CoinDesk пояснює використання SIM-карти

Сьогодні ми розбираємо атаки на SIM-карти таким чином, який може зрозуміти навіть ваш дідусь, представлені як у AUDIO , так і в повнотекстовому форматі.

Щоб отримати ранній доступ до наших регулярних випусків за східним часом, підпишіться на Apple Подкасти, Spotify, Кишенькові зліпки, Google Подкасти, Кастбокс, Вишивальник, Радіо Громадське або RSS.

У пантеоні Крипто «викрадення SIM-карти» є ONE із найгірших. Злом, який меншою мірою є зломом, а більше соціальною інженерією, в основному є формою крадіжки особистих даних, коли зловмисник віддалено міняє SIM-картку жертви, зазвичай за допомогою оператора мобільного зв’язку, а потім зламує електронну пошту жертви, Крипто, банківські рахунки, загалом усе те, що ви точно T хочете, щоб хтось зламував. І наслідки можуть бути жахливими, це також принесло зловмисникам десятки мільйонів здобичі за останні кілька років.

Це зухвало, але цьому також можна запобігти, якщо трохи усвідомити.

У цьому епізоді програми CoinDesk Explains редактори CoinDesk Адам Б. Левін і Джон Біггс пояснюють атаку, що вона може означати Для вас, як вона працює та що ви можете зробити, щоб запобігти їй у спосіб, який зрозуміє навіть Джон. Особлива подяка гуру безпеки Ральф Ечемендія за пораду в сьогоднішньому подкасті.

Щоб отримати ранній доступ до наших регулярних випусків за східним часом, підпишіться на Apple Подкасти, Spotify, Кишенькові зліпки, Google Подкасти, Кастбокс, Вишивальник, Радіо Громадське або RSS.

Стенограма

Адам: У пантеоні Крипто «викрадення SIM-карти» є ONE із найгірших. Злом, який меншою мірою є зломом, а більше соціальною інженерією, в основному є формою крадіжки особистих даних, коли зловмисник дистанційно змінює SIM-картку жертви, зазвичай за допомогою оператора мобільного зв’язку, а потім зламує вашу електронну пошту, Крипто, банківські рахунки, загалом усе те, що ви точно T хочете, щоб хтось зламував. Це зухвало, але цьому також можна запобігти, трохи усвідомивши. І наслідки можуть бути жахливими, це також принесло зловмисникам десятки мільйонів здобичі за останні кілька років.

Джон: Ласкаво просимо до CoinDesk Explains, періодичної серії від команди Ринки Daily, де ми розбиваємо та досліджуємо складний світ блокчейнів і криптовалют, таких як Bitcoin. Я Джон Біггс...

Адам: ...а я Адам Б. Левін. У сучасному тісно зв’язаному світі втрачати телефон завжди неприємно, але коли до цього речення додати «свої гроші», це стає ще боліснішим.

Тож цього разу ми говоримо про те, як деякі люди втратили свої телефони [і] за допомогою хитрої соціальної інженерії іноді десятки мільйонів доларів разом із цим.

Адам: Отже, Джоне, ти відчув це на власні очі, так?

Джон: Абсолютно. Ще в 2017 році якийсь придурок поміняв свою сім-карту моєю, мабуть, зателефонувавши в T-Mobile і прикинувшись мною. Вони сказали: «Привіт, це Джон Біггс, я оновив свій телефон чи щось таке, і потрібно, щоб ти переніс послугу на мій новий телефон». Зрозуміло, що телефонував не я, а T-Mobile, мабуть, повірив їм і зробив це.

А ТЕПЕР ДРАМАТИЧНА РЕКОНСТРУКЦІЯ З ДЖОНОМ БІГГСОМ У РОЛІ REP ТЕЛЕФОННОЇ КОМПАНІЇ ТА АДАМОМ Б. ЛЕВІНОМ У РОЛІ ФЕЙКОВОГО ДЖОНА БІГГСА.

Джон: Дякуємо за дзвінок у вашу телефонну компанію. Чим я можу вам допомогти?

Адам: Привіт, так, я Джон Біггс, і мені потрібно, щоб ти активував мою нову SIM-карту.

Джон: Я радий вам у цьому допомогти. Чи можете ви підтвердити свій обліковий запис за допомогою номера соціального страхування, групи крові та розміру взуття?

Адам: Насправді ні, я дуже поспішаю і мені просто потрібна ваша допомога.

Джон: Вибачте, сер, я T можу вам допомогти, якщо ви T можете підтвердити свій обліковий запис.

Адам: Дарн, добре, я передзвоню пізніше.

ЧЕРЕЗ ДВІ ГОДИНИ

Джон: Привіт, це ще один REP вашої телефонної компанії. Чим я можу вам допомогти?

Адам: Привіт, я Джон Біггс, і мені потрібно, щоб ти активував мій новий телефон.

Джон: Чи можете ви підтвердити свій обліковий запис?

Адам: ні.

Джон: Це добре, дозвольте мені зараз внести цю зміну.

КІНЕЦЬ

Джон: Це майже так просто. Справжня хитрість полягає в тому, що якщо вам T вдається з першим REP, ви можете передзвонювати необмежену кількість разів, доки служба підтримки вашої телефонної компанії не помилиться, не забуде протокол безпеки та не погодиться внести зміни. І ці хлопці справді розумні, на фоні яких звучить плач дитини тощо.

Адам: Це частина соціальної інженерії. Насправді ніхто не зламує та не атакує ваш телефон, вони користуються тим фактом, що служба підтримки T-Mobile хоче допомогти вам або, принаймні, не кричати на вас. Отже, коли хтось дзвонить і прикидається вами, замість цього він може допомогти комусь, хто намагатиметься у вас вкрасти. Так що сталося?

Джон: Так, мій оператор придбав його та допоміг їм, активувавши їхній новий телефон за допомогою мого поточного номера. Це, у свою чергу, вимкнуло мережеві служби на моєму телефоні, а через кілька хвилин дозволило хакеру змінити більшість моїх паролів у Gmail, пароль у Facebook і надіслати текстові повідомлення від мого імені.

Адам: Добре, тепер у них є ваш мобільний телефон, вони отримують ваші телефонні дзвінки, вони отримують ваші текстові повідомлення, а ви T. Але як це дає їм можливість змінити всі ці паролі?

Джон: Практично всі служби від Gmail до Facebook і Coinbase до BYNANCE стурбовані тим, що ви погано керуватимете своїми паролями. Тому вони зробили щось ще більш небезпечне, додавши двофакторну автентифікацію за допомогою текстового повідомлення. Багато компаній припинили це, але це все ще величезна діра.

Адам: Отже, коли ваш телефон став їхнім телефоном, тепер вони могли скинути ваш пароль.

Джон: Це вірно. Усі двофакторні сповіщення за замовчуванням надходили на мій номер телефону, який тепер був їхнім номером телефону, тому я не отримав жодного сповіщення, і приблизно через дві хвилини я був заблокований із свого цифрового життя.

Адам: Ой.

Джон: Так… Я все це помітив десь о 22:00. і мені пощастило. Я знав, що відбувається, і подзвонив у T-Mobile. До 10:30 вечора. Я скинув свою стару SIM-карту та почав процес зміни всіх своїх паролів і посилення своїх двофакторних облікових записів і облікового запису T-Mobile.

Адам: Вони щось отримали?

Джон: Отже, це смішна історія. Тиждень тому я спілкувався з кимось у Крипто у Facebook. Я забув про що. Тож через кілька днів після цього я отримав повідомлення від того хлопця у Facebook Messenger, у якому говорилося: "Привіт, у мене дуже погана фінансова ситуація, і я T можу дістатися до своєї Крипто. Чи можете ви надіслати мені шість Bitcoin правильно, а я надішлю вам вісім завтра?"

І я кажу: «Га, це звучить як хороша угода!»

Адам: Ви надіслали Bitcoin?

Джон: На щастя, ні, але це був МО. Коли я був заблокований у своїх облікових записах, хакери прикинулися мною та попросили моїх друзів надіслати їм Bitcoin. ONE із них надіслав смс ONE з моїх друзів і сказав: «Якщо я T отримаю цю Крипто зараз, вони витягнуть пробку з мого тата в лікарні». Вони зрозуміли, що мій тато хворий. І Крипто друг відповів: «Так, у лікарнях не так працюють».

Адам: Це жахливо.

Був також випадок Ніколаса Труглія, 21-річного жителя Нью-Йорка, який викрав кілька телефонів і фактично вкрав мільйони доларів. Згідно з судовими документами, Труглія нібито вкрав у свого батька і навіть мертвого чоловіка.

Зокрема, Truglia отримав Майкла Терпіна, інвестора в Криптовалюта . Він скористався ONE з цих соціально спроектованих замін SIM-карт на телефоні Терпіна, щоб вкрасти 24 долари мільйон у Крипто, що призвело до того, що Терпін відкрив $200 мільйонний позов проти свого оператора мобільного зв’язку AT&T.

Джон: Скільки було у цього хлопця? Згідно з судовими документами, він мав кілька трезорів. «ONE мав понад 40 мільйонів доларів готівкової вартості різних криптовалют, а ONE мав понад 20 мільйонів доларів грошової вартості різних криптовалют». Це божевільно.

Адам: Тож як ти відбиваєшся?

Джон: У мого приятеля Ральфа, генерального директора Seguru та техніка Олівера Стоуна, є кілька ідей. Сьогодні я розмовляв із ним про захист від злому SIM-карти.

Адам: Отже двофакторне все, але ні з текстовими повідомленнями.

Джон: Однозначно. Ніколи не покладайтеся на свій телефон щодо безпеки. Це занадто небезпечно. Завжди використовуйте 2-факторний контроль без SMS.

Адам: Вас нещодавно зламали?

Zohn: <РАПТОВО ДЗВОНИТЬ З ТЕЛЕФОНУ> Не те, що я можу сказати.

Адам: Почекай, ти дзвониш зі свого телефону?

Zohn: Так... Повір мені, Адаме. повір мені. До речі, Адаме, чи можу я позичити два Bitcoin до завтра? Я поверну тобі три Bitcoin вранці.

<ЗВУК ПРОВАЛІ>