schema di "scambio SIM".

Attraverso il sistema di scambio di SIM denunciato in United States v. Powell, gli imputati e i cospiratori non identificati hanno indotto fraudolentemente i fornitori di telecomunicazioni wireless a riassegnare i numeri di telefono cellulare dalla scheda SIM dell'utente legittimo a quella controllata dagli imputati o da quei cospiratori non identificati. Lo scambio di SIM ha quindi consentito al trio Powell e ad altri di accedere ai conti elettronici delle vittime presso vari istituti finanziari per rubare fondi da tali conti.

Il vantaggio principale per gli imputati dello scambio di SIM era la possibilità di intercettare sui nuovi dispositivi fraudolenti i messaggi provenienti da quei conti finanziari che cercavano di autenticare che la persona che accedeva al conto fosse il legittimo titolare del conto. Normalmente, quando non è coinvolta alcuna frode, tale autenticazione si tradurrebbe in un SMS o altro messaggio inviato all'utente legittimo, che autenticava quindi il tentativo di accesso al conto fornendo un codice incluso nel testo o nel messaggio. In questo caso, tuttavia, quel codice Secret è andato direttamente ai truffatori, che hanno utilizzato il codice per impersonare il titolare del conto e prelevare fondi.

Sebbene l'atto di accusa di Powell non nomini FTX come vittima, le accuse che circondano il più grande incidente di frode di scambio SIM descritto nell'atto di accusa si riferiscono chiaramente all'"hack" di FTX che si è verificato al momento dell'annuncio pubblico di bancarotta di quella società: le date, gli orari e gli importi sono in linea con la segnalazione pubblica di quell'hack e i resoconti dei media hanno incluso la conferma fornita da addetti ai lavori dell'indagine che FTX è, di fatto, "Victim Company-1" come descritto in Powell. Al momento dell'hack di FTX, c'erano molte speculazioni sui colpevoli: lavoro interno, oscuri regolatori governativi?

Continua a leggere: Il mistero dell'hacking di FTX potrebbe essere risolto: gli Stati Uniti accusano tre persone di furto, tra cui il famigerato attacco a un exchange Cripto

Molti dei titoli degli articoli che hanno ripreso l'atto di accusa di Powell proclamano che il mistero è risolto: i tre imputati hanno commesso l'hacking di FTX. Ma l'atto di accusa in realtà suggerisce il contrario. Mentre l'atto di accusa descrive i tre imputati in modo specifico e per nome nelle accuse riguardanti il furto di PII, il trasferimento di numeri di cellulare su una SIM ottenuta fraudolentemente e la vendita di codici di accesso FTX rubati, l'atto di accusa omette in modo notevole qualsiasi riferimento ai tre imputati quando descrive l'effettivo furto di fondi FTX.

Invece, si riferisce che "i cospiratori hanno ottenuto un accesso non autorizzato agli account [FTX]" e "i cospiratori hanno trasferito oltre 400 milioni di dollari in valuta virtuale dai portafogli di valuta virtuale [FTX] ai portafogli di valuta virtuale controllati dai cospiratori". La convenzione nella stesura degli atti di accusa è di nominare gli imputati in azioni commesse dagli imputati. Qui, sono i "cospiratori" senza nome ad aver compiuto i passi finali e più significativi. Il mistero su chi possano essere quei "cospiratori" rimane vivo e potrebbe continuare a meno che e finché non vengano ritirate nuove accuse o un processo riveli altri fatti.

SIM swap, regolatori e rischio aziendale

Il caso FTX evidenzia una crescente consapevolezza tra i procuratori e gli enti regolatori della facilità e della prevalenza degli schemi di scambio di SIM. Leggere l'atto di accusa di Powell non è diverso dalla lettura di ONE dei centinaia di atti di accusa per furto di carte di credito che i procuratori federali e statali perseguono ogni anno. Per quanto riguarda le frodi, lo scambio di SIM è economico, poco sofisticato e meccanico. Ma, se sei un criminale, funziona.

Lo scambio di SIM funziona in gran parte come risultato delle vulnerabilità nei protocolli antifrode e di identificazione delle telecomunicazioni e come risultato di procedure di verifica antifrode e di identificazione relativamente deboli utilizzate come predefinite per troppi fornitori di servizi online, comprese le società di servizi finanziari. Di recente, nel dicembre 2023, la Federal Communications Commission ha emesso unSegnala e ordinaadottare misure volte ad affrontare le vulnerabilità di scambio SIM dei provider wireless. Il rapporto e l'ordine includono un requisito che i provider wireless utilizzino metodi sicuri di autenticazione dei clienti prima di effettuare cambiamenti SIM del tipo descritto nell'atto di accusa di Powell, cercando al contempo di mantenere la relativa facilità di cui i clienti godono quando trasferiscono legittimamente un numero di telefono su un nuovo dispositivo. Di fronte a una crescente consapevolezza della facilità con cui i perpetratori di scambio SIM sfruttano l'MFA di base e il 2FA meno sicuro,in particolare sui sistemi di messaggistica SMS non sicuri, questo gioco di equilibri continuerà a rappresentare una sfida sia per le telecomunicazioni sia per i fornitori di servizi, comprese le aziende Cripto , che fanno affidamento su di esse.

Sicurezza Cripto

I provider wireless non sono i soli ad affrontare un controllo sempre più attento in relazione alle accuse dell'atto di accusa di Powell. Il caso contiene anche lezioni e avvertimenti per l'industria Cripto .

Anche se gli imputati in Powell non fossero le persone che hanno effettivamente avuto accesso e svuotato i portafogli FTX, avrebbero fornito i codici di autenticazione per farlo, che hanno ottenuto tramite uno schema di scambio SIM piuttosto elementare (come presunto). Sullo sfondo del nascente regime di sicurezza informatica della SEC, il caso evidenzia la necessità per gli exchange che operano negli Stati Uniti di sviluppare processi per valutare e gestire i rischi per la sicurezza informatica, inclusi gli "hack" del tipo perpetrati nel caso FTX. Data l'esperienza della SEC stessacome vittima di un recente attacco di scambio SIM, possiamo aspettarci che la Divisione di Controllo presti maggiore attenzione agli attacchi di scambio di SIM contro gli exchange.

Ciò potrebbe mettere in una posizione di svantaggio gli exchange offshore che evitano la SEC o altri controlli normativi. I requisiti della SEC in merito alla Dichiarazione informativa regolare di informazioni sulla gestione del rischio di sicurezza informatica, strategia e governance, insieme alla verifica esterna delle stesse, garantiscono che i clienti e le controparti possano comprendere i passaggi che tali aziende intraprendono per mitigare i rischi di un evento simile a FTX. Le aziende offshore possono adottare approcci trasparenti simili alle divulgazioni di sicurezza informatica, ma ciò presupporrebbe un'inclinazione alla trasparenza da parte di aziende che potrebbero essere in qualche modo allergiche a tale nozione, come lo era FTX. Le aziende e i progetti Cripto possono prevedere una pressione crescente, da parte degli enti regolatori e del mercato, per adottare, divulgare, dimostrare e mantenere pratiche di sicurezza informatica a un livello ben superiore a quello che consente a truffatori rudimentali, come sono descritti gli imputati in Powell, di fuggire con milioni.