Привязывать аккаунт к SIM-карте давно стало стандартом безопасности в банках и различных финансовых сервисах, в том числе и в криптовалютных. Кажется, что двухфакторная аутентификация надежно защищает данные и активы. Но на деле это не так: в апреле студент из Калифорнии получил 10 лет тюрьмы за кражу криптовалют с помощью SIM-карт. 21-летний Джоэл Ортиз смог украсть порядка $7.5 миллиона в криптовалютах через так называемый SIM-свопинг (обмен сим-картами) — мошенническую схему, в рамках которой злоумышленники получают доступ к информации жертвы, а затем обращаются к оператору сотовой связи и просят перевыпустить SIM-карту, выдавая себя за другого человека. С помощью SIM-свопинга крадут криптовалюты на миллионы долларов. DeCenter разобрался, насколько SIM-свопинг угрожает держателям криптовалют и как обезопасить свои крипто-активы.

Чем опасен SIM-свопинг?

Первая серия крупных краж криптовалют с помощью SIM-свопинга произошла еще зимой 2016 года в США. Жертвы хранили криптовалюты на различных биржах, используя двухфакторную авторизацию, когда для доступа с нового устройства надо получить код на телефон.

Сначала мошенники узнают номер телефона и персональные данные жертвы (через открытые источники или через сотрудников операторов за часть вознаграждения). После этого блокируют симку — для этого достаточно лишь позвонить в службу поддержки, представиться и сообщить о потере телефона. Затем надо добиться перевода номера на свою симку. Сделать это можно по-разному: обманув менеджера, вступив в сговор с сотрудниками телеком-компании или просто попав на сговорчивого представителя службы поддержки.

Получив нужные данные, мошенники устанавливают контроль над номером. Это дает им доступ к большинству интернет- и банковских сервисов, которые используют двухфакторную аутентификацию и к которым привязана симка. В том числе и к криптобиржам и онлайн-кошелькам. «Важно понимать, что SIM-свопинг — это не только и не столько о криптовалютах. Прецеденты с похищением криптовалюты — частный случай, который получил резонанс. В целом же угроза намного более глобальна и затрагивает все аспекты защиты персональных данных», — заметила Екатерина Малярова, кандидат юридических наук, преподаватель программы дополнительного образования BCL.

Насколько распространен SIM-свопинг?

Точных данных никто не знает. Сотовые операторы России не ответили на наш запрос.

Больше всего громких случаев SIM-свопинга произошло в США. Речь идет о нескольких тысячах прецедентов в год. Судя по всему, главная цель американских хакеров — активные члены криптосообщества, держатели крупных сумм в криптовалютах. По словам биткоин-предпринимателя Джоби Уикса, он не знает ни одного человека из американского крипто-комьюнити, у которого не воровали бы номер. Полиция Калифорнии даже взяла случаи SIM-свопинга на особый контроль, а по данным отчета CipherTrace, SIM-свопинг — трендовое направление среди мошенников в 2018 году.

Злоумышленники — это, в основном, юные хакеры в возрасте от 19 до 25 лет. В июле 2018 года полиция арестовала 20-летнего студента колледжа Джоэла Ортиза, укравшего с помощью SIM-свопинга около $7.5 миллиона в криптовалютах, из которых $5.2 миллиона он украл у предпринимателя из Купертино. Всего мошенник обокрал около 40 человек. В апреле этого года калифорнийский суд приговорил его к 10 годам тюрьмы.

Также в 2018 году за SIM-свопинг арестовали:

 19-летнего Ксавьера Нарваеза, обвиняемого в краже около $1 миллиона;

 21-летнего Николаса Трулья, обвиняемого во взломе симок нескольких крупных предпринимателей из Кремниевой долины и краже крупных сумм с кошельков на Coinbase и Gemini;

 25-летнего Джозефа Хандшумахера, обвиняемого в краже 57 ВТС;

 23-летнего Джозефа Харриса и 21-летнего Роберта Чилдерса, которые обвиняются в краже посредством SIM-свопинга $14 миллионов у криптовалютной компании Crowd Machine;

 20-летнего Доусона Бейкиса, обвиненного в 50 случаях мошенничества с использованием SIM-свопинга.

«Данный вектор атаки довольно старый, раньше его использовали для кражи средств через онлайн-банкинг. SIM-карты очень плохо защищены и легко клонируются. Также легко сделать копию сим-карты у самого оператора», — заметил Эдуард Барк, сооснователь криптовалютной биржи EXMO.

Упоминаний о подобных арестах в России пока нет, но если вы или ваши знакомые столкнулись с SIM-свопингом, напишите об этом в комментариях.

Можно ли вернуть похищенные средства?

Если кто-то украл деньги с вашего банковского счета, вы, скорее всего, сможете их вернуть. Если мошенник получил доступ к вашему крипто-кошельку, вам вряд ли удастся восполнить потери. Ведь в случае с SIM-свопингом непонятно, кто должен нести ответственность за утрату средств — оператор, биржа или сам владелец кошелька? Насколько нам известно, пока ни одна биржа или оператор не компенсировали пострадавшим их убытки.

«Полагаю, что ключевую роль в процессе обеспечения безопасности владельцев SIM-карт должна быть отведена собственно не владельцам, а мобильным операторам. Как показывают исследования, в значительном числе случаев SIM-свопинг становится возможным благодаря внутренним утечкам информации, а также участию сотрудников телеком-компаний в этих атаках», — отметила Екатерина Малярова.

Эдуард Барк, сооснователь криптовалютной биржи EXMO, в случае доказанной кражи с использованием SIM-свопинга посоветовал «обращаться к оператору, так как злоумышленник воспользовался всеми данными, которые пользователь (пусть и не специально, а по неосторожности) ему предоставил».

В августе 2018 года предприниматель и CEO TransformGroup Майкл Терпин, который стал жертвой мошенников, решил, что отвечать должен оператор. Он подал иск на $224 миллиона против телекоммуникационной компании AT&T. Терпин обвинил провайдера в том, что тот предоставил хакерам возможность завладеть его номером. В 69-страничном иске Терпин утверждает, что из-за двух хакерских атак с использованием SIM-свопинга он потерял $24 миллиона. Теперь предприниматель требует AT&T вернуть похищенные средства и выплатить компенсацию в размере $200 миллионов.

Такой же логики придерживается и американская юридическая компания Silver Miller, подавшая арбитражные иски против AT&T и T-Mobile от имени нескольких жертв, лишившихся из-за SIM-свопинга $621,000, $400,000 и $250,000 в криптовалюте. Silver Miller обвиняет операторов в том, что те создают благоприятные условия для мошенничества.

Как еще мошенники могут получить доступ к криптовалютам жертвы через SIM-карты?

К сожалению, SIM-свопинг не единственная угроза, исходящая от сим-карт.

Перехват СМС с паролем. Чтобы получить доступ к счетам, не всегда нужно воровать номер. С помощью протокола Signaling System 7 (SS7) мошенники умеют перехватывать коды и текстовые послания в СМС. Еще в 2017 году Positive Technologies провели эксперименты по перехвату СМС и подключению к аккаунтам Coinbase, показавшие, насколько просто войти в чужие аккаунты.

Переадресация сообщений. Мошенники могут также взломать личный кабинет пользователя на сайте оператора и настроить переадресацию всех сообщений на другой номер.

Простое воровство. В конце концов, симку или телефон можно просто украсть. Пока жертва заметит пропажу, злоумышленники могут вывести все средства.

Как не стать жертвой SIM-свопинга?

Самый простой и очевидный совет — это не привязывать аккаунт к сим-карте. Но, к сожалению, многие сервисы требуют номер мобильного телефона в обязательном порядке. В этом случае обезопасить свои активы и персональные данные поможет соблюдение перечисленных ниже рекомендаций.

Не указывать публично номер телефона, к которому привязаны аккаунты на крипто-площадках. Не сообщайте этот номер никому и нигде его не публикуйте. Это должен быть отдельный номер телефона, купленный специально для привязки к аккаунту на бирже или крипто-кошельке. Не привязывайте на этот номер аккаунты соцсетей, почты или других бирж. Один аккаунт/кошелек — один номер.

Телефон с симкой лучше хранить отдельно, в защищенном месте. Вы должны пользоваться этим номером раз в 2−3 месяца и не забывать его пополнять, чтобы оператор не заблокировал его и не отдал другому человеку.

Установите дополнительный пароль. Чтобы заблокировать симку, достаточно позвонить оператору и назвать ФИО. Но большинство операторов предоставляют возможность установить дополнительный пароль. Тогда, если кто-то обратится за блокировкой симки или ее перевыпуском, у него запросят не только ФИО, но и пароль.

Не используйте двухфакторную аутентификацию. Вместо нее, если позволяет платформа, используйте специальную программу для двухфакторной аутентификации. Например, Google Authenticator, Authy, Microsoft Authenticator, Duo или Authenticator plus. Эти приложения привязываются к смартфону, а не к номеру, и генерируют временные коды (живущие 30 секунд) для входа в аккаунт. Чтобы перестраховаться, запишите где-нибудь копию ключей от приложений аутентификации на случай, если потеряете или сломаете телефон. Помните, что аутентификацию с помощью приложения надо также поставить и на другие сервисы, привязанные к аккаунту на бирже. Например, к почтовому ящику.

Вместо приложений можно также использовать метод физической аутентификации — аппаратные USB и NFC ключи безопасности, например, Yubikey.

«Не пользуйтесь двухфакторной аутентификацией с помощью SMS, используя вместо них TOTP-коды для аутентификации, не отправляйте свой номер телефона незнакомым людям и не публикуйте его в открытых источниках», — посоветовал держателям криптовалют Эдуард Барк, сооснователь криптовалютной биржи EXMO.

Отключите переадресацию звонков. Это значительно затруднит план мошенников получить быстрый доступ к вашим данным.

Храните средства на холодных автономных кошельках, а сами кошельки — в сейфе или другом, недоступном для посторонних людей и хакерских атак месте.

Оберегайте свои персональные данные. Если у мошенников будут ваши паспортные данные, скан или копия паспорта, их шансы обмануть доверчивых сотрудников сотового оператора резко возрастают.

Сохраняйте анонимность. Не обязательно быть параноиком, но не стоит лишний раз говорить, на какой бирже вы храните средства, сколько именно у вас биткоинов и как вы купили ламбо после очередного бычьего ралли.

Будьте бдительными. Банально не оставляйте телефон без присмотра. Если внезапно пропадает связь и не получится никуда дозвониться, не откладывайте звонок оператору и блокируйте номер.

Важно понимать, что ни один из этих способов не является гарантией сохранности активов и персональных данных. Чтобы защитить свои средства, надо использовать весь арсенал защиты от крипто-мошенников.

Эдуард Барк также посоветовал: «Чтобы избежать потери средств из-за SIM-свопинга или других видов мошенничества, мы рекомендуем включать обязательную полную защиту аккаунта (выбор данной позиции означает, что при изменении настроек профиля, вывода средств или авторизации, помимо стандартных логина и пароля в целях дополнительной защиты будут использованы уникальные одноразовые коды через Google Authenticator), не использовать одинаковые пароли для почты и персонального аккаунта, не открывать подозрительные письма и не переходить по незнакомым ссылкам. Кроме того, у нас очень сильный антифрод-департамент, который контролирует поведение пользователя, а в случае обнаружения подозрительной активности может временно приостановить вывод и запросить некоторые данные у пользователя для его дополнительной идентификации».

А вы или ваши знакомые сталкивались с SIM-свопингом? Напишите в комментариях.