Хакеры научились красть криптовалюту миллионами — по телефонному звонку
Перерегистрировав телефонный номер жертвы на свое устройство, хакеры получают доступ к ее криптовалютному кошельку, после чего могут вывести оттуда все средства. Мишенью чаще всего становятся криптовалютные инвесторы, которых преступники вычисляют в соцсетях.
«Угон» телефонных номеров
Хакеры крадут телефонные номера граждан, чтобы опустошить их криптовалютные счета, сообщает издание The New York Times. Украсть номер телефона в США несложно — для этого хакеру достаточно позвонить оператору сотовой связи вроде Verizon, T-Mobile U.S., Sprint или AT&T и попросить перерегистрировать определенный номер на другое устройство, принадлежащее уже самому преступнику.
После этого хакер может поменять пароли во всех аккаунтах, которые привязаны к этому номеру — например, в учетных записях Google, Twitter, Facebook и других. По данным New York Times «угон» телефонного номера — довольно распространенное явление. В январе 2013 г. было зарегистрировано 1038 таких инцидентов, а к январю 2016 г. это число увеличилось до 2658. Среди прочих свой телефонный номер потеряли такие публичные лица как главный технолог Федеральной торговой комиссии (FTC) и активист движения Black Lives Matter.
Кража криптовалюты
Точно так же, как в случае с соцсетями, хакер получает доступ и к криптовалютным кошелькам, привязанным к украденному номеру телефона, после чего может вывести из этих кошельков средства. New York Times отмечает, что владельцы виртуальных накоплений чаще других подвергаются «угону» телефонного номера. Хакеры вычисляют криптовалютных инвесторов через соцсети и начинают целенаправленно на них охотиться. Большинство жертв не объявляют о потере средств, поскольку этот факт может быть использован против них. Однако некоторые сообщили New York Times подробности произошедшего.
По словам криптовалютного инвестора Криса Берниске(Chris Burniske), его телефонный номер был украден в конце 2016 г. Он понял, что что-то идет не так, когда его iPad, телефон и компьютер перезагрузились. Через несколько минут после этого хакер сменил пароль на кошельке, привязанном к номеру телефона, и вывел оттуда все имевшиеся средства — около $150 тыс.
Биткоин-предприниматель Джоби Уикс(Joby Weeks) таким же образом и тоже в конце 2016 г. потерял более $1 млн в криптовалюте, несмотря на то, что просил сотового оператора обеспечить ему дополнительные меры безопасности. Эта просьба была вызвана тем, то у его жены и родителей также были «угнаны» телефонные номера. По словам Уика, все его знакомые, владеющие криптовалютами, тоже сталкивались с кражей номера.
В мае 2017 г. разработчик виртуальной реальности Коди Браун(Cody Brown) сообщил, что хакеры украли его номер телефона, а потом вывели $8 тыс. из криптовалютного кошелька, размещенного на ресурсе Coinbase. По словам Брауна, ни Coinbase, ни его сотовый оператор Verizon не отреагировали на обращения пострадавшего.
Меры безопасности
По словам Майкла Перклина(Michael Perklin), директора по кибербезопасности криптовалютной биржи ShapeShift, использование телефона в качестве средства удостоверения личности в различных учетных записях не является безопасным.
Тем не менее, этот способ широко распространен. Поэтому сотовые операторы пытаются принять меры против кражи номеров — например, вводят дополнительный четырехзначный пароль безопасности, без знания которого номер телефона невозможно перерегистрировать на другое устройство. Однако эта мера не всегда срабатывает.
Например, Адам Покорницки(Adam Pokornicky), управляющий партнер компании Cryptochain Capital, попросил оператора Verizon закрепить такой пароль за его номером — после того, как узнал, что неизвестные лица 13 раз звонили оператору, пытаясь перерегистрировать этот номер на посторонний телефон. День спустя хакеры позвонили в Verizon четырнадцатый раз. Им ответил другой сотрудник оператора — не тот, который устанавливал пароль. Злоумышленникам удалось уговорить этого сотрудника перерегистрировать номер телефона Покорницки на другое устройство, причем никакого пароля у них не спросили.
По словам Перклина, который до ShapeShift работал на канадского сотового оператора, мобильные операторы охотно вводят дополнительные меры безопасности по просьбе клиента. Эти меры прописываются в досье абонента. Проблема в том, что сотрудники в центрах обслуживания абонентов, которые отвечают на звонки, невнимательно читают досье, или просто действуют на свое усмотрение, что бы там ни было написано.
Проблема усугубляется тем, что криптовалютные операции являются необратимыми. Биржа не может отменить транзакцию в течение нескольких дней, если была доказана ее незаконность, как это может сделать, например, банк.