Bitcoin-инвестор Майкл Терпин (Michael Terpin) подал в суд на телекоммуникационного гиганта AT&T из-за хищения более 3 000 000 различных криптовалютных токенов. Терпин требует от компании возмещения своих потерь и еще 216 млн долларов в качестве возмещения убытков. Согласно тексту искового заявления, в январе 2018 года сотрудник AT&T в Коннектикуте, при личном контакте с мошенником, согласился перенести телефонный номер пострадавшего на новую SIM-карту, хотя к этому моменту аккаунт Терпина уже имел дополнительную защиту и статус «высокий риск», так как ранее инвестора уже пытались обокрасть таким способом.

Как только телефонный номер Терпина перешел в пользование злоумышленников, они смогли преодолеть двухфакторную аутентификацию, защищавшую криптовалютные аккаунты инвестора, и перевели миллионы токенов на другие кошельки. Очевидно, с основными логинами и паролями от учетных записей злоумышленники справились еще раньше.

Пострадавший утверждает, что сотрудник AT&T попросту проигнорировал тот факт, что у мошенника нужно было спросить удостоверение личности (либо не сумел распознать подделку), а также, учитывая «VIP»-статус аккаунта Терпина, сотрудник должен был запросить у обратившегося к нему человека специальный шестизначный код, предназначенный для таких случаев. Судя по всему, этого сделано не было.

Как уже было упомянуто выше, это не первый раз, когда инвестора пытались ограбить таким образом. По словам пострадавшего, начиная с 2017 года неизвестные преступники пытаются «угнать» его SIM-карту, и для этого они обошли не менее 11 магазинов, пока им, наконец, не повезло. После первых попыток «угона» номера, Терпин добился от AT&T дополнительных мер защиты для всего аккаунта, и в компании заверили, что теперь он находится «под особой защитой», и его учетная запись на особом счету.

Однако когда в январе произошла вторая успешная атака, Терпин даже не сумел быстро блокировать свой номер, так как инцидент имел место в воскресенье, а внутренний департамент AT&T по борьбе с мошенниками по воскресеньям не работает. В итоге промедление стоило инвестору 23,8 млн долларов в криптовалютном эквиваленте.

Нужно сказать, что в последнее время о подобных атаках на SIM-карты говорят и пишут очень много, особенно после того как в июле 2018 года журналисты Vice Motherboard обнародовали результаты расследования, доказывающего, что данную практику широко используют злоумышленники, что позволяет им «угонять» учетные записи и чужие личности десятками и даже сотнями.

Часто таким образом атакуют именно криптовалютных инвесторов. К примеру, в июле текущего года в Калифорнии были предъявлены обвинения 20-летнему хакеру, который входил в группу, похитившую более 5 млн долларов у 40 разных людей. Основной тактикой группы является именно мошенничество с SIM-картами, а главными целями — держатели криптовалют.

Также стоит вспомнить о том, что еще в 2016 году Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил интересный документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации является «недопустимым» и «небезопасным». Об этом же давно говорят ИБ-специалисты, ведь вариантов атак здесь может быть много. К примеру, атакующие могут эксплуатировать уязвимости в SS7 и перехватить сообщения, осуществить так называемый SIM swap, то есть перевыпустить SIM-карту жертвы (что и случилось с Терпиным), наконец, SMS-сообщения может перехватить даже малварь, проникнувшая на устройство. Словом, полагаться на двухфакторную аутентификацию через SMS-сообщения, когда речь идет о защите десятков миллионов долларов, это определенно скверная идея.

6 комментариев

  1. AgentJordan

    17.08.2018 at 02:22

    Неужели так трудно купить второй телефон и симку, о которых никто не знает, и привязать к ним? Вот еще вопрос: если ты ничего не понимаешь в онлайн безопасности (что даже пароли взломали/украли), то имея все свои доги коины, нельзя было нанять человека или людей, которые в этом разбираются?
    Настолько VIP аккаунт, что даже фото нет 🙂 Сотрудник, такой как и Терпин — полный 0, он даже и не в курсе что такие атаки существуют, ему главное знать чем at&t от vodafone отличается. А по поводу 6 значного пароля, когда ты говоришь что не помнишь его, тебе с улыбкой отвечают: «no problem :-)» — проверено.

    • Pavel

      17.08.2018 at 07:51

      риск менджемент у него конечно хреновый, но кейс сильный, особенно с повторным хищением — интересно посмотреть чем закончится. если его какой-нибудь дисклеймер не подведет, должен закончиться весомым settlement.

  2. alex.subscriber

    18.08.2018 at 21:11

    Вся суть и соль изложена в последнем предложении: 2FA через SMS = говно.

  3. Lmar

    19.08.2018 at 22:11

    Могли и своего человека к оператору внедрить

  4. Atos4444

    20.08.2018 at 13:37

Оставить мнение