Autoryzował transakcje kodami z SMS. Chiński inwestor przez SIM swap stracił równowartość niemal 200 milionów PLN!

Wg tych relacji – chiński inwestor stracił około 200 milionów PLN (w kryptowalutach BTC / BCH). Oryginalny wątek tutaj, kopia tutaj. Z kolei nieco więcej analizy można zobaczyć w tym wątku:

BREAKING

1M $BCH sim hack!! worth $30M from 1 single Chinese whale (he claimed lost $15M $BTC too) He's now asking for help from miners ..I'm talking with top BCH pool owners on this OMFG

😱😱😱

BCH address :qzumak2rvxksjgkjuxe2fe5jxatktlsnhy5sthr5p7

THIS IS REALLY BRUTAL pic.twitter.com/19XM3w5BL7

— Dovey 以德服人 Wan 🪐🦖 (@DoveyWan) February 22, 2020

Wg relacji hack został wykonany poprzez sklonowanie karty SIM ofiary (tzw. SIM swap). Scenariusze mogą być różne, ale jeśli np. ktoś potrzebuje mieć dostęp do konta ofiary oraz kodów potwierdzających transakcje, może wykonać takie operacje:

1. Sklonowanie karty SIM (przestępca dzwoni do operatora telco, podając się za ofiarę. „Ofiara” prosi o przeniesienie numeru na inną kartę SIM – przestępcy. Jeśli pracownik operatora telco zostanie skutecznie przekonany do wykonania takiej operacji, ofiara nagle traci sygnał w telefonie, a przestępca na możliwość odbierania SMS-ów przychodzących do ofiary).
2. Reset hasła na koncie mailowym ofiary:
   

   SIM Swap

3. Posiadając konto e-mailowe – reset hasła w atakowanym serwisie (ew. te dane przestępcy zdobywają również w inny sposób – np. malware na komputerze ofiary).
4. Podczas wykonania transakcji – podanie kodu 2FA z telefonu.
5. Game Over.

Co robić? Najlepiej nie polegać na SMSach jako elemencie, który zabezpiecza cały nasz majątek (w przypadku banków znacznie lepsza jest np. tzw. autoryzacja mobilna transakcji; generalnie warto rozważyć też klucze sprzętowe czy hybrydowe) – szczególnie że atak znany jest i w Polsce.

–ms