Угонщики номеров мобильных телефонов успешно взламывают криптовалютные кошельки

Хакеры обнаружили, что один из центральных элементов онлайн-безопасности – номер мобильного телефона – проще всего поддаётся взлому. Об этом пишет NYTimes.com.

Растёт число атак, для осуществления которых хакеры звонят в Verizon, T-Mobile U.S., Sprint и AT&T и просят передать контроль над номером телефона жертвы на устройство хакеров. Как только они получают доступ к номеру телефона, они могут сбросить пароль в любом сервисе, который использует номер телефона для восстановления пароля, включая аккаунты в Google, Twitter и Facebook.

«Мой iPad перезагрузился, мой телефон перезагрузился и мой компьютер перезагрузился. Я покрылся холодным потом и подумал: «Ага, плохи дела», - говорит криптовалютный инвестор Крис Бурниск, номер мобильного телефона которого был взломан в конце прошлого года.

Большое число пользователей, использовавших номер мобильного телефона в качестве опции для восстановления пароля, стали жертвами этой атаки, включая активиста Black Lives Matter и главного технического специалиста Федеральной торговой комиссии США. Согласно информации самой Комиссии, число так называемых «угонов номеров» быстро растёт. В январе 2013 было зафиксировано 1038 подобных случаев, а к в январю 2016 это значение выросло до 2658.
Больше всех от этих атак страдают пользователи виртуальных валют, такие как Бурниск. За несколько минут хакеры смогли поменять пароль на кошельке Бурниска и вывести с него $150.000.

Многие жертвы атак не торопятся публично рассказывать о произошедшем, не желая давать повод для радости своим противникам. Тем не менее, в интервью десятки известных в индустрии личностей признают, что они стали жертвами атаки в последние месяцы.

«Все, кого я знаю в криптовалютном пространстве, становились жертвами хакеров, ворующих номера мобильных телефонов», - говорит Джоби Викс, биткоин-предприниматель. В прошлом году Викс потерял доступ к номеру своего мобильного телефона, а вместе с этим и миллион долларов в криптовалюте, несмотря на то, что обращался к оператору мобильной связи с просьбой усилить меры безопасности по защите его номера, после того как были украдены номера его жены и родителей.

Хакеры собирают информацию о пользователях, которые пишут в социальных сетях о том, что хранят криптовалюту либо собираются инвестировать в криптовалютные компании.

Как известно, транзакции виртуальных валют необратимы. Брокерские и банковские счета не так привлекательны для хакеров, поскольку обычно эти организации могут возвращать случайные или мошеннические транзакции, если информация о них поступает в течение нескольких дней после осуществления транзакции.

Помимо криптовалют хакеры интересуются любыми ценными email-адресами и цифровыми файлами. В поле их зрения попадают политики, активисты и журналисты. В прошлом году хакеры получили доступ к аккаунту лидера движения Black Lives Matters Дерей Маккессона в Twitter при помощи номера мобильного телефона.

Как показывает практика, жертвами атаки становятся даже технически подкованные пользователи. Эксперты в сфере кибербезопасности говорят, что число подобных инцидентов будет расти, если операторы мобильной связи не пересмотрят свои процедуры для передачи доступа к номерам мобильных телефонов.

«Нам приходится сталкиваться с уязвимостью метода восстановления пароля при помощи мобильного телефона», - говорит Майкл Перклин, главный эксперт по безопасности криптовалютной биржи ShapeShift, сотрудники и клиенты которой неоднократно становились жертвами хакеров.

Операторы мобильной связи заявляют, что они делают всё возможное для предотвращения подобных атак, включая создание сложных номеров для идентификации личности пользователя или PIN-кодов и другие методы. Однако, как показывает практика, этих мер недостаточно для того, чтобы остановить преступников.

Первая волна атак на криптовалютные кошельки со взломом номеров мобильных телефонов прокатилась прошлой зимой, о чём писал Forbes. Перклин и другие эксперты в сфере кибербезопасности утверждают, что с тех пор число подобных случаев увеличилось.

В последних эпизодах хакеры получали доступ к номерам телефонов, когда жертвы знали, что на их кошельки осуществляется атака, и предупреждали об этом операторов мобильной связи.
Эдам Покорницкий, управляющий партнёр Cryptochain Capital, обратился в Verizon с просьбой усилить контроль за его номером телефона, после того как узнал, что злоумышленник 13 раз звонил в компанию с требованием перенести номер на новый телефон. Однако, через несколько дней после этого хакер убедил очередного оператора Verizon, который даже не запросил PIN-код, поменять номер.

Пресс-секретарь Verizon Ричард Янг заявил, что компания не комментирует отдельные случаи, но сообщил, что перенос номеров телефонов происходит не часто.

Перклин, который до ShapeShift работал в канадской компании, выполняющей функции оператора мобильной связи, говорит, что в большинстве случае компании записывают все запросы, касающиеся усиления мер безопасности, вместе с информацией о клиенте. Однако, операторы часто сами принимают решения и игнорируют сопутствующие записи.

Эта уязвимость стала следствием введения новых способов зашиты аккаунтов пользователей, включая двухфакторную аутентификацию. Многие email-провайдеры и финансовые компании требуют указать номер мобильного телефона во время регистрации аккаунта для подтверждения личности клиента. В то же время они позволяют использовать этот номер мобильного телефона для сброса пароля. Хакер кликает на ссылку «Забыли пароль?» и получает новый пароль на мобильный телефон.

Покорницкий был в сети, когда хакер взломал его аккаунт, и видел своими глазами, как тот вывел все его деньги за считанные минуты.

«Было ощущение, что они всегда опережают меня на шаг», - говорит он.

Обычно такие атаки занимают несколько минут, из чего эксперты делают вывод, что участие в них принимает группа хакеров, каждый участник которой выполняет собственную роль.

Перклин и другие жертвы атак сообщают, что хакеры придумывали душераздирающие истории, убеждая операторов в необходимости переноса номера на новый телефон. Они звонят в службу поддержки несколько раз и в конце концов находят оператора, который готов помочь им.

«Эти парни позвонят 600 раз, но найдут агента, который будет конченым идиотом», - говорит Викс.

Один из крупнейших биткоин-кошельков Coinbase обратился к своим клиентам с просьбой отключить привязку мобильных телефонов к своим аккаунтам. Однако, некоторые пользователи, потерявшие деньги, считают, что этих мер недостаточно. Например, они предлагают ввести период заморозки для аккаунтов, пароль которых был изменён.

«Coinbase – это банк. Он хранит миллионы долларов, но вы даже представить себе не можете, как несущественны его меры безопасности, пока ваши деньги не будут украдены. Тысячи долларов за считанные минуты», - говорит Коди Браун, разработчик, пострадавший от хакеров в мае.

Браун написал ставший популярным пост, в котором он рассказал о том, как потерял $8000 на Coinbase. Во время атаки он сидел перед компьютером и наблюдал за действиями хакеров, не получая ответа ни от Coinbase, ни от Verizon.

Пресс-секретарь Coinbase заявил, что компания «выделила значительные ресурсы на разработку внутренних инструментов, которые призваны защитить клиентов от хакеров, включая кражу номеров мобильных телефонов».

Необратимость биткоин-транзакций часто рассматривается как важное преимущество криптовалюты. Однако, Покорницкий считает, что компании, работающие в этой сфере, должны предупреждать своих клиентов о дополнительных рисках новой технологии. «Возможность осуществления самостоятельного контроля за деньгами и переводов без участия третьих лиц представляется важным преимуществом. Однако, необходимо осознавать, что у этой медали есть и обратная сторона», - говорит он.
Комментарии 3
Вы должны войти на сайт, чтобы разместить свой комментарий.
  • Иван
  • Димка Димка
  • Иван