Bitcoin-инвестор подал в суд на AT&T, потеряв 23 000 000 долларов из-за мошенничества с SIM-картой

Bitcoin-инвестор Майкл Терпин (Michael Terpin) подал в суд на телекоммуникационного гиганта AT&T из-за хищения более 3 000 000 различных криптовалютных токенов. Терпин требует от компании возмещения своих потерь и еще 216 млн долларов в качестве возмещения убытков. Согласно тексту искового заявления, в январе 2018 года сотрудник AT&T в Коннектикуте, при личном контакте с мошенником, согласился перенести телефонный номер пострадавшего на новую SIM-карту, хотя к этому моменту аккаунт Терпина уже имел дополнительную защиту и статус «высокий риск», так как ранее инвестора уже пытались обокрасть таким способом.

Как только телефонный номер Терпина перешел в пользование злоумышленников, они смогли преодолеть двухфакторную аутентификацию, защищавшую криптовалютные аккаунты инвестора, и перевели миллионы токенов на другие кошельки. Очевидно, с основными логинами и паролями от учетных записей злоумышленники справились еще раньше.

Пострадавший утверждает, что сотрудник AT&T попросту проигнорировал тот факт, что у мошенника нужно было спросить удостоверение личности (либо не сумел распознать подделку), а также, учитывая «VIP»-статус аккаунта Терпина, сотрудник должен был запросить у обратившегося к нему человека специальный шестизначный код, предназначенный для таких случаев. Судя по всему, этого сделано не было.

Как уже было упомянуто выше, это не первый раз, когда инвестора пытались ограбить таким образом. По словам пострадавшего, начиная с 2017 года неизвестные преступники пытаются «угнать» его SIM-карту, и для этого они обошли не менее 11 магазинов, пока им, наконец, не повезло. После первых попыток «угона» номера, Терпин добился от AT&T дополнительных мер защиты для всего аккаунта, и в компании заверили, что теперь он находится «под особой защитой», и его учетная запись на особом счету.

Однако когда в январе произошла вторая успешная атака, Терпин даже не сумел быстро блокировать свой номер, так как инцидент имел место в воскресенье, а внутренний департамент AT&T по борьбе с мошенниками по воскресеньям не работает. В итоге промедление стоило инвестору 23,8 млн долларов в криптовалютном эквиваленте.

Нужно сказать, что в последнее время о подобных атаках на SIM-карты говорят и пишут очень много, особенно после того как в июле 2018 года журналисты Vice Motherboard обнародовали результаты расследования, доказывающего, что данную практику широко используют злоумышленники, что позволяет им «угонять» учетные записи и чужие личности десятками и даже сотнями.

Часто таким образом атакуют именно криптовалютных инвесторов. К примеру, в июле текущего года в Калифорнии были предъявлены обвинения 20-летнему хакеру, который входил в группу, похитившую более 5 млн долларов у 40 разных людей. Основной тактикой группы является именно мошенничество с SIM-картами, а главными целями — держатели криптовалют.

Также стоит вспомнить о том, что еще в 2016 году Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил интересный документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации является «недопустимым» и «небезопасным». Об этом же давно говорят ИБ-специалисты, ведь вариантов атак здесь может быть много. К примеру, атакующие могут эксплуатировать уязвимости в SS7 и перехватить сообщения, осуществить так называемый SIM swap, то есть перевыпустить SIM-карту жертвы (что и случилось с Терпиным), наконец, SMS-сообщения может перехватить даже малварь, проникнувшая на устройство. Словом, полагаться на двухфакторную аутентификацию через SMS-сообщения, когда речь идет о защите десятков миллионов долларов, это определенно скверная идея.

Источник: https://xakep.ru/2018/08/16/sim-swap-lawsuit/