За 2017 и 2018 год криптоинвесторы потеряли миллионы долларов из-за мошенничества с подменой сим-карт (SIM swap). Кражу удаётся провернуть, когда жертва привязывает свои аккаунты с деньгами к своему номеру телефона. Все, что нужно сделать мошеннику - получить доступ к номеру телефона, и для этого есть два способа.
1. Социальная инженерия. Многие сотовые операторы позволяют сменить привязку номера к сим-карте дистанционно. Для этого мошеннику нужно убедить сотрудника колл-центра, что он и есть владелец номера. В каких-то случаях это удаётся сделать без какой-либо подготовки. В каких-то случаях сотрудники поддержки спрашивают контрольные вопросы для подтверждения личности, и для ответа на них нужна дополнительная подготовка. К примеру, можно взломать почту жертвы и узнать более личную информацию для ответов.
2. Подкупить сотрудника сотового оператора за хорошие деньги, и красть номера без каких-либо ненужных затруднений. Согласно расследованиям, сотрудникам операторов все время предлагают участие в таких махинациях, и кто-то обязательно соглашается.
При любом раскладе, номер оказывается у мошенников, а дальше уже дело нехитрое - зайти на аккаунт и выгрести все, что там хранится. После этого уже ничего не сделать - если на аккаунте хранилась криптовалюта, ее не вернуть. Поэтому очень важно надеяться не только на номер телефона, но ещё и на двухфакторную аутентификацию от, к примеру, Google, или ещё какие-то не связанные между собой средства.
В США полиция активно борется с этим явлением, в этом году было арестовано несколько групп, занимающимися подменой сим-карт. Было установлено, что одна из таких групп незадолго до этого украла 57 Биткойнов (почти полмиллиона долларов) у одной из жертв. Но, к сожалению, усилия полиции не решают проблему, так как бороться с этим нужно на уровне сотовых операторов, которые имеют такие дыры в безопасности, и не закрывают их.
15 августа 2018 года инвестор и предприниматель Майкл Терпин подал в суд на сотового оператора AT&T на сумму 224 миллиона долларов. Он утверждает, что за полгода эта компания дважды отдавала злоумышленникам его номер телефона, что позволило им украсть криптовалюту с его счётов на 24 миллиона долларов. Первый раз преступники заполучили его номер с 12 попытки, о чем Терпина никто не уведомил. После этого компания пообещала, что его номер получит повышенный уровень безопасности. Но уже через полгода его телефон снова оказался оффлайн - уже благодаря какому-то инсайдеру из AT&T, который отдал его номер. Теперь Майкл требует вернуть потерянную сумму и моральный ущерб. Возможно, если суд удовлетворит его иск, это будет уроком для всех операторов - ведь это не единственная жертва их бездействия.
Нужно заметить, что в России с этим попроще - ни один из основных операторов не будет менять привязку телефона дистанционно, только в салоне и только по паспорту, так что мы защищены получше, чем криптоинвесторы за океаном, и это очень хорошо.
