SIMスワップハッカーが暗号投資家を標的—セルサービスは利用できません

6月11日、カリフォルニア在住のRichard Yuan Liが、少なくとも20人を標的とした多数のSIMスワップ攻撃での彼の役割について、振り込め詐欺を犯した陰謀で起訴されたことが明らかになりました。それだけでなく、彼の精巧な金銭詐欺計画の一環として、彼は、個人の機密情報がオンラインで公開されないようにする代わりに、未知の医師から100ビットコイン（BTC）を強要しようとしました。.

多くの報告によると、Liの不正行為は、2023年までさかのぼることができ、2023年半ば頃まで続きます。彼は、共謀者のグループとともに、SIMを使用して苦労して稼いだ貯蓄の多くの無防備な個人をだまそうとしました。スワップ攻撃。この点で、SIMスワッピングでは、ハッカーが所有する電話に個人のSIMカードを再ルーティングすることで、電子メール、銀行口座の詳細、暗号通貨ウォレットなどの個人の個人情報にアクセスできるようにします。.

さらに、過去数年の間に、SIMスワップ攻撃は劇的な急増を見せました。たとえば、2023年5月に、暗号投資家のMichael Terpinは、ニューヨーク州アービントンの18歳のEllisPinskyによって行われた2,380万ドルのSIMスワップ攻撃の犠牲になりました。同様に、投資家であり、エミー賞を2度受賞したセスシャピロは、アメリカの通信大手ATに対して訴訟を起こしました。&Tは、会社の従業員が不正なSIMスワップスキームを首謀し、その結果、さまざまな暗号資産で180万ドルを失ったと主張しています。.

ID検証プロトコルが不十分なためSIMスワッピング?

SIMスワッピングは、特にますます多くの個人がリモートで作業するためにモバイルデバイスに依存し始めているため、米国の主要なネットワークのユーザーにとって重大な脅威となっています。この点で、多くのアメリカ人は、携帯電話事業者が従業員が犯罪ハッカーと繰り返し共謀するのを防ぐための合理的な措置を講じていないように見えるという理由だけで、生涯の節約と貴重なデータを目の下から盗まれています.

この点に関して、裁判弁護士であり、PierceBainbridgeのグローバルマネージングパートナーであるJohnPierceは、刑事訴追が行われ始めている一方で、民事訴訟における説明責任は、この種の違法行為を阻止するために絶対に重要であるとCointelegraphに語った。それだけでなく、彼はまた、ほとんどの携帯電話サービスプロバイダーの側からデータセキュリティ慣行の大幅な改革が必要であると信じています.

SIMスワップ関連のインシデントが過去3〜4年間で急激に増加している理由をより深く理解するために、Cointelegraphは、アデルファイ大学のサイバー法の准教授であり、ワシントン・エグザミナー。彼の見解では、その理由は、人々が現在、かなり安全なパーソナルコンピュータではなく、スマートフォンを使用して日常のデジタル活動を促進しているためです。彼が追加した：

「スマートフォンをマルウェアに感染させることに加えて、犯罪者はユーザーの電話番号を違法に偽装し（着信元の番号を偽造）、番号を移植し（ユーザーの電話から犯罪者が管理する別の電話に番号を移動します）、さらにはユーザーのデータにアクセスしてお金を盗むために、電話を識別するコンピューターチップであるSIMカードのクローンを作成します。」

1998年の連邦無線電話保護法は、サードパーティのソースと共有される個人データから顧客を保護しますが、Grabowskiは、最近ほとんどの携帯電話会社で使用されている緩いID検証プロトコルにより、顧客はさまざまな異なる脆弱性に対して脆弱になると述べました。ハッキングの試み.

今年の初めに、議会の何人かのメンバーが連邦通信委員会に手紙を送り、電話番号の前に直接店に行くことを要求するなど、ワイヤレスキャリアが顧客にアカウントを本当にロックするためのより強力な保護を提供することを義務付けるように促しました別のデバイスまたはキャリアに移植できます.

携帯電話プロバイダーはステップアップする必要があります?

サイバーセキュリティは進化し続けるドメインであり、攻撃者は最新のトレンドに追いつくためにゲームプランを継続的に変更しようとします。たとえば、ある時点でハッカーはSMSメッセージを使用して、Signaling System No. 7またはSS7の通信プロトコルを攻撃することにより、人々の携帯電話にアクセスしていました。現在、ハッカーはその方法がより洗練されており、さまざまな異なる手段を使用してパスワードを解読する方法を学びました。その結果、多くの企業がセキュリティを強化するために2要素認証プロトコルを追加することで対応しています。.

マサチューセッツ工科大学のインストラクターであり、サイバーセキュリティ会社のアベロンの最高技術責任者であるマーク・ハーシュバーグ氏は、悪党がSIMスワップ攻撃を実行するのがいかに簡単であるかについて語り、そのような攻撃を開始することは確かに容易ではないとCointelegraphに語った。 、ウォレットに十分な価値がある場合、ハッカーにとっては価値があります。「攻撃者は、アプローチに報いるための最適な取り組みを見つけるのに非常に効率的です。」

さらに、この高まる問題にうまく対処する方法について、Herschbergは、ユーザーが何もしなくてもサイレント2FA認証を実行できる新しいテクノロジーがあることを指摘しました。彼の見解では、この方法はより安全であり、SIMスワップをより効率的に検出するのに役立ちます。したがって、SIMが最近変更された場合に、ネットワークオペレーターがトランザクションにフラグを立てることができます。.

ATとの戦い&怒り狂う

おそらく最も広く報道されているSIMスワップ訴訟の1つで、米国地方裁判所の裁判官は5月20日にATを拒否する命令を発表しました。&Tは、シャピロの訴訟を却下するために入札しました。シャピロは、会社が非常に過失を犯し、180万ドル相当の暗号通貨で悪党が侵入するのを防ぐことができなかったと主張しています。 Cointelegraphとの会話で、Shapiroは次のように述べています。

「私たちは単にそのATを主張しているのではありません&T人の従業員が私の盗難に巻き込まれました。彼らは国土安全保障省（米国対フリーマン）によって作成された事件から、法務省による起訴状で指名されました。したがって、連邦政府はすでにAT&Tの従業員は顧客から盗んでいます。」

さらに、過去に、ATが言及する価値があります&Tは、シャピロと非常によく似たケースで多くの大きな敗北を喫しました。たとえば、2023年に、ハッカーがATの制御を取得できた後、カリフォルニア在住のロバートロスは100万ドル相当の暗号を失いました&T電話。同様に、ノースカロライナ州在住のジェイソンウィリアムズも、大規模なSIMスワップ攻撃を受けていました。 失われた 彼の暗号節約の大部分.

Shapiro氏は、このようなSIMスワップインシデントに関して、ネットワークオペレーターがどのように責任を逸らそうとしてきたかを詳しく説明し、ATなどの有名企業が何年もの間それを付け加えました。&Tは、そのような問題を解決するための行動を取る代わりに、従業員が顧客の命を破壊することを許可しました—顧客を盗難、恐喝、その他の重大犯罪にさらしました—「法務省は2つのATを起訴しました&私の場合はT人の従業員。その月だけで、それらのATの1つ&Tの従業員は29の違法なSIMスワップを犯しました。もう一方は少なくとも12とATをコミットしました&Tは彼らを止めるために何もしませんでした。」

この件についてコメントし、ピアスはAT&Tは、ATと協力したハッカーに責任を集中させようとしました&T従業員が攻撃を実行し、被害者の携帯電話番号の制御と、2要素認証を通じて被害者のアカウントにアクセスする機能との関係を軽視します。

「AT&シャピロ氏の訴訟を却下するというTの申し立ては、シャピロ氏の主張は、シャピロに対する法的に認められる請求を確立するためのさまざまな技術的法的要件を満たしていないことを主張しました。そのほとんどは、裁判所が断固として却下しました。シャピロ氏の裁判所は現在、SIMスワップの被害者による民事訴訟がATに対して進行することを許可している他の連邦裁判所の増大する合唱団に加わっています。&T.」

電話をかける

いくつかは 提案する この最近のSIMスワッピング事件の増加は、暗号通貨を採用したいという大衆の願望と直接関連している可能性があることから、この相関関係を裏付ける十分な証拠がないように思われます。たとえば、ランサムウェア攻撃と同様に、SIMスワッピングは、ハッカーに多額の給料日を打つための別の手段を提供するだけです。.

ただし、SIMスワップ攻撃が一般的になるのを防ぐために、携帯電話ユーザーは技術に精通し、ユーザーがそれらなしで検証チェックを実行できる「オフライン2要素コード」などのプライバシープロトコルを採用する必要があることを理解する必要があります。彼らの携帯電話会社に頼らなければならない。さらに優れた代替手段は、物理的なセキュリティキーを利用することです。これにより、悪意のあるユーザーが個人の個人データにアクセスすることはほぼ不可能になります。.