Facebook 
Pinterest SIMスワッピング:ハッカーが被害者の通信事業者を介して何百万もの価値のある暗号を盗んだ方法
8月15日、アメリカの投資家MichaelTerpinがATに対して2億2400万ドルの訴訟を起こしました。&T.彼は、通信大手がハッカーに彼の電話番号へのアクセスを提供し、それが主要な暗号強盗につながったと信じています.
Michael Terpinは、プエルトリコを拠点とする起業家であり、TransformGroupのCEOです。彼はまた、BitAngelsという名前のビットコイン(BTC)投資家のためのエンジェルグループとデジタル通貨ファンドであるBitAngels DAppsFundの共同創設者でもあります。.
Terpinは、7か月の間に2回のハッキングが発生した結果、2400万ドル相当の暗号通貨を失ったと主張しています。 69ページの苦情 彼はカリフォルニア州の法律事務所GreenbergGluskerに提出し、2023年6月11日と2023年1月7日付けの2つの別々のエピソードについて言及しています。どちらの場合も、文書によると、AT&Terpinが1990年代から長年の加入者であったTは、彼のデジタルIDを保護できませんでした.
現在、Terpinは、懲罰的損害賠償として2億ドル、電気通信会社からの補償として2400万ドルを求めています。.
SIMスワッピング詐欺:通信プロバイダーは暗号の節約と何の関係がありますか?
"何AT&Tは、偽のIDを持つ泥棒に部屋の鍵と、正当な所有者から金庫の中の宝石を盗むための金庫の鍵を与えるホテルのようなものでした。," 苦情は、TerpinがSIMハイジャックまたは「ポートアウト詐欺」としても知られるSIMスワップ詐欺の犠牲になったと主張しています。
SIMスワッピングは、たとえばT-Mobileのような通信プロバイダーをリードして、攻撃者が保持しているSIMカードにターゲットの電話番号を転送するプロセスです。彼らが電話番号を受け取ると、ハッカーはそれを使用して被害者のパスワードをリセットし、暗号通貨取引所のアカウントを含む彼らのアカウントに侵入することができます.
場合によっては、泥棒が2要素認証でさえバイパスできるようになります。 マザーボード 書き込みます。彼らによると 調査, SIMスワッピングは「比較的簡単に実行でき、普及している」と付け加え、「暗号通貨アカウントは一般的なターゲットです」と付け加えています。
このようなハッキングを実行するために犯罪者が採用する戦術は異なる場合があります。時には、顧客の代表者をだまして自分がターゲットであると信じ込ませ、データを渡させます。ただし、Motherboardによると、詐欺師はしばしばいわゆる「プラグ」を使用します。これは、違法なスワップを行うために報酬を受け取る通信会社の内部関係者です。匿名のSIMハイジャッカーが出版物に語った:
「誰もがそれらを使用します[…] [通信会社で働いている]誰かにお金を稼ぐことができると言うとき、彼らはそれをします。」
Verizonの匿名の情報筋は、SIMの交換と引き換えに賄賂を提供されたReddit経由で連絡があったとMotherboardに語った。別のVerizonの従業員は、ハッカーが協力すれば「数か月で10万ドル」を稼ぐと約束したと主張しました。彼がしなければならなかったのは、「仕事中に[ハッカー]のSIMカードを有効にするか、 [攻撃者の]従業員IDとPIN。」
Terpinのケースに関連して、マザーボードとATとの対話&Tの従業員は、システムの設計により、一部の従業員がATの電話パスコードなどのセキュリティ機能に取って代わることができると報告されています。&Tは、番号を移植するときに必要です。
「そこから、パスコードを変更できます[…]新しいパスコードを使用すると、電話を切ることなく番号を移植できます。」
Terpinはどのようにハッキングされましたか?
上記のように、Terpinは2023年6月と2023年1月の2回ハッキングされました。.
まず、2023年の夏に、彼は自分のATが&苦情によると、彼の電話が突然死んだとき、T番号はハッキングされていた。その後、ATから学びました&彼のパスワードがリモートで変更されたT「ATで11回試行した後&Tストアは失敗しました。」
攻撃者はTerpinの電話にアクセスした後、通話やテキストメッセージなどの個人情報を使用して、「暗号通貨アカウント」など、確認の手段として電話番号を使用するアカウントに侵入しました。ただし、タイプは指定されていません。それらのアカウントの。伝えられるところによると、ハッカーはTerpinのSkypeアカウントを乗っ取って彼になりすまし、クライアントの1人に暗号通貨を送信するように説得しました。.
AT&伝えられるところによると、Tは、ハッカーがTerpinから「かなりの資金」を盗んだ後でのみ、ハッカーへのアクセスを遮断しました。文書はまた、事件後、2023年6月13日にTerpinがATと会ったと述べています&Tの代表者が攻撃について話し合い、ATによって約束されました&彼のアカウントは、有名人が使用するものと同様に、「特別な保護」を備えた「より高いセキュリティレベル」に移動されるということです。
「AT&Tはさらに、セキュリティ対策の強化により、Terpin氏とその妻以外の誰も秘密のコードを知らないため、Terpin氏の明示的な許可なしにTerpin氏の番号が別の電話に移動されるのを防ぐことができるとTerpin氏に語った。 」
それにもかかわらず、半年後の2023年1月7日土曜日に、Terpinの電話は再びオフになったと報告されています。彼はさらに別の攻撃を受けました。苦情は、「ATの従業員&2023年6月に追加のセキュリティ対策が取り戻されたにもかかわらず、TストアはSIMスワップ詐欺を犯した詐欺師と協力しました。
「ATとして&Tは後で認めた、ATの従業員&コネチカット州ノーウィッチのTストアは、ATに違反してターピン氏のワイヤレス番号を詐欺師に移植しました&Tのコミットメントと約束。これには、そのような詐欺を正確に防ぐために実装されたと思われる2023年6月11日のハッキング後にTerpin氏のアカウントに設定されたと思われるより高いセキュリティが含まれます。」
今回、泥棒はATに連絡しようとしたにもかかわらず、約2,400万ドル相当の暗号通貨を盗んだとされています。&彼の電話が機能しなくなった後、Tは「即座に」。 AT&伝えられるところによると、彼の要求を「無視」し、ハッカーに十分な時間を残して、Terpinの暗号アカウントに関する十分な情報を取得して彼の資金を自分のアカウントに移動させました。原告の訴状は、Terpinの妻もATに電話をかけようとしたと主張している&当時はTでしたが、ATへの接続を依頼されたときに「エンドレスホールド」になりました&Tの詐欺部門.
Terpin事件は、SIMスワッピング詐欺の法的前例となる可能性があります
苦情が要約されると、ポートアウト詐欺の潜在的な規模を強調します。
「AT&Tは、約1億4000万人の顧客をSIMカード詐欺から保護するために何もしていません。 AT&したがって、Tは、顧客がSIMスワップ詐欺の対象であり、セキュリティ対策が効果的でないことを十分に認識しているため、これらの攻撃の直接の責任を負います。 AT&Tは大きくなりすぎて気にしないため、このような詐欺から顧客を保護するために事実上何もしていません。」
いつ ギズモード ATに連絡&話についてのコメントのために、会社は伝えられるところによると、彼らは彼らの立場に立つ準備ができていると述べて、告発を否定した。
「私たちはこれらの主張に異議を唱え、私たちの訴訟を法廷で提示することを楽しみにしています。」
TerpinはGizmodoに、そのような暗号強盗は一般的に「これらのDiscordグループでオンラインになる大学生」によって実行されると語った。彼はまた、彼の場合、泥棒はATを使用したと主張した&T従業員:
「[暗号ハッキング]間のリンクである1つのことは、すべての場合にインサイダーがいるということです[…] [暗号通貨の取引]は、誰もあなたのデジタルIDを提供しない限り安全です。」
彼は、FBI、国土安全保障省、および米国シークレットサービスに連絡し、ATを特定したと付け加えました。&攻撃に参加したとされるT従業員.
Terpinはまた、電話番号を教えないで、代わりにGoogleVoiceに頼っていると主張しました。.
Cointelegraphは、Terpinの弁護士に連絡して、彼から盗まれたトークンと、彼が暗号通貨アカウントを持っていた場所を特定しました。このストーリーは、コメントリクエストが返されるとすぐに更新されます.