Troca de SIM ganha força: como os proprietários de Bitcoin mantêm suas economias

Ao contrário da crença popular, usar um número de telefone para autenticação de dois fatores podetorne-se a razão pela qual você perde todos os seuseconomia em criptomoeda. Especialmente se você armazená-lo em serviços de terceiros, como bolsas de criptomoedas ou plataformas de empréstimo. Dia após dia, a comunidade criptográfica não se cansa de repetir o mantra:«Não são suas chaves privadas = não são suas criptomoedas».

Durante grande parte da última década, uma combinação destas duas práticas(ler - erros)levou ao surgimento de um fenômeno chamadoTroca SIM.

Troca SIM- um método relativamente barato para o qual não existerequer habilidades técnicas especiais e através das quais os invasores podem obter o controle de todas as contas da vítima. Claro, se uma vítima em potencial usar esse número de telefone para fazer login em vários serviços, seja e-mail ou até mesmo uma carteira criptografada. É mais provável que a engenharia social esteja em ação aqui do que o conhecimento técnico do hacker. Essencialmente, ele precisa descobrir quais métodos de verificação de identidade a operadora móvel da vítima usa e obter algumas informações sobre o próprio “alvo”. E muitas vezes para isso basta saber apenas um número de telefone.

Aqui é necessário fazer uma reserva que nos mesmos EUAO chamado serviço eSIM está ganhando cada vez mais popularidade - cartões SIM eletrônicos que não precisam ser instalados em um smartphone. A operadora móvel simplesmente atribui a você um número de telefone remotamente. Qualquer que seja o cartão SIM que você use, esse perigo ameaça a todos e as consequências serão extremamente desagradáveis.

O aumento da popularidade da troca de SIM

A crescente ameaça de fraude de spoofingOs cartões SIM foram identificados por um estudo publicado em janeiro de 2020 por um grupo de professores e alunos de pós-graduação do Departamento de Ciência da Computação da Universidade de Harvard e do Centro de Política de Tecnologia da Informação da Universidade de Princeton.

«Um invasor liga para sua operadora,finge ser você e pede que você transfira o serviço para um novo cartão SIM, que está à mercê do invasor”, escreveu Arvind Narayanan, professor assistente da Universidade de Princeton e um dos autores do estudo, “A ameaça é bastante sério, mas ao mesmo tempo centenas de sites e serviços usam notificações por SMS como autenticação de dois fatores, o que coloca suas contas em risco.

O estudo testou o protocoloautenticação das cinco maiores operadoras móveis dos EUA - AT&T, T-Mobile, Tracfone, US Mobile e Verizon. Depois de tentar realizar um ataque de troca de SIM em 10 contas diferentes de cada operadora, os autores do estudo conseguiram descobrir que todas as 5 usam métodos de autenticação inseguros.

“No geral, essas descobertas ajudam a explicar a proliferação da ameaça de um ataque de troca SIM”, concluiu Narayanan.

Ainda mais preocupado com esse problemaprovocado pelo fato de que durante o experimento foi possível substituir o cartão SIM até do próprio Narayan. Quando ligou para o serviço de atendimento da operadora móvel e denunciou a fraude, a operadora nem conseguiu confirmar sua identidade, pois o invasor já havia se apoderado do número do telefone. No final das contas, Narayan conseguiu recuperar o controle de seu cartão SIM, mas teve que usar suas próprias pesquisas e aproveitar a vulnerabilidade do protocolo da operadora móvel.

Foi uma sorte que o pesquisador conseguiu rapidamenteretorne o número. Depois que o hacker assume o controle do cartão SIM da vítima, suas mãos ficam literalmente livres. Conforme afirmado no estudo, isso se deve em grande parte ao fato de os usuários usarem métodos de autenticação inseguros para acessar suas economias online. Pode ser uma notificação por SMS e/ou autenticação de dois fatores com um código ou por meio de uma chamada automática(obviamente, esses métodos são absolutamente inseguros, uma vez que o invasor já obteve acesso ao seu número de telefone)... Além disso, se a maioria das pessoas usa a segurança com perguntas secretas, as respostas a essas perguntas costumam ser bem simples de descobrir. Como no caso do nome de solteira da mãe.

Além disso, o estudo também identificou 17 sites onde as contas dos usuários poderiam ser comprometidas pelo menos pela troca do SIM.(Este método é baseado no conjunto de dados de twofactorauth.org)... A propósito, logo após a publicação do estudo, a T-Mobile contatou os autores e disse que não confirma mais os proprietários de cartões SIM listando as últimas ligações recebidas.

Golpistas visam Bitcoin

A troca de SIM já existe há vários anos.No entanto, a maioria dos ataques tem como alvo vítimas de apenas algumas categorias: celebridades com contas de redes sociais bem promovidas, como o CEO do TwitterJack Dorsey, - ou aqueles que possuem uma quantidade significativa de criptomoedas. No decorrer da meteórica tendência de alta do Bitcoin no ano passado, vários proprietários de criptografia foram vítimas de ataques de troca de SIM.

Por exemplo, em dezembro de 2019, jornalista criptográfico e apresentador de podcastLaura Sheencontou sua própria história sobre como ela«sorte» tornar-se vítima de golpistas telefônicos. No final das contas, eles não conseguiram roubá-la, mas, como ela mesma observou, a situação é bastante irônica, porque ela mesma abordou cuidadosamente esse assunto em 2016 e estava aparentemente pronta para qualquer ataque. Na verdade, todas as suas precauções revelaram-se vulneráveis.

De acordo com algumas suposições, os proprietários de Bitcointornaram-se um petisco saboroso para golpistas de troca de SIM, uma vez que as transações de criptomoeda são registradas para sempre no blockchain e são tecnicamente impossíveis de cancelar. Do ponto de vista da investigação e busca de criminosos, é muito mais fácil para as autoridades lidar com usuários comuns de telefones celulares do que tentar devolver criptomoedas roubadas(mesmo que a movimentação de fundos possa ser facilmente rastreada no blockchain).

Ao mesmo tempo, ao contrário da maioria das contas bancárias online, apenas algumas trocas de criptografia –incluindo Coinbase, Gemini, ItBit e Binance US,– protegido pelo seguro FDIC, que assegurao participante deposita até $ 250.000. Isto faz algum sentido quando se considera o valor do Bitcoin como um ativo descentralizado e imutável. Mas isso também significa que você nunca deve considerar a segurança relativa das criptomoedas como garantida.

«Mó da Justiça»

Empreendedor, investidor e fundador do primeiro fundo anjo para entusiastas do Bitcoin, Bitangels,Michael Turpin, entende muito bem o que está em jogo.

Como ele afirmou em uma entrevista ao recurso de informações criptográficas Bitcoin Magazine:“As pedras de moinho da justiça moem lentamente”.

</p>

A questão toda é que Turpin esperou muito tempojustiça no caso do roubo de US$ 224 milhões. Ele entrou com uma ação judicial contra a operadora móvel AT&T depois que o departamento de atendimento ao cliente permitiu que um grupo de hackers assumisse os números de telefone de Turpin das operadoras AT&T e T-Mobile, para quais os serviços estavam vinculados para obter acesso à criptomoeda.

Segundo ele, pela primeira vez um grupo de agressores«funcionários enganados de pontos de vendas de duas operadoras móveis em Boston».

“Menos de uma hora se passou entre esses incidentes e eles simplesmente transferiram meus dados de ambos os números para eles”.

Por meio desses ataques, eles roubaram mais da metade dos bitcoins da conta de câmbio de criptomoeda de Turpin. A propósito, Turpin iniciou essas contas mesmo quando o preço do Bitcoin era de $ 100.

Após este incidente, Turpin perguntou a ambosoperadores para melhorar a segurança dos seus sistemas. Acontece que tanto a AT&T quanto a T-Mobile têm serviços adicionais na forma de proteção aprimorada. No entanto, todas estas medidas revelaram-se inúteis. Por exemplo, um funcionário de 19 anos de uma loja de varejo da AT&T em Nova Jersey, em janeiro de 2018, simplesmente divulgou as informações da conta de Turpin por um suborno de US$ 100. Assim, um grupo de criminosos roubou US$ 24 milhões em altcoins de um empresário.

Isso mesmo, naquele dia eles só conseguiam "shitcoins", mas naquela época valiam um bom dinheiro.

E, ao contrário do Bitcoin, as criptomoedas alternativas TRIG, SKY e STEEM roubadas de Turpin simplesmente não tinham a opção de restaurar a carteira na presença de uma chave privada.

Mesmo que Turpin tenha sobrevivido à troca de SIMhá mais de dois anos, ele afirma que todas as semanas é contactado por outra vítima de uma fraude de troca de SIM e pede ajuda para o reembolso.

Quem tem maior probabilidade de se tornar um SIM swap?

Turpin estava envolvido em um processo contra um homem de 21 anos de Nova YorkNicholas Truly, que na época foi acusado de roubar US$ 24 milhões usando troca de SIM. Inicialmente, ele foi julgado no caso de roubar US$ 1 milhão em criptomoedas deRoss White- Diretor Executivo do StopSIMCrime.org do Vale do Silício.

Turpin, aparentemente, percebeu a tempopara este caso, e no final foi Trulya quem compensou Turpin $ 75 milhões. Como se descobriu durante a investigação, no dia do ataque aos números de telefone de Turpin, Trulya enviou mensagens a toda a sua família e amigos que ele tinha conseguido para roubar $ 20 milhões em criptomoedas, e que agora sua vida mudará para sempre. Turpin está confiante de que Trulya não agiu sozinho, mas provavelmente faz parte de um grupo organizado de 26 trocas de SIM.

Jornalista investigativoBrian Krebsreuniu o caso de Truglia e várias outras prisões na tentativa de formular um perfil do trocador médio de SIM. Segundo Krebs, trata-se de homens com menos de 25 anos.

Escolha difícil entre segurança e conveniência

Analista de segurança na WebrootTyler Moffitt, elimina a vulnerabilidade dos proprietários de bitcoins devido a medidas de segurança insuficientes das operadoras de telefonia móvel à legislação em constante atraso.

«Quando surgem novas tecnologias, as leissempre desacelere. Penso que não veremos os actos jurídicos necessários que protegeriam essas vítimas durante mais cinco anos. E durante esse período, os trocadores de SIM roubarão muitas criptomoedas.

Moffitt é apenas um dos muitos que acreditam queNo dilema da segurança e conveniência, a maioria das pessoas tenderá para a conveniência. Ele tem certeza de que a maioria das empresas e da sociedade como um todo são organizadas de acordo com esse princípio.

Mas como o governo vê isso? Em 9 de janeiro de 2020, foi enviada uma carta assinada por seis legisladores dos EUAAjit Pai, Presidente da Comissão Federal emcomunicações (FCC). Anteriormente, ele atuou como Conselheiro Geral da Verizon, a maior operadora de celular dos Estados Unidos. Junto com um apelo para maior proteção contra fraudes envolvendo a substituição de cartões SIM para assinantes móveis, a carta contém uma declaração de investigadores da Força-Tarefa REACT sobre os danos totais que apenas este tipo de ataque trouxe:

São conhecidas mais de 3.000 vítimas de troca de SIM, das quais foram roubados US $ 70 milhões, o que prejudica todo o país.

Além disso, a carta levanta a questão de queo hacking está se tornando mais sofisticado. Agora, os cibercriminosos aprenderam como penetrar nas redes de computadores de operadoras móveis, enganando ou coagindo funcionários a executar programas maliciosos em computadores de trabalho, para não mencionar o suborno total.

Em última análise, os legisladores e autores desteAs cartas reconhecem que a troca de SIM está a começar a representar uma ameaça real à segurança nacional. Até porque muitos funcionários do governo usam várias formas de autenticação de dois fatores. De acordo com esta suposição, um grupo organizado de hackers ou atores mal-intencionados poderia obter acesso ao e-mail de funcionários do governo e depois usá-lo para seus próprios interesses – raramente benevolentes.Por exemplo, você pode, sem razão ou malícia, acionar alertas de emergência em todo o país em nome da Federal Emergency Management Agency.

Turpin enviou uma carta semelhante à FCC no outono de 2019 com um pedido mais específico.

Recomendo que a FCC force todas as operadoras de telefonia móvel dos EUA a criptografar as senhas.

Este é o ponto-chave careca no sistema de segurança.operadoras móveis. Ao contrário de bancos, companhias aéreas ou hotéis, onde o acesso é permitido ou negado dependendo se um determinado cliente possui a senha ou chave exigida, as senhas de todos os usuários das operadoras de celular estão à disposição dos funcionários da empresa. Em particular, é organizado desta forma, novamente por uma questão de conveniência. Afinal, tal estrutura permite restaurar rapidamente o número do telefone do cliente em caso de perda ou dano ao cartão SIM e ao telefone. No entanto, isso também expõe um problema de segurança muito sério. Principalmente considerando que todos os pontos de venda de algumas operadoras são franquias, o que significa que o acesso se estende a terceiros.

Ele falou sobre esse assuntoGuido Appenzeller, diretor de produtos da Yubico, uma empresa de segurança de hardware mais conhecida por inventar o YubiKey.

“Não se trata apenas de funcionáriosempresa de telecomunicações. Cada funcionário de um ponto de venda varejista - e estes são terceiros - pode acessar esses bancos de dados. E se somarmos a isso o fato de que o funcionário médio de um ponto de venda de uma operadora móvel ganha cerca de US$ 10 por hora, fica óbvio por que eles são tão fáceis de subornar.

Ao possuir bitcoins, você precisa saber como se manter seguro

Há uma nuance importante incorporada na cultura convencional e, tecnicamente falando, no código Bitcoin desde o início.A verdadeira liberdade financeira também implica um novo nível de responsabilidade pessoal, financeira e tecnológica.O mesmo vale para privacidade e segurança.operações, mas muitas vezes são sacrificados. Não tanto por uma questão de conveniência, mas por uma questão de lucro adicional devido ao aumento dos indicadores comerciais e de empréstimos. Em geral, nada motiva tanto quanto tudo...sobreA maior quantidade de bitcoins que podem ser facilmente perdidos. Mas você também não deve subestimar suas economias - afinal, perder é sempre desagradável.

A maioria das pessoas não será vítima de troca de SIM. Mas, como sugere Appenzeller, carteiras de criptomoedas com valores tão altos quanto, digamos, US $ 10.000 sempre atrairão hackers.

Ao mesmo tempo, é preciso lembrar que também existem outros mais simples,mas maneiras inteligentes de roubar criptomoedas. Considere, por exemplo, malware que pode ignorar a autenticação de dois fatores sem ter que substituir ou roubar o cartão SIM da vítima. Isso inclui sites de phishing, como o usado no recente hack da troca de criptografia Binance, quando os hackers conseguiram roubar US $ 41 milhões.

A boa notícia é que já existetecnologias que ajudarão você a se proteger contra ataques de troca de SIM, bem como ataques de phishing mais sofisticados. O método 2FA mais forte disponível para as massas é chamado U2F – autenticação USB de dois fatores. Appenzeller afirma que o uso de U2F elimina o risco de troca de SIM, bem como«phishing e outros ataques, como ataques man-in-the-middle ou download de malware».

Sua empresa Yubico criou U2F em colaboraçãocom o Google e, desde então, aplicou a tecnologia a seu principal produto, YubiKey. Assim, o YubiKey pode ser considerado o equivalente a 2FA na forma de uma carteira de hardware. E no momento em que este artigo foi escrito, nenhum usuário YubiKey foi vítima de troca de SIM.

Como evitar um ataque de troca SIM

Com base nas informações acima, você podefaça uma lista de ações que o ajudarão a evitar se tornar mais uma vítima de troca de SIM. Também trazemos para você as opiniões de vários especialistas em segurança e membros da comunidade Bitcoin sobre este assunto.

Para usuários iniciantes e intermediários de Bitcoin

Armazene seus bitcoins em carteiras de hardware e pare de usar 2FA em seu smartphone. Conselho deJameson Lopp, um engenheiro de software da equipe Bitcoin Core:

«Armazene suas chaves privadas em hardwaredispositivos, de preferência com suporte para múltiplas assinaturas. Não use carteiras da web, pois elas apresentam muitas vulnerabilidades para invasores. Use autenticação de dois fatores de hardware em todos os aplicativos da web que a suportam. É aconselhável não utilizar 2FA via SMS, bem como a possibilidade de redefinir/recuperar senha de qualquer aplicativo via telefone.

Se você não movimenta bitcoins com frequência, então nãoarmazene-os em exchanges. Para ser mais convincente, você pode vasculhar a Internet em busca de hacks e esquemas de saída de trocas de criptografia apenas nos últimos dois anos. Se possível, discuta com sua operadora móvel como você pode melhorar a segurança do seu cartão SIM. E é melhor usar 2FA na forma de um aplicativo para o qual você define sua própria senha de login. Isto também é confirmado pelo conselho de Tyler Moffitt:

“Você pode pedir à operadora para melhorar a segurança do seu número de telefone. E não use autenticação SMS. Use aplicativos como o Google Authenticator ou Authy para isso. "

Para quem usa cartões SIM por ID (a maioria de nós)

Mais uma vez, releia a política de segurança da sua operadora de celular e outros serviços que você utiliza na Internet. Você pode até tentar hackear suas contas sozinho.

“Acho que a questão precisa ser mais aprofundada:por que continuamos usando números de telefone? Apenas tente fazer login em todos os seus serviços usando seu número de telefone. Se você for bem-sucedido, será uma vítima potencial de uma troca de SIM. ”- Matt Odell, empresário de Bitcoin e cofundador da CoinPrices.io. Ele também está interessado no tópico de segurança cibernética.

Para aqueles que pensam que bitcoins podem ser salvos com apenas uma carteira de hardware

É sempre aconselhável usar gerenciadores de senha com carteiras Bitcoin. Verifique regularmente se você pode fazer login em suas carteiras sem atrair fundos adicionais.

“Eu uso um gerenciador de senhas, o que é uma ótima prática. Todos com quem trabalho usam um gerenciador de senhas. ”- Guido Appenzeller

 

“Com relação à senha e gerenciamento de chaves, euEu uso um gerenciador de senhas confiável com vários backups USB criptografados. Pelo menos uma cópia está em casa, a outra está fora. Sempre levo uma cópia comigo quando viajo e a verifico periodicamente. A maior parte do meu estoque está armazenado em carteiras de hardware e um pouco mais na carteira Bitcoin Core, da qual carrego o Casa, aplicativos móveis, uso a rede Lightning, etc. "- Guy Swan, apresentador do podcast Cryptoconomy

Melhor nível de proteção, mantendo a usabilidade relativa

Compre pelo menos um YubiKey, eles não são tão caros.

“Compre algumas YubiKeys (apenas no caso) euse-os para 2FA sempre que possível. Muitos gerenciadores de senha suportam YubiKey 2FA, e muitos aplicativos da web agora suportam U2F 2FA. Esses dois dispositivos podem se tornar amigos. Se o aplicativo da web suportar apenas códigos TOTP, você ainda pode proteger esses dados no YubiKey usando o aplicativo Yubico para autenticação. ”- Jameson Lopp

Refletindo ataques mais complexos

Marque páginas importantes com dados confidenciais e use-as.

“O hack da Binance é um ótimo exemplo de como podeprejudicar 2FA. Especificamente nessa situação, as pessoas simplesmente digitavam Binance na barra de pesquisa de seus navegadores todas as vezes e clicavam nos primeiros links, que se revelaram anúncios de sites de phishing de invasores. Portanto, para evitar cair nessas falsificações, salve links para páginas», — Tyler Moffitt

Além disso, não se esqueça de recolher constantemente novosSaiba mais sobre fraude de troca de SIM. Isso o ajudará a estar ciente do surgimento dos próximos invasores e não entrar em suas redes. Além disso, não será supérfluo analisar periodicamente as inovações nas leis de seu país, pois punições e formas de solucionar seu problema já estão previstas, e mesmo com o pior desfecho, você pode obter pelo menos alguma indenização.