Этого предпринимателя так часто подменяли SIM-картами, что он основал компанию, чтобы бороться с этим

Когда в 2018 году ему впервые поменяли SIM-карту, Хасиб Аван принял это как должное и надеялся, что это больше T повторится. Затем произошел второй инцидент. Затем третий. Затем четвертый. После последней замены Аван перестал доверять своему мобильному оператору в KEEP безопасности своего аккаунта и взял дело в свои руки: он основал собственную компанию сотовой связи.

Это был серьезный поворотный момент по сравнению с его прежней работой, где он руководил сетью Bitcoin банкоматов BitAccess, компанией, соучредителем которой он являлся и которая, кстати, сделала его PRIME мишенью для подмены SIM-карт.

Его новое начинание,Эфани, призван решить проблему, которая слишком распространена среди пользователей Криптовалюта , — проблему, которую большинство операторов мобильной связи, как показывают собственные проблемы Авана, не смогли должным образом решить.

Что такое подмена SIM-карты?

Подмена SIM-карты — это взлом с использованием социальной инженерии, при котором злоумышленник переносит номер телефона жертвы на контролируемую им SIM-карту. Чтобы взломать мобильный аккаунт, злоумышленник может выдать себя за жертву, чтобы убедить представителя службы поддержки клиентов перенести номер на новую SIM-карту. В более сложных случаях подмена SIM-карты может осуществляться как внутренняя работа или путем подкупа REP службы поддержки клиентов.

Эти атаки с использованием социальной инженерии стали слишком распространенной проблемой в сфере Bitcoin и Криптовалюта , особенно для ее высокопоставленных личностей. Обычно подменщики SIM-карт нацеливаются на пользователей Криптовалюта в надежде получить доступ к их биржевым аккаунтам через текстовые сообщения и двухфакторную аутентификацию.

Пожалуй, самым известным примером такого вектора атаки является случай Майкла Терпина, который потерял около 24 миллионов долларов из-за подмены SIM-карты, что вызвалоИск на 220 долларов против AT&T. Множестводругие пользователи Криптовалютастали жертвами таких атак и впоследствии их биржевые счета были опустошены. Хакер Twitter 2020 года был дажечасть синдиката, организовавшего подмену SIM-карт.

Читать дальше: Судья отклонил иск о возмещении ущерба в размере 200 млн долларов по иску о взломе Криптo AT&T

Efani: фирма по кибербезопасности, предоставляющая телекоммуникационные услуги

Аван входит в длинный список жертв подмены Криптo -SIM-карт, поэтому в 2019 году он основал Efani.

Компания работает как виртуальный оператор мобильной связи. Она использует сетевую инфраструктуру Verizon, AT&T и T-Mobile для обслуживания своих клиентов. Но она полагается на эту инфраструктуру только для обеспечения покрытия сотовой связи. Все остальное для плана за $99/месяц, от управления данными до обслуживания клиентов, управляется внутри компании в соответствии с собственными практиками Эфани.

«Наша цель — кибербезопасность. Другие компании — поставщики телекоммуникационных услуг, которым другие компании предоставляют безопасность. Мы — фирма по кибербезопасности, которая предоставляет телекоммуникационные услуги».

По словам Авана, большинство мобильных провайдеров требуют только номер телефона и счета для внесения изменений в существующий план. Они также дают пользователям возможность установить PIN-код, но даже этот уровень защиты можно обойти, если хакер достаточно сообразителен. Еще сложнее контролировать взятки и внутренние работы.

11 уровней защиты

Решение этой проблемы от Эфани? Сделать внесение изменений в аккаунт настолько сложным, что атака станет практически невозможной.

«Вы не можете внести изменения в свой аккаунт, позвонив в службу поддержки клиентов», — сказал Аван CoinDesk. «Даже если вы позвоните, они не уполномочены вносить какие-либо изменения. Для чего-то вроде замены SIM-карты вам, возможно, придется пройти 11 уровней аутентификации».

Эти 11 уровней аутентификации — это максимальное количество методов проверки, доступных пользователям Efani, в то время как каждая учетная запись имеет минимум семь шагов аутентификации, когда пользователь хочет заменить свою SIM-карту. Эти проверки включают предоставление последних четырех цифр кредитной карты в файле, номера телефона, номера SIM-карты и другой информации.

«Мы сделали его настолько строгим, что исключается любая возможность подмены SIM-карты. Большинство людей сдаются после второго или третьего этапа аутентификации», — сказал Аван.

Читать дальше: Социальная инженерия: чума на Криптo и ​​Twitter, которая вряд ли прекратится

Возможно, самая важная функция – и последний шаг для авторизации изменения в счете – включает нотариальное заверение письма о намерениях. Каждый пользователь должен посетить нотариуса, чтобы авторизовать изменение в своем сервисе, и этот нотариус проверен юридической командой Efani.

Даже после этого последнего шага вступает в силу семидневный «период охлаждения», прежде чем можно будет активировать новую SIM-карту. И это T может быть старая SIM-карта, купленная в местном магазине; Efani отправляет каждому владельцу аккаунта две зашифрованные SIM-карты, когда они регистрируются в сервисе, и только резервная карта имеет право содержать номер пользователя в случае утери старой карты.

Старые трюки, новые собаки

В дополнение к этим мерам Efani проводит проверку биографических данных всех сотрудников, требует авторизации нескольких сотрудников для внесения изменений в учетные записи и хранит информацию о клиентах в хранилищах сервера, чтобы данные KEEP разделены. Кроме того, имена клиентов и номера телефонов хранятся отдельно.

Планы Efani также застрахованы на сумму до 5 миллионов долларов в Lloyd's of London на случай кражи или утечки данных, которые могут произойти при использовании услуг Efani.

Аван, который поднял компанию на собственные финансы, сказал, что она прибыльна и находится на пути к семизначному доходу в этом году. Около трети ее клиентов являются пользователями Криптовалюта , сказал он, добавив, что остальные, как правило, являются известными людьми, включая профессиональных спортсменов LA Lakers и San Francisco Giants, других знаменитостей и довольно много юристов.

На вопрос о том, что можно сделать, чтобы «исправить» текущее состояние подмены SIM-карт (не запуская конкурирующий бизнес), Аван был пессимистично настроен относительно возможностей для изменений у традиционных поставщиков. Большинство сотрудников службы поддержки клиентов, которые изначально являются подрядчиками, «недостаточно искушены, чтобы понимать уровень угрозы».

Более того, изменение чего-то, что затрагивает так мало клиентов, вероятно, не входит в их планы, особенно если учесть, что это потребовало бы полной перестройки их процессов.

«Я T думаю, что эту проблему решит какой-либо оператор. Изменение текущей системы потребует обновления системы и процессов для каждого мобильного аккаунта в Америке, а это нелегко сделать», — сказал Аван.

«Вторая проблема в том, что перевозчики хотят верить, что это не проблема. Это касается, вероятно, 1% населения. Это все равно, что сказать: «Хорошо, каждая машина, продаваемая в США, поставляется с пуленепробиваемыми стеклами».