Ang FTX Hack: Ang Hindi Nalutas na SIM Swap Mystery

Ang Justice Department kamakailan, ay tahimik na naglabas ng isang sakdal na ang ilang mainstream at Crypto media platform ay mabilis na kinuha at iniulat bilang mga singil na "nalutas" ang misteryo ng isang $400 milyon na pagnanakaw ng Cryptocurrency na dating hawak ng gumuhong crypto-exchange FTX.

Ang sakdal ay hindi iyon. Ngunit ito ay sumasalamin sa lumalaking regulasyon at pang-ekonomiyang alalahanin na kinakaharap ng parehong on- at off-shore na mga kumpanya ng Cryptocurrency . Ang pandaraya sa "SIM swap" na di-umano'y nagta-target sa FTX, noong Nobyembre 2022, ay halos isang panimulang tool na "pag-hack" - ONE batay sa pagnanakaw ng pagkakakilanlan at maling pagpapanggap ng isang may-ari ng account sa pananalapi - na higit sa lahat ay nagta-target sa mga kumpanyang nagbibigay ng mas lumang dalawa o marami. -factor identification (“2FA” at “MFA,” ayon sa pagkakabanggit) sa mga proteksyon sa Privacy para sa kanilang mga kliyente at may hawak ng account.

Ang mga pederal na regulator sa US ay lalong nakikiramay sa mga panganib na dulot ng mga system na umaasa sa mga pamamaraan ng proteksyon sa Privacy na mahina sa pagpapalit ng SIM. Ang Federal Communications Commission ay nagpapatuloy ng mga bagong panuntunan habang ang kamakailang mga regulasyon sa cybersecurity ng SEC ay malamang na nangangailangan ng mga kumpanya na itaas ang kanilang Privacy game sa harap ng partikular na banta na ito. Sa katunayan, ang SEC ay higit na nauudyok ngayon, marahil, dahil sa sarili nitong kamakailang pagkabigo sa pagpapalit ng SIM.

Noong Enero 24, 2024, ang Opisina ng Abugado ng Estados Unidos para sa Distrito ng Columbia ay nagbukas ng isang sakdal, na may caption na United States v. Powell, et al., kasunod ng pag-aresto sa ilan sa mga nasasakdal na pinangalanan sa kasong iyon. Gaya ng pinaghihinalaang, nagtulungan sina Robert Powell, Carter Rohn, at Emily Hernandez upang makakuha ng ninakaw na personal na pagkakakilanlan ng impormasyon (“PII”) ng higit sa 50 biktima.

Pagkatapos, ginamit ng trio ang ninakaw na impormasyon na iyon para gumawa ng mga maling dokumento ng pagkakakilanlan para sa layuning linlangin ang mga provider ng telecom na palitan ang cellular telephone account ng biktima ng pagnanakaw ng pagkakakilanlan sa isang bagong device na hawak ng mga nasasakdal o ng hindi pinangalanang "mga kasabwat" kung kanino ang trio ng mga nasasakdal. ibinenta ang ninakaw na PII.

Ang scheme ay umaasa sa muling pagtatalaga ng numero ng telepono ng mga biktima sa isang pisikal na telepono na kinokontrol ng isang kriminal na aktor, na nangangailangan ng paglipat o pag-port ng numero ng mga biktima (at, sa esensya, pagkakakilanlan) sa Subscriber Identity Module, o “SIM ,” card na pisikal na hawak sa bagong device ng kriminal na aktor. Ito ay tinutukoy bilang isang "SIM swap" scheme.

Sa pamamagitan ng SIM swap scheme na pinaghihinalaang sa United States v. Powell, ang mga nasasakdal at hindi pinangalanang co-conspirator ay mapanlinlang na hinimok ang mga wireless telecom provider na muling italaga ang mga numero ng cell phone mula sa SIM card ng lehitimong user sa kinokontrol ng mga nasasakdal o ng mga hindi pinangalanang co-conspirator. Pagkatapos ay pinahintulutan ng SIM swap ang Powell trio at ang iba pa na ma-access ang mga electronic account ng mga biktima sa iba't ibang institusyong pampinansyal upang magnakaw ng mga pondo mula sa mga account na iyon.

Ang pangunahing benepisyo sa mga nasasakdal ng SIM swap ay ang kakayahang humarang sa mga bago, mapanlinlang na device ng mga mensahe mula sa mga financial account na naglalayong patunayan na ang taong nag-a-access sa account ay ang lehitimong may-ari ng account. Karaniwan, kung saan walang sangkot na panloloko, ang pagpapatunay na iyon ay magreresulta sa isang SMS na text o iba pang mensahe na ipinadala sa lehitimong user, na pagkatapos ay magpapatotoo sa sinubukang pag-access ng account sa pamamagitan ng pagbibigay ng code na kasama sa text o mensahe. Sa kasong ito, gayunpaman, ang Secret na code na iyon ay direktang napunta sa mga manloloko, na ginamit ang code upang gayahin ang may-ari ng account at mag-withdraw ng mga pondo.

Bagama't hindi pinangalanan ng Powell na sakdal ang FTX bilang biktima, ang mga paratang na nakapalibot sa pinakamalaking insidente ng pandaraya sa pagpapalit ng SIM na inilarawan sa sakdal ay malinaw na tumutukoy sa "hack" ng FTX na naganap sa oras ng pampublikong anunsyo ng bangkarota ng kumpanyang iyon - ang mga petsa, oras. , at ang mga halaga ay naaayon sa pampublikong pag-uulat ng hack na iyon, at ang mga ulat sa media ay may kasamang kumpirmasyon na ibinigay ng mga tagaloob ng pagsisiyasat na ang FTX ay, sa katunayan, "Victim Company-1" tulad ng inilarawan sa Powell. Sa panahon ng FTX hack, nagkaroon ng maraming haka-haka tungkol sa mga perpetrators: inside job, shadowy government regulators?

Read More: Ang Misteryo ng FTX Hack na Posibleng Nalutas: Sinisingil ng US ang Trio Sa Pagnanakaw, Kasama ang Nakakainis na Pag-atake sa Crypto Exchange

Marami sa mga ulo ng balita mula sa mga artikulo na nakakuha ng sakdal sa Powell ay nagpapahayag na ang misteryo ay nalutas: ang tatlong nasasakdal ay gumawa ng FTX hack. Ngunit ang sakdal ay talagang nagmumungkahi ng kabaligtaran. Bagama't ang sakdal ay partikular na naglalarawan sa tatlong nasasakdal at sa pangalan sa mga paratang tungkol sa pagnanakaw ng PII, ang pag-port ng mga numero ng cell sa isang mapanlinlang na nakuhang SIM, at ang pagbebenta ng mga purloined FTX access code, ang akusasyon ay kapansin-pansing nag-aalis ng anumang pagtukoy sa tatlong nasasakdal. kapag inilalarawan ang aktwal na pagnanakaw ng mga pondo ng FTX.

Sa halip, iniuugnay nito na "ang mga co-conspirator ay nakakuha ng hindi awtorisadong pag-access sa [FTX] na mga account" at "ang mga co-conspirator ay naglipat ng mahigit $400 milyon sa virtual currency mula sa [FTX's] virtual currency wallet patungo sa virtual currency wallet na kinokontrol ng mga co-conspirator." Ang Convention sa pagbalangkas ng mga sakdal ay ang pangalanan ang mga nasasakdal sa mga aksyong ginawa ng mga nasasakdal. Dito, ang hindi pinangalanang "co-conspirators" ang gumawa ng pangwakas at pinakamahalagang hakbang. Ang misteryo kung sino ang mga "kasabwat" na iyon ay maaaring nananatiling buhay, at maaaring magpatuloy maliban kung at hanggang sa bumaba ang mga bagong singil o ang isang paglilitis ay nagpapakita ng higit pang mga katotohanan.

Itinatampok ng kaso ng FTX ang lumalagong kamalayan sa mga tagausig at regulator ng kadalian at paglaganap ng mga SIM swap scheme. Ang pagbabasa ng sakdal sa Powell ay hindi katulad ng pagbabasa ng ONE sa daan-daang mga sakdal sa pagnanakaw ng credit card na itinutugis ng mga tagausig ng pederal at estado bawat taon. Sa abot ng mga panloloko, ang pagpapalit ng SIM ay mura, hindi sopistikado, at nauulit. Ngunit, kung ikaw ay isang kriminal, ito ay gumagana.

Ang pagpapalit ng SIM ay higit na gumagana bilang resulta ng mga kahinaan sa mga protocol ng anti-fraud at pagkakakilanlan ng telecom, at bilang resulta ng medyo mahinang anti-fraud at mga pamamaraan sa pag-verify ng pagkakakilanlan na ginamit bilang default para sa lahat ng napakaraming online na service provider, kabilang ang mga kumpanya ng serbisyo sa pananalapi. Kamakailan, noong Disyembre ng 2023, ang Federal Communications Commission ay naglabas ng isang Ulat at Kautusan na nagpapatibay ng mga hakbang na idinisenyo upang tugunan ang mga kahinaan sa pagpapalit ng SIM ng mga provider ng wireless. Kasama sa Ulat at Kautusan ang isang kinakailangan na ang mga wireless provider ay gumamit ng mga secure na paraan ng pag-authenticate ng mga customer bago magsagawa ng mga pagbabago sa SIM ng uri na inilalarawan sa sakdal sa Powell, habang nagsisikap na mapanatili ang kaginhawaan na tinatamasa ng mga customer kapag lehitimong nag-port ng numero ng telepono sa isang bagong device . Sa harap ng lumalaking kamalayan sa kadalian ng paggamit ng SIM swap perpetrators ng pangunahing MFA at hindi gaanong secure na 2FA, lalo na sa mga hindi secure na SMS messaging rails , ang pagbabalanse na pagkilos na iyon ay patuloy na maghaharap ng mga hamon sa parehong mga telecom at sa mga service provider - kabilang ang mga kumpanya ng Crypto - na umaasa sa kanila.

Ang mga wireless provider ay hindi nag-iisa sa pagharap sa pagtaas ng pagsisiyasat na nauugnay sa mga paratang ng Powell na akusasyon. Ang kaso ay nagtataglay din ng mga aralin at babala para sa industriya ng Crypto .

Kahit na ang mga nasasakdal sa Powell ay hindi ang mga taong aktwal na nag-access at nag-ubos ng mga wallet ng FTX, di-umano'y ibinigay nila ang mga code ng pagpapatunay para sa paggawa nito, na nakuha nila sa pamamagitan ng isang medyo basic (tulad ng sinasabing) SIM swap scheme. Laban sa backdrop ng nascent cybersecurity regime ng SEC, itinatampok ng kaso ang pangangailangan para sa mga palitan na tumatakbo sa US upang bumuo ng mga proseso para sa pagtatasa at pamamahala ng mga panganib sa cybersecurity, kabilang ang mga “hack” ng uri na ginawa sa kaso ng FTX. Dahil sa sariling karanasan ng SEC bilang biktima ng isang kamakailang pag-atake ng SIM swap , maaari naming asahan na ang Enforcement Division ay magbibigay ng higit na pansin sa mga pag-atake ng SIM swap laban sa mga palitan.

Na maaaring maglagay ng mga palitan sa labas ng pampang na umiiwas sa SEC o iba pang pangangasiwa sa regulasyon sa isang kawalan. Ang mga kinakailangan ng SEC hinggil sa regular Disclosure ng impormasyon tungkol sa cybersecurity risk management, strategy, at governance – kasama ng outside auditing of the same – ay tumitiyak na mauunawaan ng mga customer at counterparty ang mga hakbang na ginagawa ng mga naturang kumpanya para mabawasan ang mga panganib ng isang kaganapang tulad ng FTX. . Ang mga kumpanya sa labas ng pampang ay maaaring gumamit ng mga katulad na transparent na diskarte sa mga pagsisiwalat ng cybersecurity, ngunit ito ay ipagpalagay na isang hilig para sa transparency mula sa mga kumpanya na maaaring medyo allergic sa paniwala na iyon - tulad ng FTX. Maaasahan ng mga kumpanya at proyekto ng Crypto ang pagtaas ng presyon – mula sa mga regulator at mula sa merkado – na magpatibay, magbunyag, magpakita, at mapanatili ang mga kasanayan sa cybersecurity sa isang antas na mas mataas kaysa sa mga nagbibigay-daan para sa mga pasimulang manloloko, gaya ng inilarawan sa mga nasasakdal sa Powell, upang makatakas kasama ang milyon-milyon.