Цього підприємця так часто міняли SIM-карти, що він заснував компанію для боротьби з цим

Перший раз, коли йому замінили SIM-карту в 2018 році, Хасіб Аван взяв це на підборіддя та сподівався, що це більше T повториться. Потім стався другий випадок. Потім третій. Потім четвертий. Після останнього обміну Аван перестав довіряти своєму постачальнику мобільного зв’язку щодо KEEP свого облікового запису та взяв справу у свої руки: він заснував власну компанію з надання послуг стільникового зв’язку.

Це був головний поворот від його колишньої повсякденної роботи, керуючої мережею банкоматів BitAccess Bitcoin , компанією, співзасновником якої він був і яка, до речі, зробила його PRIME мішенню для заміни SIM-карт.

Його нове підприємство, Ефані, спрямований на вирішення проблеми, яка є надто поширеною для користувачів Криптовалюта – проблеми, яку більшість операторів мобільного зв’язку, як свідчать проблеми самого Авана, не змогли належним чином вирішити.

Що таке заміна SIM-карти?

Заміна SIM-карти — це соціальний хак, за якого зловмисник переносить номер телефону жертви на SIM-карту, яку він контролює. Щоб викрасти мобільний обліковий запис, зловмисник може видати себе за жертву, щоб переконати представника служби підтримки замінити номер на нову SIM-карту. У більш складних випадках заміна SIM-карти може відбуватися як внутрішня робота або шляхом підкупу REP служби підтримки клієнтів.

Ці соціально спровоковані атаки стали надто поширеною проблемою в сфері Bitcoin і Криптовалюта , особливо для високопоставлених осіб. Як правило, свопери SIM-карт націлюються на користувачів Криптовалюта з надією отримати доступ до своїх облікових записів обміну через текстові повідомлення та двофакторну автентифікацію.

Мабуть, найвідомішим прикладом цього вектора атаки є Майкл Терпін, який втратив близько 24 мільйонів доларів від заміни SIM-карти, що спонукало Позов на суму 220 доларів проти AT&T. Багато інші користувачі Криптовалюта стали жертвами таких атак, і згодом з їхніх обмінних рахунків вичерпали кошти. Хакер Twitter у 2020 році був квітковий частина синдикату, який організував обмін SIM-картами.

Читайте також: Суддя відхилив позов про відшкодування збитків у розмірі 200 мільйонів доларів у позові AT&T Крипто Hack

Efani: компанія з кібербезпеки, яка надає телекомунікаційні послуги

Аван є в довгому списку жертв Крипто SIM-свопу, тому він заснував Efani у 2019 році.

Компанія працює BIT схоже на оператора віртуальної мобільної мережі. Він використовує мережеву інфраструктуру Verizon, AT&T і T-Mobile для обслуговування своїх клієнтів. Але він покладається лише на цю інфраструктуру для забезпечення покриття стільникового зв’язку. Усе інше для плану в розмірі 99 доларів США на місяць, від керування даними до обслуговування клієнтів, керується вдома відповідно до власної практики Efani.

"Ми зосереджені на кібербезпеці. Інші компанії є провайдерами телекомунікацій, для яких інші компанії забезпечують безпеку. Ми є фірмою з кібербезпеки, яка надає телекомунікаційні послуги".

За словами Авана, більшість провайдерів мобільного зв’язку потребують лише номер телефону та номер рахунку, щоб внести зміни в існуючий план. Вони також дають користувачам можливість встановити PIN-код, але навіть цей рівень захисту можна обійти, якщо хакер достатньо кмітливий. Ще складніше контролювати хабарі та внутрішню роботу.

11 шарів захисту

Рішення Efani для цієї проблеми? Зробити так біса важко внести зміни в обліковий запис, що атака практично неможлива.

«Ви не можете внести зміни у свій обліковий запис, зателефонувавши в службу підтримки», — сказав Аван CoinDesk. "Навіть якщо ви зателефонуєте, вони не мають права вносити будь-які зміни. Щоб змінити SIM-карту, вам, можливо, доведеться пройти 11 рівнів автентифікації".

Ці 11 рівнів автентифікації є максимальною кількістю методів перевірки, доступних для користувачів Efani, тоді як кожен обліковий запис має мінімум сім кроків автентифікації, коли користувач хоче замінити свою SIM-карту. Ці перевірки передбачають надання останніх чотирьох цифр кредитної картки у файлі, номера телефону, номера SIM-карти та іншої інформації.

"Ми зробили це настільки суворим, що виключає будь-який шанс заміни SIM-карти. Більшість людей здається після другого або третього кроку автентифікації", - сказав Аван.

Читайте також: Соціальна інженерія: чума на Крипто і Twitter, яку навряд чи зупиниться

Мабуть, найважливіша функція – і останній крок для авторизації змін в обліковому записі – включає нотаріальне засвідчення листа про наміри. Кожен користувач має відвідати державного нотаріуса, щоб дозволити зміну своїх послуг, і цей нотаріус перевіряється командою юристів Efani.

Навіть після цього останнього кроку починає діяти семиденний період «охолодження», перш ніж можна буде активувати нову SIM-карту. І це T може бути будь-яка стара SIM-карта, куплена у вашому місцевому магазині; Efani надсилає кожному власнику облікового запису дві зашифровані SIM-карти, коли вони реєструються в службі, і лише резервна копія має право містити номер користувача, якщо стару картку буде втрачено.

Старі трюки, нові пси

На додачу до цих заходів Efani проводить перевірку репутації всіх співробітників, вимагає авторизації кількох співробітників для внесення змін в обліковий запис і зберігає інформацію про клієнтів на сервері, щоб KEEP дані окремо. Крім того, імена клієнтів і номери телефонів зберігаються окремо.

Плани Efani також застраховані Lloyd’s of London на суму до 5 мільйонів доларів США на випадок будь-якої крадіжки або витоку даних, які можуть статися через послуги Efani.

Аван, який запустив компанію за допомогою власних фінансів, сказав, що вона прибуткова і на шляху до досягнення семизначного доходу цього року. Близько третини його клієнтів є користувачами Криптовалюта , сказав він, додавши, що решта, як правило, є високопоставленими особами, включаючи професійних спортсменів LA Lakers і San Francisco Giants, інших знаменитостей і чималу кількість юристів.

Коли його запитали, що можна зробити, щоб «виправити» поточний стан заміни SIM-карт (не починаючи конкуруючий бізнес), Аван песимістично оцінив здатність старих постачальників до змін. Більшість співробітників служби підтримки клієнтів, які спочатку є підрядниками, «недостатньо досвідчені, щоб зрозуміти рівень загрози».

Більше того, зміна чогось, що стосується так мало клієнтів, ймовірно, не на їхньому радарі, особливо враховуючи, що це вимагатиме повного перегляду їхніх процесів.

"Я T думаю, що цю проблему вирішить будь-який оператор. Зміна поточної системи вимагатиме оновлення системи та процесів для кожного мобільного облікового запису в Америці, і це непросто зробити", - сказав Аван.

"Друга проблема полягає в тому, що перевізники хочуть вірити, що це не проблема. Ймовірно, вона стосується 1% населення. Це було б все одно, що сказати: "Добре, кожна машина, що продається в США, має куленепробивне скло".