O hack FTX: o mistério não resolvido da troca de SIM

O Departamento de Justiça recentemente divulgou discretamente uma acusação que algumas plataformas de mídia convencional e Cripto rapidamente captaram e relataram como acusações que “resolveram” o mistério de um roubo de Criptomoeda de US$ 400 milhões anteriormente detido pela falida exchange cripto FTX.

A acusação não foi essa. Mas reflete uma crescente preocupação regulatória e económica enfrentada pelas empresas de Criptomoeda on-shore e off-shore. A fraude de “troca de SIM” que supostamente teve como alvo a FTX, em novembro de 2022, é quase uma ferramenta rudimentar de “hacking” – ONE no roubo de identidade e na falsa representação de um titular de conta financeira – que tem como alvo em grande parte empresas que fornecem serviços duplos ou múltiplos cada vez mais antiquados. -identificação de fatores (“2FA” e “MFA”, respectivamente) proteções de Política de Privacidade para seus clientes e titulares de contas.

Os reguladores federais nos EUA estão cada vez mais atentos aos perigos representados pelos sistemas que dependem de procedimentos de protecção da Política de Privacidade que são vulneráveis ​​às trocas de SIM. A Comissão Federal de Comunicações está a procurar novas regras, enquanto os recentes regulamentos de segurança cibernética da SEC provavelmente exigirão que as empresas melhorem o seu jogo de Política de Privacidade face a esta ameaça específica. Na verdade, a SEC está ainda mais motivada agora, talvez, devido ao seu recente fiasco de troca de SIM.

Em 24 de janeiro de 2024, o Gabinete do Procurador dos Estados Unidos para o Distrito de Columbia divulgou uma acusação, intitulada Estados Unidos v. Powell, et al., após a prisão de alguns dos réus citados naquele caso. Conforme alegado, Robert Powell, Carter Rohn e Emily Hernandez trabalharam juntos para obter informações de identificação pessoal (“PII”) roubadas de mais de 50 vítimas.

Posteriormente, o trio usou essas informações roubadas para criar documentos de identificação falsos com o propósito de enganar os provedores de telecomunicações para que trocassem a conta de telefone celular da vítima do roubo de identidade por um novo dispositivo mantido pelos réus ou por “co-conspiradores” não identificados, a quem o trio de réus vendeu PII roubadas.

O esquema baseia-se na reatribuição do número de telefone das vítimas para um telefone físico controlado por um agente criminoso, o que implica a transferência ou portabilidade do número das vítimas (e, em essência, da identidade) para o Módulo de Identidade do Assinante, ou “SIM ”, cartão mantido fisicamente no novo dispositivo do criminoso. Isso é conhecido como esquema de “troca de SIM”.

Por meio do esquema de troca de SIM alegado em Estados Unidos v. Powell, os réus e co-conspiradores não identificados induziram fraudulentamente os provedores de telecomunicações sem fio a reatribuir números de telefone celular do cartão SIM do usuário legítimo para aquele controlado pelos réus ou pelos co-conspiradores não identificados. A troca de SIM permitiu então que o trio Powell e outros acessassem as contas eletrônicas das vítimas em várias instituições financeiras para roubar fundos dessas contas.

O principal benefício para os réus da troca de SIM foi a capacidade de interceptar nos novos dispositivos fraudulentos mensagens dessas contas financeiras que procuravam autenticar que a pessoa que acede à conta era o titular legítimo da conta. Normalmente, quando não há fraude envolvida, essa autenticação resultaria num texto SMS ou outra mensagem enviada ao utilizador legítimo, que então autenticaria a tentativa de acesso à conta, fornecendo um código incluído no texto ou mensagem. Neste caso, porém, esse código Secret foi diretamente para os fraudadores, que usaram o código para se passar pelo titular da conta e sacar fundos.

Embora a acusação de Powell não nomeie a FTX como vítima, as alegações em torno do maior incidente de fraude de swap SIM descrito na acusação referem-se claramente ao “hack” da FTX que ocorreu no momento do anúncio público de falência daquela empresa – as datas, horários , e os valores estão alinhados com os relatos públicos desse hack, e os relatos da mídia incluíram a confirmação fornecida por especialistas da investigação de que a FTX é, na verdade, a “Empresa da Vítima-1”, conforme descrito em Powell. Na época do hack da FTX, havia muita especulação sobre os perpetradores: trabalho interno, reguladores governamentais obscuros?

Leia Mais: Mistério do hack da FTX possivelmente resolvido: EUA acusam trio de roubo, incluindo ataque infame à troca de Cripto

Muitas das manchetes dos artigos que abordaram a acusação de Powell proclamam que o mistério está resolvido: os três réus cometeram o hack da FTX. Mas a acusação na verdade sugere o contrário. Embora a acusação descreva os três réus especificamente e pelo nome nas alegações relativas ao roubo de PII, à portabilidade de números de celular para um SIM obtido fraudulentamente e à venda de códigos de acesso FTX roubados, a acusação omite notavelmente qualquer referência aos três réus ao descrever o roubo real de fundos FTX.

Em vez disso, relata que “os co-conspiradores obtiveram acesso não autorizado a contas [FTX]” e “os co-conspiradores transferiram mais de 400 milhões de dólares em moeda virtual das carteiras de moeda virtual [da FTX] para carteiras de moeda virtual controladas pelos co-conspiradores”. A convenção na elaboração de acusações é nomear os réus nas ações cometidas pelos réus. Aqui, foram os “co-conspiradores” anónimos que deram os passos finais e mais significativos. O mistério de quem podem ser esses “co-conspiradores” permanece vivo e pode continuar a menos e até que novas acusações sejam retiradas ou um julgamento revele mais factos.

O caso FTX destaca uma consciência crescente entre promotores e reguladores sobre a facilidade e prevalência dos esquemas de troca de SIM. Ler a acusação de Powell não é diferente de ler uma das centenas de acusações de roubo de cartão de crédito que os promotores federais e estaduais realizam todos os anos. No que diz respeito às fraudes, a troca de SIM é barata, pouco sofisticada e mecânica. Mas, se você é um criminoso, funciona.

A troca de SIM funciona em grande parte como resultado de vulnerabilidades nos protocolos antifraude e de identificação das telecomunicações e como resultado de procedimentos antifraude e de verificação de identificação relativamente fracos, utilizados como padrão para muitos prestadores de serviços online, incluindo empresas de serviços financeiros. Recentemente, em dezembro de 2023, a Comissão Federal de Comunicações emitiu um Relatório e uma Ordem adotando medidas destinadas a resolver as vulnerabilidades de troca de SIM dos provedores de serviços sem fio. O Relatório e Ordem inclui a exigência de que os provedores de serviços sem fio usem métodos seguros de autenticação de clientes antes de realizar alterações no SIM do tipo descrito na acusação de Powell, ao mesmo tempo em que procuram manter a relativa facilidade que os clientes desfrutam ao portar legitimamente um número de telefone para um novo dispositivo . Diante de uma consciência crescente da facilidade com que os perpetradores de troca de SIM exploram MFA básico e 2FA menos seguro, especialmente em trilhos de mensagens SMS inseguros , esse ato de equilíbrio continuará a representar desafios tanto para as telecomunicações quanto para os provedores de serviços – incluindo empresas de Cripto – que dependem deles.

Os fornecedores de serviços sem fios não são os únicos a enfrentar um escrutínio cada vez mais relevante para as alegações da acusação de Powell. O caso também contém lições e alertas para a indústria de Cripto .

Mesmo que os réus em Powell não fossem as pessoas que realmente acessaram e esgotaram as carteiras FTX, eles supostamente forneceram os códigos de autenticação para fazê-lo, que obtiveram por meio de um esquema de troca de SIM bastante básico (como alegado). Tendo como pano de fundo o regime nascente de cibersegurança da SEC, o caso destaca a necessidade de as bolsas que operam nos EUA desenvolverem processos para avaliar e gerir riscos de cibersegurança, incluindo “hacks” do tipo perpetrados no caso FTX. Dada a própria experiência da SEC como vítima de um recente ataque de troca de SIM , podemos esperar que a Divisão de Execução preste mais atenção aos ataques de troca de SIM contra exchanges.

Isso poderia colocar em desvantagem as bolsas offshore que evitam a SEC ou outra supervisão regulatória. Os requisitos da SEC relativos à Aviso Importante regular de informações sobre gestão, estratégia e governança de riscos de segurança cibernética - juntamente com a auditoria externa dos mesmos - garantem que os clientes e contrapartes possam compreender as etapas que tais empresas tomam para mitigar os riscos de um evento semelhante ao FTX . As empresas offshore podem adotar abordagens igualmente transparentes às divulgações de segurança cibernética, mas isso pressuporia uma inclinação para a transparência por parte de empresas que podem ser algo alérgicas a essa noção – como foi o caso da FTX. As empresas e projetos de Cripto podem antecipar uma pressão crescente – dos reguladores e do mercado – para adotar, divulgar, demonstrar e manter práticas de segurança cibernética em um nível bem acima daqueles que permitem que fraudadores rudimentares, como são descritos os réus em Powell, fujam com milhões.