L'hacking di FTX: il mistero irrisolto dello scambio SIM

Di recente, il Dipartimento di Giustizia ha svelato in silenzio un'accusa che alcune piattaforme mainstream e Cripto hanno rapidamente raccolto e segnalato come accuse che "risolvono" il mistero di un furto di Criptovaluta da 400 milioni di dollari precedentemente detenuto dallo scambio di criptovalute FTX crollato.

L'accusa non era quella. Ma riflette una crescente preoccupazione normativa ed economica che devono affrontare le società Criptovaluta sia on-shore che off-shore. La frode “SIM swap” che presumibilmente ha preso di mira FTX, nel novembre 2022, è quasi uno strumento di “hacking” rudimentale – ONE sul furto di identità e sulla falsa imitazione di un titolare di un conto finanziario – che prende di mira in gran parte le aziende che forniscono servizi dual-o multi sempre più antiquati. -identificazione del fattore ("2FA" e "MFA", rispettivamente) protezione Privacy per i loro clienti e titolari di conti.

Le autorità di regolamentazione federali negli Stati Uniti sono sempre più in sintonia con i pericoli posti dai sistemi che si basano su procedure di protezione Privacy vulnerabili ai SIM swap. La Federal Communications Commission sta perseguendo nuove regole, mentre le recenti normative sulla sicurezza informatica della SEC probabilmente richiederanno alle aziende di migliorare il loro gioco Privacy di fronte a questa specifica minaccia. In effetti, la SEC è ancora più motivata ora, forse, visto il recente fiasco del SIM swap.

Il 24 gennaio 2024, l'ufficio del procuratore degli Stati Uniti per il Distretto di Columbia ha aperto un atto d'accusa, intitolato Stati Uniti contro Powell, et al., in seguito all'arresto di alcuni degli imputati nominati in quel caso. Come affermato, Robert Powell, Carter Rohn ed Emily Hernandez hanno lavorato insieme per ottenere informazioni di identificazione personale ("PII") rubate di oltre 50 vittime.

Il trio ha successivamente utilizzato le informazioni rubate per creare falsi documenti di identità allo scopo di ingannare i fornitori di telecomunicazioni inducendoli a scambiare l'account del telefono cellulare della vittima del furto d'identità su un nuovo dispositivo detenuto dagli imputati o da "co-cospiratori" anonimi a cui il trio di imputati ha venduto informazioni personali rubate.

Lo schema si basa sulla riassegnazione del numero di telefono delle vittime a un telefono fisico controllato da un attore criminale, il che comporta il trasferimento o la portabilità del numero delle vittime (e, in sostanza, dell'identità) al Subscriber Identity Module, o "SIM ”, carta fisicamente contenuta nel nuovo dispositivo dell'attore criminale. Questo è indicato come schema di “SIM swap”.

Attraverso lo schema di scambio SIM presunto nel caso Stati Uniti contro Powell, gli imputati e i co-cospiratori anonimi hanno indotto fraudolentemente i fornitori di telecomunicazioni wireless a riassegnare i numeri di cellulare dalla carta SIM dell'utente legittimo a quella controllata dagli imputati o dai co-cospiratori anonimi. Lo scambio di SIM ha poi consentito al trio Powell e ad altri di accedere ai conti elettronici delle vittime presso vari istituti finanziari per rubare fondi da tali conti.

Il vantaggio principale per gli imputati del SIM swap è stata la possibilità di intercettare sui nuovi dispositivi fraudolenti messaggi provenienti da conti finanziari che cercavano di autenticare che la persona che accedeva al conto fosse il legittimo titolare del conto. Normalmente, laddove non sia coinvolta alcuna frode, l'autenticazione si tradurrebbe in un SMS o in un altro messaggio inviato all'utente legittimo, che poi autenticherà il tentativo di accesso all'account fornendo un codice incluso nel testo o nel messaggio. In questo caso, però, il codice Secret è arrivato direttamente ai truffatori, che lo hanno utilizzato per impersonare il titolare del conto e prelevare fondi.

Sebbene l'accusa di Powell non citi FTX come vittima, le accuse relative al più grande incidente di frode di SIM swap descritto nell'atto di accusa si riferiscono chiaramente all'"hacking" di FTX avvenuto al momento dell'annuncio pubblico del fallimento di quella società: le date, gli orari , e gli importi sono in linea con le segnalazioni pubbliche di quell'hacking, e i resoconti dei media hanno incluso la conferma fornita da addetti ai lavori che FTX è, in effetti, "Victim Company-1" come descritto in Powell. Al momento dell’hacking di FTX, c’erano molte speculazioni sugli autori del reato: lavoro interno, oscuri regolatori governativi?

Continua a leggere: Mistero dell'hacking di FTX forse risolto: gli Stati Uniti accusano tre persone di furto, incluso il famigerato attacco allo scambio Cripto

Molti dei titoli degli articoli che hanno ripreso l'accusa di Powell proclamano che il mistero è risolto: i tre imputati hanno commesso l'hacking di FTX. Ma l’accusa suggerisce in realtà il contrario. Sebbene l'accusa descriva i tre imputati specificamente e per nome nelle accuse riguardanti il ​​furto di PII, il trasferimento di numeri di cellulare su una SIM ottenuta in modo fraudolento e la vendita di codici di accesso FTX rubati, l'accusa omette in particolare qualsiasi riferimento ai tre imputati nel descrivere l'effettivo furto di fondi FTX.

Si riferisce invece che "i co-cospiratori hanno ottenuto un accesso non autorizzato ai conti [FTX]" e "i co-cospiratori hanno trasferito oltre 400 milioni di dollari in valuta virtuale dai portafogli di valuta virtuale [di FTX] ai portafogli di valuta virtuale controllati dai co-cospiratori." La convenzione nella redazione delle accuse consiste nel nominare gli imputati nelle azioni commesse dagli imputati. Qui sono i “co-cospiratori” senza nome che hanno compiuto i passi finali e più significativi. Il mistero su chi possano essere questi “co-cospiratori” rimane vivo e potrebbe continuare a meno che e fino a quando non cadano nuove accuse o un processo riveli ulteriori fatti.

Il caso FTX evidenzia una crescente consapevolezza tra pubblici ministeri e regolatori della facilità e della prevalenza degli schemi di SIM swap. Leggere l'accusa di Powell non è diverso dal leggere ONE delle centinaia di accuse di furto di carte di credito che i pubblici ministeri federali e statali perseguono ogni anno. Per quanto riguarda le frodi, lo scambio di SIM è a basso costo, non sofisticato e meccanico. Ma se sei un criminale, funziona.

Lo scambio di SIM funziona in gran parte come risultato di vulnerabilità nei protocolli antifrode e di identificazione delle telecomunicazioni e come risultato di procedure antifrode e di verifica dell'identificazione relativamente deboli utilizzate come impostazione predefinita da troppi fornitori di servizi online, comprese le società di servizi finanziari. Recentemente, nel dicembre del 2023, la Federal Communications Commission ha pubblicato un rapporto e un ordine che adottano misure progettate per affrontare le vulnerabilità dello scambio SIM dei fornitori di servizi wireless. Il Report and Order include l'obbligo per i provider wireless di utilizzare metodi sicuri per autenticare i clienti prima di eseguire modifiche alla SIM del tipo descritto nell'accusa Powell, cercando al contempo di mantenere la relativa facilità di cui godono i clienti quando trasferiscono legittimamente un numero di telefono su un nuovo dispositivo . Di fronte alla crescente consapevolezza della facilità con cui gli autori di SIM swap sfruttano l’MFA di base e la 2FA meno sicura, in particolare su binari di messaggistica SMS non sicuri , tale atto di bilanciamento continuerà a porre sfide sia alle telecomunicazioni che ai fornitori di servizi, comprese le società Cripto . – che fanno affidamento su di loro.

I fornitori di servizi wireless non sono i soli ad affrontare un crescente controllo relativo alle accuse dell'accusa di Powell. Il caso contiene anche lezioni e avvertimenti per l’industria Cripto .

Anche se gli imputati nel caso Powell non erano le persone che hanno effettivamente avuto accesso e svuotato i portafogli FTX, presumibilmente hanno fornito i codici di autenticazione per farlo, che hanno ottenuto attraverso uno schema di scambio SIM abbastanza semplice (come presunto). Sullo sfondo del nascente regime di sicurezza informatica della SEC, il caso evidenzia la necessità per gli scambi che operano negli Stati Uniti di sviluppare processi per la valutazione e la gestione dei rischi di sicurezza informatica, compresi gli "hack" del tipo perpetrato nel caso FTX. Considerata l'esperienza della SEC come vittima di un recente attacco di SIM swap , possiamo aspettarci che la Divisione Enforcement presti maggiore attenzione agli attacchi di SIM swap contro gli scambi.

Ciò potrebbe mettere in svantaggio gli scambi offshore che evitano la SEC o altri controlli normativi. I requisiti della SEC relativi alla Dichiarazione informativa regolare di informazioni riguardanti la gestione, la strategia e la governance del rischio di sicurezza informatica, insieme al controllo esterno degli stessi, garantiscono che i clienti e le controparti possano comprendere le misure adottate da tali aziende per mitigare i rischi di un evento simile a FTX . Le aziende offshore potrebbero adottare approcci altrettanto trasparenti alle informative sulla sicurezza informatica, ma ciò presupporrebbe una propensione alla trasparenza da parte di aziende che potrebbero essere in qualche modo allergiche a tale nozione, come è stato FTX. Le aziende e i progetti Cripto possono anticipare una maggiore pressione – da parte dei regolatori e del mercato – per adottare, divulgare, dimostrare e mantenere pratiche di sicurezza informatica a un livello ben superiore a quello che consente ai truffatori rudimentali, come vengono descritti gli imputati di Powell, di fuggire. milioni.