Привязывать аккаунт к SIM-карте давно стало стандартом безопасности в банках и различных финансовых сервисах, в том числе и в криптовалютных. Кажется, что двухфакторная аутентификация надежно защищает данные и активы.
Но на деле это не так: в апреле студент из Калифорнии получил 10 лет тюрьмы за кражу криптовалют с помощью SIM-карт. 21-летний Джоэл Ортиз смог украсть порядка $7.5 миллиона в криптовалютах через так называемый SIM-свопинг (обмен сим-картами) — мошенническую схему, в рамках которой злоумышленники получают доступ к информации жертвы, а затем обращаются к оператору сотовой связи и просят перевыпустить SIM-карту, выдавая себя за другого человека. С помощью SIM-свопинга крадут криптовалюты на миллионы долларов.
Насколько SIM-свопинг угрожает держателям криптовалют и как обезопасить свои крипто-активы?
Навигация по материалу:
Чем опасен SIM-свопинг?
Первая серия крупных краж криптовалют с помощью SIM-свопинга произошла еще зимой 2016 года в США. Жертвы хранили криптовалюты на различных биржах, используя двухфакторную авторизацию, когда для доступа с нового устройства надо получить код на телефон.
Сначала мошенники узнают номер телефона и персональные данные жертвы (через открытые источники или через сотрудников операторов за часть вознаграждения). После этого блокируют симку — для этого достаточно лишь позвонить в службу поддержки, представиться и сообщить о потере телефона. Затем надо добиться перевода номера на свою симку. Сделать это можно по-разному: обманув менеджера, вступив в сговор с сотрудниками телеком-компании или просто попав на сговорчивого представителя службы поддержки.
Получив нужные данные, мошенники устанавливают контроль над номером. Это дает им доступ к большинству интернет- и банковских сервисов, которые используют двухфакторную аутентификацию и к которым привязана симка. В том числе и к криптобиржам и онлайн-кошелькам.
«Важно понимать, что SIM-свопинг — это не только и не столько о криптовалютах. Прецеденты с похищением криптовалюты — частный случай, который получил резонанс. В целом же угроза намного более глобальна и затрагивает все аспекты защиты персональных данных», — заметила Екатерина Малярова, кандидат юридических наук, преподаватель программы дополнительного образования BCL.
Насколько распространен SIM-свопинг?
Точных данных никто не знает. Сотовые операторы России не ответили на наш запрос.
Больше всего громких случаев SIM-свопинга произошло в США. Речь идет о нескольких тысячах прецедентов в год. Судя по всему, главная цель американских хакеров — активные члены криптосообщества, держатели крупных сумм в криптовалютах. По словам биткоин-предпринимателя Джоби Уикса, он не знает ни одного человека из американского крипто-комьюнити, у которого не воровали бы номер. Полиция Калифорнии даже взяла случаи SIM-свопинга на особый контроль, а по данным отчета CipherTrace, SIM-свопинг — трендовое направление среди мошенников в 2018 году.
Злоумышленники — это, в основном, юные хакеры в возрасте от 19 до 25 лет. В июле 2018 года полиция арестовала 20-летнего студента колледжа Джоэла Ортиза, укравшего с помощью SIM-свопинга около $7.5 миллиона в криптовалютах, из которых $5.2 миллиона он украл у предпринимателя из Купертино. Всего мошенник обокрал около 40 человек. В апреле этого года калифорнийский суд приговорил его к 10 годам тюрьмы.
Также в 2018 году за SIM-свопинг арестовали:
- 19-летнего Ксавьера Нарваеза, обвиняемого в краже около $1 миллиона;
- 21-летнего Николаса Трулья, обвиняемого во взломе симок нескольких крупных предпринимателей из Кремниевой долины и краже крупных сумм с кошельков на Coinbase и Gemini;
- 25-летнего Джозефа Хандшумахера, обвиняемого в краже 57 ВТС;
- 23-летнего Джозефа Харриса и 21-летнего Роберта Чилдерса, которые обвиняются в краже посредством SIM-свопинга $14 миллионов у криптовалютной компании Crowd Machine;
- 20-летнего Доусона Бейкиса, обвиненного в 50 случаях мошенничества с использованием SIM-свопинга.
«Данный вектор атаки довольно старый, раньше его использовали для кражи средств через онлайн-банкинг. SIM-карты очень плохо защищены и легко клонируются. Также легко сделать копию сим-карты у самого оператора», — заметил Эдуард Барк, сооснователь криптовалютной биржи EXMO.
Упоминаний о подобных арестах в России пока нет, но если вы или ваши знакомые столкнулись с SIM-свопингом, напишите об этом в комментариях.
Можно ли вернуть похищенные средства?
Если кто-то украл деньги с вашего банковского счета, вы, скорее всего, сможете их вернуть. Если мошенник получил доступ к вашему крипто-кошельку, вам вряд ли удастся восполнить потери. Ведь в случае с SIM-свопингом непонятно, кто должен нести ответственность за утрату средств — оператор, биржа или сам владелец кошелька? Насколько нам известно, пока ни одна биржа или оператор не компенсировали пострадавшим их убытки.
«Полагаю, что ключевую роль в процессе обеспечения безопасности владельцев SIM-карт должна быть отведена собственно не владельцам, а мобильным операторам. Как показывают исследования, в значительном числе случаев SIM-свопинг становится возможным благодаря внутренним утечкам информации, а также участию сотрудников телеком-компаний в этих атаках», — отметила Екатерина Малярова.
Эдуард Барк, сооснователь криптовалютной биржи EXMO, в случае доказанной кражи с использованием SIM-свопинга посоветовал «обращаться к оператору, так как злоумышленник воспользовался всеми данными, которые пользователь (пусть и не специально, а по неосторожности) ему предоставил».
В августе 2018 года предприниматель и CEO TransformGroup Майкл Терпин, который стал жертвой мошенников, решил, что отвечать должен оператор. Он подал иск на $224 миллиона против телекоммуникационной компании AT&T. Терпин обвинил провайдера в том, что тот предоставил хакерам возможность завладеть его номером. В 69-страничном иске Терпин утверждает, что из-за двух хакерских атак с использованием SIM-свопинга он потерял $24 миллиона. Теперь предприниматель требует AT&T вернуть похищенные средства и выплатить компенсацию в размере $200 миллионов.
Такой же логики придерживается и американская юридическая компания Silver Miller, подавшая арбитражные иски против AT&T и T-Mobile от имени нескольких жертв, лишившихся из-за SIM-свопинга $621,000, $400,000 и $250,000 в криптовалюте. Silver Miller обвиняет операторов в том, что те создают благоприятные условия для мошенничества.
Как еще мошенники могут получить доступ к криптовалютам жертвы через SIM-карты?
К сожалению, SIM-свопинг не единственная угроза, исходящая от сим-карт.
Перехват СМС с паролем. Чтобы получить доступ к счетам, не всегда нужно воровать номер. С помощью протокола Signaling System 7 (SS7) мошенники умеют перехватывать коды и текстовые послания в СМС. Еще в 2017 году Positive Technologies провели эксперименты по перехвату СМС и подключению к аккаунтам Coinbase, показавшие, насколько просто войти в чужие аккаунты.
Переадресация сообщений. Мошенники могут также взломать личный кабинет пользователя на сайте оператора и настроить переадресацию всех сообщений на другой номер.
Простое воровство. В конце концов, симку или телефон можно просто украсть. Пока жертва заметит пропажу, злоумышленники могут вывести все средства.
Как не стать жертвой SIM-свопинга?
Самый простой и очевидный совет — это не привязывать аккаунт к сим-карте. Но, к сожалению, многие сервисы требуют номер мобильного телефона в обязательном порядке. В этом случае обезопасить свои активы и персональные данные поможет соблюдение перечисленных ниже рекомендаций.
Не указывать публично номер телефона, к которому привязаны аккаунты на крипто-площадках. Не сообщайте этот номер никому и нигде его не публикуйте. Это должен быть отдельный номер телефона, купленный специально для привязки к аккаунту на бирже или крипто-кошельке. Не привязывайте на этот номер аккаунты соцсетей, почты или других бирж. Один аккаунт/кошелек — один номер.
Телефон с симкой лучше хранить отдельно, в защищенном месте. Вы должны пользоваться этим номером раз в 2−3 месяца и не забывать его пополнять, чтобы оператор не заблокировал его и не отдал другому человеку.
Установите дополнительный пароль. Чтобы заблокировать симку, достаточно позвонить оператору и назвать ФИО. Но большинство операторов предоставляют возможность установить дополнительный пароль. Тогда, если кто-то обратится за блокировкой симки или ее перевыпуском, у него запросят не только ФИО, но и пароль.
Не используйте двухфакторную аутентификацию. Вместо нее, если позволяет платформа, используйте специальную программу для двухфакторной аутентификации. Например:
- Google Authenticator,
- Authy,
- Microsoft Authenticator,
- Duo,
- Authenticator plus.
Эти приложения привязываются к смартфону, а не к номеру, и генерируют временные коды (живущие 30 секунд) для входа в аккаунт. Чтобы перестраховаться, запишите где-нибудь копию ключей от приложений аутентификации на случай, если потеряете или сломаете телефон. Помните, что аутентификацию с помощью приложения надо также поставить и на другие сервисы, привязанные к аккаунту на бирже. Например, к почтовому ящику.
Вместо приложений можно также использовать метод физической аутентификации — аппаратные USB и NFC ключи безопасности, например, Yubikey.
«Не пользуйтесь двухфакторной аутентификацией с помощью SMS, используя вместо них TOTP-коды для аутентификации, не отправляйте свой номер телефона незнакомым людям и не публикуйте его в открытых источниках», — посоветовал держателям криптовалют Эдуард Барк, сооснователь криптовалютной биржи EXMO.
- Отключите переадресацию звонков. Это значительно затруднит план мошенников получить быстрый доступ к вашим данным.
- Храните средства на холодных автономных кошельках, а сами кошельки — в сейфе или другом, недоступном для посторонних людей и хакерских атак месте.
- Оберегайте свои персональные данные. Если у мошенников будут ваши паспортные данные, скан или копия паспорта, их шансы обмануть доверчивых сотрудников сотового оператора резко возрастают.
- Сохраняйте анонимность. Не обязательно быть параноиком, но не стоит лишний раз говорить, на какой бирже вы храните средства, сколько именно у вас биткоинов и как вы купили ламбо после очередного бычьего ралли.
- Будьте бдительными. Банально не оставляйте телефон без присмотра. Если внезапно пропадает связь и не получится никуда дозвониться, не откладывайте звонок оператору и блокируйте номер.
Важно понимать, что ни один из этих способов не является гарантией сохранности активов и персональных данных. Чтобы защитить свои средства, надо использовать весь арсенал защиты от крипто-мошенников.
Эдуард Барк также посоветовал:
«Чтобы избежать потери средств из-за SIM-свопинга или других видов мошенничества, мы рекомендуем включать обязательную полную защиту аккаунта (выбор данной позиции означает, что при изменении настроек профиля, вывода средств или авторизации, помимо стандартных логина и пароля в целях дополнительной защиты будут использованы уникальные одноразовые коды через Google Authenticator), не использовать одинаковые пароли для почты и персонального аккаунта, не открывать подозрительные письма и не переходить по незнакомым ссылкам. Кроме того, у нас очень сильный антифрод-департамент, который контролирует поведение пользователя, а в случае обнаружения подозрительной активности может временно приостановить вывод и запросить некоторые данные у пользователя для его дополнительной идентификации».
А вы или ваши знакомые сталкивались с SIM-свопингом? Напишите в комментариях.
Дата публикации 04.05.2019
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.
- Инструкция: Как новичку купить биткоин на крипто-бирже за рубли? - 01.07.2023
- Binance Earn — как получать пассивный доход от хранения криптовалюты на бирже Binance? - 01.07.2023
- Что такое стейкинг и как получать пассивный доход от криптовалют? - 26.12.2022
- Конфискация криптовалюты в России: как работает механизм изъятия криптоактивов? - 26.12.2022
- Как минимизировать риски при торговле фьючерсами на Binance Futures? - 26.12.2022