Em 7 de novembro, um blog de notícias e investigação sobre segurança, o KrebsOnSecurity, publicou uma entrevista com a REACT Task Force, um grupo de aplicação da lei da Califórnia dedicado ao combate ao cibercrime.
De acordo com o artigo, os membros do REACT consideram o “swap de SIM” (swap - troca) uma de suas “maiores prioridades” em uma tentativa de combater fraudes com criptomoedas. Veja como os fraudadores usam cartões SIM de 99 centavos comprados do eBay para roubar milhões de cripto com apenas uma ligação.
“Swap de SIM”: o que é isso?
Swap de SIM é o processo de fazer um provedor de telecomunicações como, digamos, T-Mobile, transferir o número de telefone da vítima para um cartão SIM mantido pelo atacante - normalmente comprado do eBay e conectado a um telefone “queimador”, como Samy Tarazi, um sargento do escritório do xerife do condado de Santa Clara e um supervisor do REACT disseram ao KrebsOnSecurity:
“Estamos falando de crianças com idades entre 19 e 22 anos capazes de roubar milhões de dólares em cripto [...] e agora estamos lidando com alguém que compra um cartão SIM de 99 centavos do eBay, o coloca em um queimador barato. telefone, faz uma ligação e rouba milhões de dólares. Isso é muito notável."
De acordo com a investigação da Motherboard, o swap de SIM “é relativamente fácil de se realizar e se generalizou”. Também sugeriu que “centenas de pessoas nos EUA tiveram seu número de telefone celular sequestrado neste chamado 'Port Out Scam'. "
De fato, na Califórnia, onde a equipe REACT está baseada, o swap de SIM parece ser uma nova mania entre os fraudadores de cripto. Tarazi disse à KrebsonSecurity:
"É provavelmente a maior prioridade do REACT no momento, uma vez que o swap de SIM está acontecendo ativamente com alguém, provavelmente, mesmo quando falamos agora."
Ele acrescentou, no entanto, que "há apenas algumas dezenas de indivíduos" responsáveis por cometer esses crimes:
"Para as quantias que estão sendo roubadas e o número de pessoas sendo bem-sucedidas em recebê-las, os números provavelmente são históricos".
Então, como exatamente ter acesso ao número de telefone de alguém ajuda a roubar cripto?
Depois que os hackers acessam o número de telefone da vítima, eles o usam para redefinir as senhas e invadir as contas, incluindo e-mail e contas em trocas de criptomoedas. Consequentemente, eles obtêm acesso a fundos cripto armazenados em carteiras quentes.
As táticas empregadas pelos criminosos para realizar o swap de SIM podem variar. De acordo com a Motherboard, os fraudadores costumam usar os chamados “plugs”: insiders de empresas de telecomunicações que são pagos para fazer swaps ilegais. Um sequestrador anônimo do SIM disse à publicação:
“Todo mundo os usa [...] Quando você diz a alguém [que trabalha em uma empresa de telecomunicações] eles podem ganhar dinheiro, eles fazem isso.”
Uma fonte anônima diferente da provedora de telecomunicações Verizon disse à Motherboard que ele havia sido abordado via Reddit, onde ele recebeu subornos em troca de swaps de SIM. Da mesma forma, um gerente de loja da T-Mobile teria recebido mensagens de fraude no Instagram depois de postar uma foto sua e marcá-la no #T-mobile. Foi-lhe dito que ele poderia fazer até US $ 1.000 por semana para transferir números de telefone dos clientes em novos cartões SIM.
Outro funcionário da Verizon alegou que o hacker, que também o encontrou no Reddit, prometeu que ganharia “US $ 100.000 em poucos meses” se cooperasse - tudo o que ele precisava fazer era “ativar os cartões SIM para [o hacker] quando [ele estava] no trabalho ou dava [ao atacante seu] ID e PIN do funcionário. ”
De fato, Caleb Tuttle, um detetive da Procuradoria Distrital de Santa Clara County, destacou três cenários comuns de swap de SIM em uma entrevista com KrebsOnSecurity:
- O atacante suborna ou ameaça um funcionário da loja chip para celular para ajudar no crime;
- Funcionários atuais e/ou antigos da loja de chip para celular abusam intencionalmente de seu acesso aos dados do cliente;
- Funcionários de lojas de chip para celular enganam associados desavisados em outras agências para trocar o cartão SIM da vítima por um novo.
O swap de SIM permite que os ladrões ignorem a autenticação de dois fatores, especialmente se envolver o backup do SMS, conforme indicado pela Wired. O comentário do detetive Tuttle para o KrebsOnSecurity parece confirmar isso: ele aconselha as pessoas a usarem algo diferente de mensagens de texto para autenticação de dois fatores em suas contas de e-mail. Especificamente, ele menciona o aplicativo móvel Authy ou o Google Authenticator como possíveis alternativas:
“Digamos que eu tenha uma conta na Coinbase e configurada para exigir uma senha e um código único gerado pelo Authy, mas minha conta do Gmail vinculada a essa conta da Coinbase não usa o Authy e usa apenas o SMS para dois fatores . Uma vez que o swap de SIM essa pessoa, muitas vezes eu também posso usar esse acesso para [solicitar um link via mensagem de texto] para redefinir sua senha do Gmail e, em seguida, configurar o Authy na conta do Gmail usando meu dispositivo. Agora tenho acesso à sua conta da Coinbase e posso bloquear você de maneira eficaz.”
O sargento Tarazi também insta o público a reconhecer o perigo potencial da autenticação de dois fatores baseada em SMS, embora tenha se tornado uma solução de segurança comum para serviços online.
“[...] a maioria das pessoas que não seguem o problema de swap de SIM não tem ideia do telefone e do cartão associado
“[...] a maioria das pessoas que não segue o problema de swap de SIM não tem ideia de que o telefone e as contas associadas podem ser acessados facilmente. [...] Nesse caso, a vítima não fez o download do malware nem caiu em um e-mail de phishing estúpido. Eles acabam sendo comprometidos porque seguiram o padrão da indústria”.
Quem são os alvos?
Pessoas que são ativas na comunidade de criptomoeda, principalmente: podem trabalhar em startups relacionadas a cripto, participar como palestrantes em conferências de blockchain ou discutir seus investimentos em cripto nas mídias sociais.
O tenente John Rose, do REACT, explica que é muito mais fácil e seguro para os operadores de SIM roubarem apenas fundos de cripto, mesmo que descubram senhas de contas bancárias tradicionais durante o hack:
“Muitas vítimas de swap de SIM estão compreensivelmente muito assustadas com o quanto de suas informações pessoais foram expostas quando esses ataques ocorrem. Mas [os atacantes] estão predominantemente interessados em direcionar criptomoedas pela facilidade com que esses fundos podem ser lavados através de casas de câmbio on-line e porque as transações não podem ser revertidas.”
A equipe do REACT participou de vários casos envolvendo swap de SIM neste momento.
Por exemplo, no início de julho de 2018, Christian Ferri, CEO da BlockStar, uma empresa de cripto baseada em San Francisco, foi hackeada e supostamente perdeu $ 100.000 em cripto como resultado do SIM swap, de acordo com a KrebsOnSecurity.
Ferri estava em uma viagem na Europa quando descobriu que seu telefone T-Mobile não tinha mais serviço - os hackers supostamente entraram no banco de dados de clientes da T-Mobile e desativaram o cartão SIM em seu telefone. Em vez disso, eles ativaram um novo, que foi plugado em seu próprio dispositivo.
Os ladrões usaram o controle do seu número de celular para alterar a senha da sua conta do Gmail. Em seguida, acessaram um documento do Google Drive com as credenciais da Ferri para outros sites, incluindo uma casa de câmbio criptomoedas. Apesar de ter a possibilidade de roubar mais fundos da Ferri, os ladrões só tinham como alvo a sua poupança de cripto.
Curiosamente, Ferri disse a KrebsOnSecurity que quando ele contatou a T-Mobile sobre o ataque, a empresa informou que o criminoso havia entrado em uma loja da T-Mobile e mostrou uma identidade falsa em nome de Ferri.
No entanto, quando a equipe REACT estudou filmagens de vigilância por vídeo a partir da data e hora de seu swap de SIM, supostamente não mostrou nenhuma evidência de alguém entrar na loja para apresentar uma identidade falsa. Ferri argumenta que a explicação da T-Mobile sobre o incidente "foi, na melhor das hipóteses, um mal-entendido e, mais provavelmente, um encobrimento em algum nível".
Polícia intervém: prisões estão sendo feitas
O primeiro caso relatado contra alguém que supostamente usou o swap de SIM surgiu no final de julho de 2018, quando a polícia da Califórnia prendeu Joe Ortiz, de 20 anos, que teria hackeado cerca de 40 vítimas com a ajuda de colaboradores ainda não identificados.
Como aponta a Motherboard, Ortiz e seus associados “visam especificamente pessoas envolvidas no mundo da criptomoeda e blockchain”, supostamente hackeando várias pessoas durante a conferência Consensus em Nova York em maio.
O hacker agora enfrenta 28 acusações: 13 acusações de roubo de identidade, 13 de hackers e duas acusações de roubo, de acordo com a queixa apresentada contra ele. Ortiz teria dito aos investigadores que ele e seus "co-conspiradores" têm acesso a "milhões de dólares em criptomoeda", conforme a declaração apresentada no tribunal pelo investigador chefe.
No mês seguinte, em agosto, a polícia na Califórnia prendeu outro suposto swapper de SIM, um jovem de 19 anos
Xzavyer Narvaez. Narvaez foi indiciado em sete acusações de crimes de computador, fraude de identidade e roubo, de acordo com a queixa.
Antes de ser preso, Narvaez supostamente conseguiu gastar parte do Bitcoin roubado em carros esportivos. Depois de estudar os registros do DMV, a polícia descobriu que ele comprou uma McLaren em 2018, pagando parcialmente em Bitcoin e em parte negociando um Audi R8 2012, que Narvaez comprou com Bitcoin em junho de 2017.
De acordo com documentos judiciais, a polícia também obteve dados do BitPay, provedor de pagamento de Bitcoin, e o Bittrex, de criptomoedas. Ele revelou que, entre 12 de março e 12 de julho de 2018, a conta de Narvaez gerenciou 157 Bitcoins (que atualmente valem cerca de US $ 1 milhão).
Uma investigação separada, supervisionada pelo REACT, resultou na prisão de dois homens em Oklahoma. Fletcher Robert Childers, 23 anos, e Joseph Harris, 21 anos, foram acusados de roubar 14 milhões de dólares de uma empresa de cripto com sede em San Jose, a Crowd Machine, através de swaps de SIM.
De acordo com a Etherscan, cerca de 1 bilhão de tokens foram transferidos da carteira Crowd Machine para as bolsas em 22 de setembro - e o preço simbólico despencou, perdendo cerca de 87% de seu preço durante a noite, como mostra dados obtidos da CoinMarketCap.com.
O fundador e CEO da Crowd Machine, Craig Sproule, confirmou que o hack ocorreu e dois suspeitos foram presos no Oklahoma News 4, mas se recusou a fornecer detalhes adicionais à mídia, citando a investigação em andamento.
O agente especial responsável, Ken Valentine, forneceu mais detalhes sobre o incidente, discutindo a natureza dos swaps de SIM:
"Se (um suspeito) tiver como alvo a pessoa certa que tem a criptomoeda naquele telefone, você terá acesso imediato a isso. Com a autenticação de dois fatores, ele tem o número da conta da criptomoeda e pode receber mensagens de autenticação no telefone que sofreu o swap."
“Como um hotel dando a chave do quarto a um ladrão com uma identidade falsa:” Precedente legal em swap de SIM
Em outro caso de alto perfil de swap de SIM, em 15 de agosto, o empresário e CEO do TransformGroup em Porto Rico, Michael Terpin, entrou com uma ação de US $ 224 milhões contra a AT&T. Ele acredita que a gigante das telecomunicações forneceu aos hackers acesso ao seu número de telefone, o que levou a um grande roubo de cripto. Isso poderia ser um precedente legal para swap de SIM, onde a vítima processa seu provedor de telecomunicações por permitir que os hackers tomem o seu número de telefone.
Terpin afirma que ele perdeu US $ 24 milhões em cripto como resultado de dois hacks que ocorreram ao longo de sete meses: A denúncia de 69 páginas menciona dois episódios separados, datados de 11 de junho de 2017 e 7 de janeiro de 2018. Em ambos os casos , de acordo com o documento, a AT&T, não conseguiu proteger a identidade digital da Terpin.
Primeiro, no verão de 2017, o empresário descobriu que seu número na AT&T havia sido hackeado quando seu telefone de repente morreu, de acordo com a queixa. Ele então soube pela AT&T que sua senha havia sido alterada remotamente “depois que 11 tentativas nas lojas da AT&T falharam”.
Depois de obter acesso ao telefone de Terpin, os atacantes usaram suas informações pessoais para invadir suas contas que usam números de telefone como meio de verificação, incluindo suas “contas de criptomoedas”. Os hackers também sequestraram a conta do Skype de Terpin para se passar por ele e convencer um deles. seus clientes para enviar-lhes criptomoedas.
A AT&T supostamente cortou o acesso aos hackers somente depois que eles conseguiram roubar "fundos substanciais" da Terpin. O documento também afirma que após o incidente, em 13 de junho de 2017, Terpin se reuniu com representantes da AT&T para discutir o ataque e foi prometido que sua conta seria transferida para um "nível de segurança mais alto" com "proteção especial".
No entanto, meio ano depois, em 7 de janeiro de 2018, o telefone de Terpin teria sido desligado novamente devido a outro ataque. A denúncia alega que “um funcionário de uma loja da AT&T cooperou com um impostor que cometeu fraude de swap de SIM”, apesar das medidas extras de segurança terem sido tomadas em junho de 2017.
Os ladrões supostamente roubaram cerca de US $ 24 milhões em cripto durante o segundo ataque, apesar de ele ter tentado entrar em contato com a AT&T “instantaneamente” depois que seu telefone parou de funcionar. A AT&T supostamente "ignorou" seu pedido. A queixa do queixoso argumenta que a esposa de Terpin também tentou ligar para a AT&T na época, mas foi colocada em "interminável" quando pediu para se conectar ao departamento de fraudes da AT&T.
"O que a AT&T fez foi como um hotel dando um ladrão com uma identidade falsa uma chave do quarto e uma chave para o cofre do quarto para roubar jóias no cofre do dono legítimo", afirmou a queixa, enfatizando a escala potencial de fraudes portuárias, bem como a responsabilidade dos fornecedores de telecomunicações."
"A AT&T não está fazendo nada para proteger seus quase 140 milhões de clientes da fraude com cartões SIM."
Enquanto isso, a aplicação da lei começou a prestar mais atenção à swap de SIM, como os incidentes mencionados acima na Califórnia mostram. O comandante do REACT John Rose afirmou ambiciosamente:
“O REACT não interromperá a investigação de swap de SIM até que o swap de SIM seja interrompida. Se vai nos levar prendendo todos os swappers de SIM nos Estados Unidos."