Как защитить своё крипто-имущество от SIM-свопинга?

Привязка счета к SIM-карте уже давно является стандартом безопасности в скамейках и различных денежных сервисах, в том числе и криптовалютных. Похоже, что двухфакторная аутентификация защищает эти и другие активы. Однако дело, скорее всего, обстоит не так: в апреле студент Калифорнийского университета получил 10 лет тюрьмы за кражу криптовалют с помощью SIM-карт. 21-летний Джоэл Ортис умудрился похитить порядка $ 7,5 млн в криптовалютах с помощью своеобразного так называемого SIM-swapping (обмен этим-чартами) — мошеннического метода, при котором злодеи получают доступ к информации жертв, а затем идут к инструктору сотовой связи и требуют переоформить SIM-карту, сдав себя из-за другого человека. С поддержкой SIM-карты-замена, стоимостью в миллионы долларов криптовалют украдено. Децентрации выяснили, как сим перекачки угрожает держателям криптовалют и как сохранить собственные активы крипто.

Почему замена SIM-свопинг пугает?

Первая серия крупных краж криптовалют с поддержкой SIM-свопинга произошла зимой 2016 года в США. Пострадавшие позаботились о криптовалютах на разных биржах, используя двухфакторную активацию, как только вам нужно будет получить код на телефоне для доступа к новоиспеченному устройству.

Сначала мошенники узнают номер телефона и личности жертв (через раскрытых информаторов или через сотрудников инструкторов из-за доли возмездия). После этого SIM-карта будет заблокирована — для этого достаточно просто позвонить за помощью, представиться и рассказать о пропаже телефона. Затем вам нужно добиться перевода карты на вашу собственную SIM-карту. Вероятно, это можно сделать различными способами: обманув клерка, вступив в сговор с сотрудниками телекомпании или просто влюбившись в легкомысленного адепта справочной работы.

Как только они получают правильные номера, мошенники берут контроль над номером. Это, вероятно, отчуждает ваш доступ к большему количеству веб-и банковских услуг, которые используют двухфакторную аутентификацию и имеют SIM-карту, прикрепленную к ним. В таком же количестве и на криптобиржи, и на интернет-кошельки. «Очень важно понимать, что обмен SIM-картами, вероятно, связан не только и не столько с криптовалютами. Факты с кражей криптовалюты-это личный вариант, кой получил ответ. В целом же опасность гораздо более глобальна и затрагивает все нюансы защиты прав личности», — отметила чистота Малярова, кандидат юридических наук, преподаватель программы дополнительного образования БЦЛ.

Насколько распространена замена SIM-свопинга?

Эти ясные слова никто никак не понимает. Мобильные инструкторы Российской Федерации никак не отреагировали на наш запрос.

В США было выпущено больше, чем просто звучные варианты обмена SIM-картами. Речь идет о нескольких тысячах фактов в год. Судя по всему, основной мишенью южноамериканских хакеров являются функциональные члены криптосообщества, держатели крупных сумм в криптовалютах. По словам биткойн-бизнесмена Джоби Уикса, он не понимает ни одного 1-го лица из южноамериканского криптосообщества, у которого номер не был бы украден никаким образом. Калифорнийская полиция также взяла варианты обмена SIM-картами под особый контроль, и, согласно отчету CipherTrace, обмен SIM-картами-это тенденция среди мошенников в 2018 году.

Злодеи, вероятно, главные из них-молодые грабители в возрасте от 19 до 25 лет. В июле 2018 года полиция заключила 20-летнего неотапливаемого студента Института Джоэла Ортиса, который похитил при поддержке SIM-свопинга около $7,5 млн в криптовалютах, из которых $5,2 млн он украл у бизнесмена из Купертино. Только мошенник обокрал около 40 человек. В апреле этого года военный суд Калифорнии приговорил его к 10 годам тюремного заключения.

Еще в 2018 году был заключен обмен SIM-картами:

  • 19-неотапливаемый Ксавье Нарваез, обвиняемый в краже около 1 миллиона долларов;
  • 21-летний Николас Трулли, обвиняемый во взломе сим-карт нескольких крупных бизнесменов из Кремниевой долины и краже крупных сумм из кошельков на Coinbase и Gemini;
  • 25-неотапливаемый Джозеф, пойманного в хищении 57 BTC;
  • 23-неотапливаемый Джозеф Харрис и 21-неотапливаемый Роберт Чайлдерс, которые обвиняются в краже 14 миллионов долларов в обмене SIM-картами из криптовалютной фирмы Crowd Machine;
  • 20-летний Доусон Бакис, который был осужден по 50 вариантам мошенничества с внедрением SIM-свопинга.

«Этот вектор атак довольно стар, ранее он использовался для кражи лекарств через интернет-банкинг. SIM-карты не очень хорошо защищаются и просто клонируются. Сделать копию этого все равно несложно-игра в карты у самого инструктора»,-заметил Эдвард Барк, соучредитель криптовалютной биржи EXMO.

Упоминания о подобных арестах в Российской Федерации до сих пор отсутствуют, но если вы или ваши друзья встречались с SIM-свопингом, напишите об этом в комментариях.

Можно ли вернуть украденные активы?

Если кто-то украл средства с Вашего банковского счета, вы можете только вернуть их быстрее. Если мошенник получил доступ к вашему крипто кошельку, вы вряд ли сможете возместить свои убытки. Так как в версии SIM-swapping, по какой — то причине, кто обязан идти в больницу из-за потери лекарств-инструктор, биржа или сам владелец кошелька? Как мы понимаем, до тех пор, пока ни один обменник или инструктор не возместит пострадавшим их расходы на стредство.

«Я думаю, что главную роль в процессе обеспечения безопасности владельцев SIM-карт необходимо отнять у владельцев и мобильных инструкторов. Как показывают исследования, в значительном количестве вариантов SIM-свопинга это, скорее всего, связано с врожденными утечками информации, а также ролью сотрудников телекомпаний в этих атаках», — такова чистота Малярова.

Эдвард Барк, соучредитель криптовалютной биржи EXMO, в варианте оправданного воровства с внедрением SIM-свопинга, рекомендовал «идти к инструктору, точно так же, как злодей использовал все это, что пользователь (пусть и не намеренно, но по неосторожности) ему дал.»

В августе 2018 года бизнесмен и генеральный директор TransformGroup Майкл Терпин, ставший жертвой мошенников, решил, что инструктор обязан ответить. Он подал иск на сумму 224 миллиона долларов против телекоммуникационной фирмы AT&T. Терпин обвинил провайдера в том, что тот дал хакерам возможность заполучить его номер. В 69-страничном иске Терпин утверждает, что из-за 2-х хакерских атак с внедрением SIM-свопинга он потерял 24 миллиона долларов. Теперь бизнесмен просит AT&T вернуть похищенные лекарства и выплатить компенсацию в размере 200 миллионов долларов..

Такова логика южноамериканской юридической фирмы Silver Miller, которая передала арбитражные иски к AT&T и T-Mobile от имени нескольких жертв, потерявших $621 000, $400 000 и $ 250 000 в криптовалюте из-за обмена SIM-картами. Сильвер Миллер обвиняет инструкторов в создании подходящих ограничений для мошенников.

Как еще Читы имеют все шансы получить доступ к жертвам криптовалют через SIM-карточные игры?

К сожалению, замена SIM-карт-это не единственная опасность, исходящая от SIM-карт.

Перехват SMS-сообщений с помощью пароля. Чтобы получить доступ к своим учетным записям, вам не всегда нужно красть свой номер телефона. Благодаря поддержке протокола Signaling System 7 (SS7), Читы могут заимствовать коды и текстовые сообщения в SMS. Еще в 2017 году компания Positive Technologies провела эксперименты по перехвату SMS и активации аккаунтов Coinbase, в которых элементарно было показано, как войти в сторонние аккаунты.

Переадресация новостей. Читы имеют все шансы открыть свой собственный кабинет пользователя на сайте инструктора и настроить перенаправление всех новостей на другой номер.

Обычная кража. В конце концов, сим-карту или телефон можно элементарно украсть. Пока пострадавшая сторона видит убыток, у злодеев есть все шансы изъять все наркотики.

Как я могу не начать как жертва обмена SIM-свопинга?

Самые-самые обычные и тривиальные комитеты-вероятно, никак не связывают счет с этой диаграммой. Однако, к сожалению, почти все службы настоятельно просят номер мобильного телефона в едином расписании. В этом случае реализация приведенных ниже советов, несомненно, поможет вам сохранить собственное имущество и индивидуальные потребности.

Не разглашайте номер телефона, на который привязаны аккаунты на криптоплатформах. Никому не сообщайте этот номер и ни в коем случае не публикуйте его. Наверное, должен быть один-единственный номер телефона, купленный намеренно для топопривязки к счету на бирже или крипто-кошельке. Ни в коем случае не связывайте аккаунты в социальных сетях, почтовые отделения или другие биржи с этим номером. Счет Вотана / кошелек-номер 1.

Лучше держать телефон с сим-картой отдельно, в непроницаемом пространстве. Вы должны пользоваться комнатой Siim 2-3 раза в месяц и не бросать ее заполнять, чтобы инструктор не заблокировал ее и не отдал другому человеку.

Определите дополнительный пароль. Чтобы заблокировать SIM-карту, просто позвоните инструктору и назовите его полное имя. Однако большинство инструкторов дают вам возможность определить свой пароль. Затем, если кто-то поспешит заблокировать SIM-карту или переоформить ее, у него попросят не только полное имя, но и пароль.

Ни в коем случае не используйте двухфакторную аутентификацию. Вместо этого, если это позволяет платформа, используйте специальную программу для двухфакторной аутентификации. Например, аутентификация Google, Authy, Майкрософт аутентификатора, дуэт, или Аутентификатор плюс. Эти дополнения придираются к телефону, а не к номеру, и генерируют кратковременные коды (существующие 30 секунд) для входа в аккаунт. Чтобы обезопасить себя, введите в каком-то месте копию ключей, чтобы добавить аутентификацию к опции, если вы потеряете или сломаете телефон. Не забывайте, что аутентификация с дополнительной поддержкой также должна быть определена для других служб, связанных с учетной записью на бирже. Например, в почтовый ящик.

Вместо дополнений также разрешено использовать метод физиологической аутентификации-аппаратные USB и NFC ключи безопасности, например, Yubikey.

«Ни в коем случае не используйте двухфакторную аутентификацию с поддержкой SMS, используя вместо своих кодов TOTP для аутентификации, не отправляйте свой собственный номер телефона неизвестным людям и не публикуйте его в открытых источниках»,-рекомендовал держателям криптовалют Эдвард Барк, соучредитель криптовалютной биржи EXMO.

Отключите переадресацию вызовов. Вероятно, значительно утруждают себя Читы ранга, чтобы получить быстрый доступ к вашим данным.

Позаботьтесь об активах на крутых независимых кошельках, а сами кошельки-в безопасном или ином, недоступном для сторонних людей и хакерских атак пространстве.

Защитите ваши собственные индивидуальные данные. Если у мошенников будут ваши паспортные данные, скан или копия документов, удостоверяющих личность, их шансы обмануть наивных сотрудников мобильного инструктора резко возрастут.

Защитите свою анонимность. Вы не должны быть параноиком, но вам не нужно слишком много говорить о том, на какой бирже вы экономите свое лекарство, сколько именно у вас биткоинов и как вы приобрели Ламбо после очередного бычьего ралли.

Быть внимательным. Избитые не оставляют телефон в отсутствие присмотра. Если в какой-то момент связь потеряна и вы не можете никуда позвонить, не перекрывайте звонок инструктору и не блокируйте номер.

Важно понимать, что ни один из этих методов не считается гарантией сохранности имущества и отдельных активов. Чтобы защитить свои собственные лекарства, вам нужно использовать целый багаж защиты от крипто-читов.

Эдвард Барк также рекомендовал: «Во избежание потери лекарств из-за SIM-свопинга или других категорий мошенников, мы советуем вам подключить интегральный perfect account security (выбор предоставленной точки зрения означает, что при изменении параметров профиля, доставке лекарств или активации, помимо обычного логина и пароля, уникальные одноразовые коды через Google Authenticator будут применяться в целях обеспечения безопасности доборной), не применять однообразные пароли для почтового отделения и индивидуального аккаунта, не открывать подозрительные сообщения каким-либо образом, и ни в коем случае не переходите по неизвестным гиперссылкам. Не считая этого, у нас есть очень мощный отдел по борьбе с мошенничеством, который контролирует поведение пользователя, и в случае обнаружения недоверчивой энергии суд может остановить суд и задать несколько вопросов от пользователя для его хорошей идентификации.»

У вас или ваших друзей когда-либо испытывал сим замена? Напишите это в комментариях.

bit44.org

Обязательно подпишитесь на наш Telegram канал

ПОДПИСЫВАЮСЬ
ПОТОМ