SIM卡調換:黑客們如何通過電信運營商偷走價值百萬的加密貨幣?

8月15日,美國投資者Michael Terpin對AT&T提起訴訟,要求賠償2.24億美元。 他認為,該電信巨頭為黑客提供了拿到他本人電話號碼的機會,從而導致了重大加密貨幣搶劫的發生。

Michael Terpin是一名波多黎各企業家兼TransformGroup的首席執行官。 他還是比特幣(BTC)天使投資者集團BitAngels以及數字貨幣基金BitAngels DApps Fund的聯合創始人。

Terpin表示,在7個月內他遭到兩起黑客攻擊,導致自己價值2400萬美元的加密貨幣被盜。他向加州律師事務所Greenberg Glusker提交的長達69頁的起訴文件中提到了兩個獨立的案件,分別發生在2017年6月11日和2018年1月7日。根據該文件,Terpin自90年代以來一直是AT&T的長期用戶,而該公司卻沒能保護他的數字身份信息。

目前Terpin正在向該電信公司索要2億美元的懲罰性賠償以及2400萬美元的額外賠償。

SIM卡調換騙局:這家電信供應商和加密貨幣被盜有什麼關係?

訴訟文件中寫道,"AT&T的做法就好比酒店給了拿着假身份證的小偷房間鑰匙和保險箱鑰匙,小偷很輕鬆地就把不屬於他的珠寶拿走了,”Terpin表示遭遇SIM卡調換騙局,其也被成為SIM卡劫持或“輸出端口欺詐”。 

SIM卡調換(SIM Swap)是導致電信供應商泄漏信息的過程,例如T-Mobile將目標用戶的電話號碼轉移到黑客持有的SIM卡上。一旦黑客們收到電話號碼,就可以使用該號碼重置攻擊目標的密碼並進入其帳戶,包括加密貨幣交易賬戶。

Motherboard提到,有些時候,盜竊者甚至能由此繞過雙因素驗證。其調查顯示,SIM卡調換“相對來說不難操作,也被越來越廣泛地傳播”,“加密貨幣賬戶經常被作為目標。”

犯罪分子進行此類黑客攻擊的策略可能會有所不同。有時,他們會說服客服相信他們是用戶本人,從而誘導客服交出相關數據。不過據Motherboard稱,犯罪分子經常使用所謂的“plugs”,即電信公司內部人員私下獲得報酬進行非法的信息交換。一位匿名SIM卡攻擊者向媒體表示:

“大家都在這麼幹[…] 如果你給(電信公司員工)提供好處,他們就會做的。”

來自Verizon的匿名人士向 Motherboard透露,有人曾通過Reddit找到他,向他提供賄賂以進行SIM卡調換。另一名Verizon的員工表示黑客承諾他們如果能合作,“幾個月內就能賺到10萬美金”,他們只需要“(在上班期間)幫(黑客)激活SIM卡或者把工號和密碼提供給(黑客)。” 

與Terpin案關聯度更高的是Motherboard與AT&T員工的對話,該對話暗示了AT&T的系統設計可能會允許一些員工替換安全功能,如輸出號碼時該公司要求的密碼:

“在這裡,密碼是可以被更改的 […] 通過使用新的密碼,號碼可以被立即導出。”

Terpin是怎麼被黑的? 

前文提到,Terpin於2017年6月和2018年1月被攻擊過兩次。

據訴訟文件稱,在2017年夏天,在手機突然死機後他發現AT&T號碼被黑了。隨後,他“在AT&T商店11次嘗試密碼失敗後”,從AT&T得知其密碼被更改了。

在黑進Terpin的手機後,攻擊者利用他的個人信息(包括電話和短信)進入他的帳戶(包括加密貨幣賬戶,但未指明具體賬戶),這些該帳戶均以電話號碼為驗證工具。據報道,黑客還侵入了Terpin的Skype帳戶,並成功假冒Terpin說服了他的一個客戶向黑客發送加密貨幣。

據報道,AT&T在黑客從Terpin手中盜走“大量資金”之後才切斷了黑客的訪問。該文件還指出,事件發生後的2017年6月13日,Terpin與AT&T代表會面並討論了這次攻擊事件,AT&T承諾他的帳戶將被升級到“更高安全級別”,並帶有“特殊保護”,與名人使用的賬戶類似:

“AT&T 還向 Terpin先生表示,安全升級措施的使用將能防止Terpin的號碼在未經他本人的允許下被移到其它手機上,因為除了Terpin先生和其妻子外沒人知道密碼。”

然而好景不長,半年後的2018年1月7日,Teprin的手機再次被關閉,他再次遭到攻擊。投訴文件表示雖然在2017年6月採取額外的安全措施,但”AT&T商店的一名員工與一名進行SIM卡調換的欺詐者合作“:

“AT&T之後承認,美國康州Norwich市AT&T商店的一名員工 違反AT&T的承諾,將Terpin先生的號碼轉給詐騙者,包括在2017年6月11日攻擊事件後在Terpin設置過高級別安全保護的賬戶,而這升級的安全系統理應是為了保護賬戶免受欺詐的。”

據稱儘管他試圖在手機停止工作後“立即”聯繫AT&T,但黑客還是偷走了大約2400萬美元的加密貨幣。據稱AT&T“忽略”了他的請求,讓黑客有充足的時間獲取有關Terpin加密賬戶的足夠信息,從而將資金轉移到黑客自己的賬戶。原告訴稱Terpin的妻子當時也試圖打電話給AT&T,但當她要求與AT&T的欺詐部門聯繫時,她的電話“一直”在轉接等待中。

Teprin案可作為SIM卡調換欺詐的判例

在原告的訴訟中,強調了端口輸出欺詐的規模之大:

“AT&T 對其1.4億用戶所面臨的SIM卡欺詐袖手旁觀。AT&T明確知道用戶面對SIM調換欺詐,以及對其進行的安全措施是無效的,因而該公司因直接對這些攻擊案件負責。AT&T已經坐牢業界大佬的位置,因此對保護用戶避免欺詐根本沒什麼實質性舉動。”

Gizmodo就該事件向AT&T尋求意見,據稱該公司否認這一指控,並表示公司已準備好捍衛自己:

“我們對這些控訴持有異議,期待當庭對峙。”

Terpin向Gizmodo表示,此類加密貨幣搶劫通常由一些“Discord網絡小組的大學生們”發起。他還堅持在自己的案例中,欺詐者是通過AT&T的員工實現盜竊的:

“目前所有(加密貨幣攻擊)案件的唯一共同點就是他們都和電信公司內部員工有關[…] 只要沒人把你的數字信息泄露給他人,(交易加密貨幣)就是安全的。”

他補充說自己還聯繫了聯邦調查局、國土安全局和美國特勤局,據稱這些機構已鎖定參與該攻擊的AT&T員工。

Terpin還說自己不會再給出自己的手機號了,而會更相信Google Voice。

Cointelegraph已與Terpin的律師建立聯繫,詳述其被盜通證的類型,以及其加密貨幣賬戶歸屬。相關文章將在請求得到回覆後進行發表。