Výměna SIM: Jak lze přijít o kryptoměny vinou operátora

Patnáctého srpna letošního roku podal investor Michael Terpin žalobu o 224 milionů dolarů na amerického telefonního operátora AT&T. Uvádí v ní, že telekomunikační gigant poskytl crackerům přístup k jeho telefonnímu číslu, důsledkem čehož ztratil velké množství kryptoměny.

Mechael Terpin je podnikatel původně z Portorika a ředitel společnosti TransformGroup. Je též spoluzakladatelem skupiny BitAngels, která společně investuje kapitál bohatých investorů do začínajících společností.

Terpin tvrdí, že ztratil kryptoměny v hodnotě 24 milionů dolarů kvůli dvěma útokům, které byly provedeny v rozmezí sedmi měsíců. V žalobě, která má 69 stran popisuje dva různé incidenty, a to z 11. června 2017 a ze 7. února tohoto roku. V obou případech AT&T, u kterého byl Terpin od devadesátých let, nedokázala tato společnost ochránit jeho digitální identitu. Nyní tedy Terpin žádá náhradu škody ve výši ztracených 24 milionů dolarů a dalších 200 milionů jako kompenzaci za prožité útrapy.

Výměna SIM karty: co mají telefonní operátoři společného s úsporami v kryptoměnách?

To, co AT&T udělal, se dá přirovnat k jednání hotelu, který vydá zloději s falešným dokladem klíče od pokoje a sejfu hosta, aby mohl ukrást jeho cennosti“, uvádí se v žalobě. Podle ní se Terpin stal obětí výměny SIM karet, známé také jako únos SIM, nebo podvod s přenosem.

Výměna SIM je proces, při kterém operátor přenese vaše číslo na novou SIM kartu, například když ztratíte telefon. V tomto případě ale dojde k přenosu čísla na SIM, kterou má v držení útočník, a to bez vědomí vlastníka čísla. Jakmile má útočník funkční telefonní číslo majitele kryptoměn na své SIM kartě, může nechat resetovat hesla na burzovních účtech vlastníka a ukrást jeho digitální měny. Někdy se útočníkům dokonce podaří překonat i 2FA autorizaci, jak uvádí magazín Motherboard. Podle jejich vyšetřování je výměna SIM poměrně jednoduchý proces a také dost rozšířený. Účty v kryptoměnách jsou navíc jeho velmi častým cílem.

Taktika takového útoku se může lišit případ od případu. Útočník může kontaktovat například firemního zákazníka s tím, že se tento zákazník stal obětí útoku a pak přesvědčit pracovníka této firmy, aby jim vydal důležitá data, která pak poslouží k výměně SIM při hovoru s operátorem. Podle Motherboardu ale útočníci často využívají nastrčené pracovníky operátora, kteří jsou placeni za provádění nelegálních výměn SIM. Jeden ze zlodějů SIM pod podmínkou anonymity uvedl pro magazín toto:

„Používá je každý … Když řeknete někomu, kdo dělá v telekomunikační společnosti, že díky tomu vydělají dost peněz, tak do toho prostě jdou.

Anonymní zdroj u operátora Verizon řekl Motherboardu, že byl najat přes Reddit, kde mu byl nabídnut úplatek za výměnu SIM karet. Další pracovník Verizonu zase dostal nabídku „100.000$ během pár měsíců“, pokud bude spolupracovat. Vše, co měl udělat, bylo buď „aktivovat SIM, jakmile bude v práci, nebo dát útočníkovi svoje zaměstnanecké číslo a PIN“.

Ale zpět k Terpinovu případu. Podle rozhovoru mezi pracovníkem AT&T a magazínem Motherboard je systém AT&T navržený tak, že umožňuje některým zaměstnancům obejít bezpečnostní opatření, jako je například potřeba hesla ke změně SIM:

„V systému se dá toto heslo změnit … S novým heslem už nic nestojí v cestě přenosu čísla na novou SIM kartu“.

Jak okradli Terpina?

Jak již bylo zmíněno, Terpin byl okraden dokonce dvakrát – v červnu 2017 a v lednu 2018. V létě 2017 to zjistil, když jeho telefon najednou odmítal fungovat. Od AT&T se pak dozvěděl, že jeho heslo bylo vzdáleně změněno poté, co „došlo k 11 pokusům o zadání v obchodu AT&T“.

Jakmile útočníci získali přístup k Terpinově telefonu, použili jeho osobní informace, včetně informací o hovorech a SMS, k proniknutí na jeho účet na kryptoměnové burze, kde měl nastavenou verifikaci pomocí telefonního čísla. Žaloba nicméně neuvádí, o jaký účet mělo přesně jít. Útočníci také údajně nabourali Terpinův skypový účet, aby se za něj vydávali při pokusu o vylákání kryptoměn z jednoho jeho zákazníka.

AT&T Terpinovo číslo zablokoval teprve poté, co mu útočníci ukradli „značné množství prostředků“. V žalobě je také zmínka o tom, že po schůzce se zástupci AT&T se Terpinovi dostalo ujištění, že jeho účet bude přesunut na vyšší úroveň zabezpečení se zvláštní ochranou, který mají například některé celebrity:

„AT&T také panu Terpinovi řekla, že zavedení lepších ochranných opatření zabrání napříště přenosu čísla na jinou SIM bez jeho výslovného povolení, protože nikdo kromě pana Terpina a jeho ženy nebude znát tajný kód.“

Nicméně o půl roku později se Terpinovi mobil opět vypnul, protože došlo k dalšímu útoku. Podle obžaloby totiž byli útočníci smluveni s pracovníkem AT&T na výměně SIM, a to navzdory zvýšeným bezpečnostním opatřením, která byla zavedena v červnu 2017:

„Jak AT&T později připustil, přenesl zaměstnanec operátora v connecticutském Norwichi číslo na jinou SIM, což bylo přímým porušením povinností zaměstnance společnosti. Operátor tak nedokázal splnit své sliby o vyšším zabezpečení účtu pana Terpina, které mělo být v platnosti od června 2017, aby se takovýmto podvodům zabránilo.“

Tentokrát byly Terpinovi ukradeny kryptoměny v hodnotě 24 milionů dolarů navzdory tomu, že kontaktoval společnost AT&T ihned poté, co jeho telefon přestal fungovat. AT&T údajně jeho žádost nevzal na vědomí, čímž ponechal útočníkům dost času na to, aby tito získali dostatek informací o jeho kryptoměnových účtech a aby přesunuli digitální měny na své adresy. Zástupce žalobce uvádí, že i Terpinova manželka zkoušela volat AT&T, ale její hovor čekal „nekonečně dlouhou dobu“ na spojení s operátorem, respektive jeho oddělením pro řešení podvodů.

Případ Terpin se může stát precedentem v případech nelegální výměny SIM

Žaloba zdůrazňuje problém nelegálních přenosů čísel na jiné SIM karty:

„AT&T neudělal vůbec nic pro to, aby před podvody s přenosem čísla ochránil svých téměř 140 milionů zákazníků. AT&T je tedy přímo zodpovědný za úspěch těchto útoků, protože si je jednoznačně vědom toho, že jeho zákazníci jsou cílem podobných útoků a přijatá bezpečnostní opatření jsou naprosto nedostatečná. AT&T nedělá prakticky nic pro to, aby své zákazníky ochránil před těmito podvody, protože je už příliš velký, než aby ho to zajímalo.“

Když server Gizmodo kontaktoval AT&T kvůli vyjádření, odmítla tato společnost veškerá obvinění s tím, že jsou připraveni obhájit se před soudem:

„Odmítáme tato obvinění a jsme připraveni se bránit soudní cestou.“

Terpin řekl Gizmodu, že tyto podvody běžně dělají „děcka z vejšky, co komunikují přes Discord“. Trvá také na tom, že v jeho případě se na podvodu podílel i zaměstnanec AT&T: „Společným jmenovatelem (těchto podvodů) je, že útočníci měli někoho uvnitř … (Obchodování s kryptoměnami) je bezpečné, dokud někdo nevyzradí vaši digitální identitu“.

Terpin dodal, že kontaktoval též FBI a oddělení Vnitřní bezpečnosti (Homeland security, jimž se podařilo identifikovat zaměstnance AT&T, který se měl na útoku podílet. Terpin se nyní místo klasických operátorů raději začal spoléhat na aplikaci Google Voice.

Související

PŘIDEJTE SE DO DISKUZE