Europol: σύλληψη διεθνούς κυκλώματος που έκλεψε 100 εκατομμύρια δολάρια με Sim Swapping

[nnn]

Οι εγκληματίες έκλεψαν περισσότερα από 100 εκατομμύρια δολάρια σε κρυπτονομίσματα, υποκλέπτοντας αριθμούς τηλεφώνου

Συνολικά, 8 εγκληματίες συνελήφθησαν στις 9 Φεβρουαρίου ως αποτέλεσμα διεθνούς έρευνας για μια σειρά επιθέσεων ανταλλαγής sim (SIM Swap) με θύματα υψηλού προφίλ στις Ηνωμένες Πολιτείες. Αυτές οι συλλήψεις ακολουθούν παλαιότερες στη Μάλτα (1) και στο Βέλγιο (1) άλλων μελών που ανήκουν στο ίδιο εγκληματικό δίκτυο.

Οι επιθέσεις που ενορχήστρωσε αυτή η εγκληματική συμμορία στόχευσαν χιλιάδες θύματα καθ 'όλη τη διάρκεια του 2020, συμπεριλαμβανομένων influencers στο Διαδίκτυο, αθλητικών σταρ, μουσικών και των οικογενειών τους. Πιστεύεται ότι οι εγκληματίες έχουν κλέψει από αυτά πάνω από 100 εκατομμύρια δολάρια σε κρυπτονομίσματα μετά την παράνομη πρόσβαση στα τηλέφωνά τους.

Οι μαζικές συλλήψεις ακολουθούν μια έρευνα διάρκειας ενός έτους από κοινού από αρχές επιβολής του νόμου από το Ηνωμένο Βασίλειο, τις Ηνωμένες Πολιτείες, το Βέλγιο, τη Μάλτα και τον Καναδά, με διεθνή δραστηριότητα συντονισμένη από την Europol.

Ξεκινώντας την άνοιξη του 2020, η έρευνα αποκάλυψε πώς ένα δίκτυο αποτελούμενο από δώδεκα εγκληματίες συνεργάστηκε για να αποκτήσει πρόσβαση στους αριθμούς τηλεφώνου των θυμάτων και να πάρει τον έλεγχο των εφαρμογών ή των λογαριασμών του αλλάζοντας τους κωδικούς πρόσβασης.

Αυτό τους επέτρεψε να κλέψουν χρήματα, κρυπτονομίσματα και προσωπικά στοιχεία, συμπεριλαμβανομένων επαφών συγχρονισμένων με online λογαριασμούς. Παραβίασαν επίσης λογαριασμούς κοινωνικών μέσων για να δημοσιεύσουν περιεχόμενο και να στείλουν μηνύματα που μεταμφιέζονται ως θύματα.

Αυτός ο τύπος απάτης είναι γνωστός ως «sim swapping» και αναγνωρίστηκε ως βασική τάση για την αύξηση της τελευταίας αξιολόγησης απειλών για το οργανωμένο έγκλημα στο Διαδίκτυο της Europol. Περιλαμβάνει τους κυβερνοεγκληματίες να αναλαμβάνουν τη χρήση του αριθμού τηλεφώνου του θύματος απενεργοποιώντας ουσιαστικά την κάρτα SIM και μεταφέροντας τον εκχωρημένο αριθμό σε μια κάρτα SIM που ανήκει σε μέλος του εγκληματικού δικτύου.

Αυτό επιτυγχάνεται συνήθως από τους εγκληματίες που εκμεταλλεύονται τους παρόχους τηλεφωνικών υπηρεσιών για να κάνουν την ανταλλαγή για λογαριασμό τους, είτε μέσω εσωτερικού συνεργάτη είτε χρησιμοποιώντας τεχνικές κοινωνικής μηχανικής.

Πηγή : Europol

[Gentoo]

Μεγάλη μάστιγα το sim swapping. Να έχεις λάβει όλα τα precautions και να σου κάνει τη ζημιά ένας βαλτός υπάλληλος εντός της εταιρείας τηλεπικοινωνιών.

Ίσως θα έπρεπε να υπάρχει καλύτερος - διαβαθμισμένος - έλεγχος για την έγκριση τέτοιων ενεργειών.

[aiolos.01]

Δεν είναι πάντα διεφθαρμένος υπάλληλος. Στην Ελλάδα για παράδειγμα που οι ταυτότητες μας είναι κ***ρτα μπορεί οποιοσδήποτε έχει τα στοιχεία σου να τυπώσει μια στον εκτυπωτή του σπιτιού του και να πάει σε μαγαζί να κάνει τη δουλειά.

[dimyok]

Το "δωστε μου μια φωτοτυπια ταυτοτητας " ισχύει . Και παλι να στέλνουν ενεργοποιημένες sim μετα από όλα αυτά θέλουν κρέμασμα .....

[keysmith]

Στην αλλαγή Σιμ στην Ελλάδα εκτός από ταυτότητα καλούν πρώτα το συνδρομητή σε άλλο τηλέφωνο επικοινωνίας που πιθανόν διαθέτουν (πχ σταθερό ή άλλο κινητό) που τον ρωτάνε και επιπλέον στοιχεία εξακρίβωσης. Η αλλαγή δεν γίνεται άμεσα (θελει 1-2 μερες) με σκοπό να υπάρξει πρόβλημα στο θύμα καθώς αυτό θα μείνει χωρίς κινητό και ίσως το ίδιο επικοινωνήσει με την εταιρία.
Δεν είναι τόσο εύκολη υπόθεση το sim swap στην Ελλάδα και έχει συμβεί ελάχιστες φορές (μία είχε πάρει δημοσιότητα ίσως έγινε μερικές ακόμα φορές).
Οι "ψεύτικες" ταυτότητες (καθώς είναι εύκολο να πλαστογραφηθούν οι Ελληνικές) ειναι ενα θέμα αλλα ειδαμε και σε χώρες με καλύτερες ταυτότητες τι γίνεται (μαλλον εκεί δεν ζητάνε καν ταυτότητες)

[Saxtus]

Όποιες τράπεζες χρησιμοποιούν 2FA με SMS χρειάζεται να αλλάξουν τακτική.

[JpegXguy]

Αυτό θα λυνόταν με τη χρήση TOTP αντί για SMS αλλά οι τράπεζες επιμένουν σε SMS/Viber και βλακείες (που χρειαζονται και σήμα στο σπίτι ΚΑΙ στέλνουν δεδομένα στον αέρα). Υποθέτω το κάνουν ώστε να λειτουργεί και στο τηλέφωνο από το 1996. ας το έχουν ως κατώτερη επιλογή τότε.

[keysmith]

Αυτό θα λυνόταν με τη χρήση TOTP αντί για SMS αλλά οι τράπεζες επιμένουν σε SMS/Viber και βλακείες (που χρειαζονται και σήμα στο σπίτι ΚΑΙ στέλνουν δεδομένα στον αέρα). Υποθέτω το κάνουν ώστε να λειτουργεί και στο τηλέφωνο από το 1996. ας το έχουν ως κατώτερη επιλογή τότε.

έτσι ΗΤΑΝ πριν γίνουν SMS. Υπήρχαν Tokens OTP που με βάση το χρόνο έδιναν OTP. Παρα το προφανές ότι είναι ασφαλέστερα (εχουν ξεχωριστή συσκευή ΟΤΠ) έχουν παρα πολλά μειονεκτήματα και για την τράπεζα και για τον χρήστη/πελάτη. Διαχειριστικά και άρα λειτουργικά. Από που να το πιάσουμε; Από το ότι δεν το ειχες όλη την ώρα μαζί σου; Οτι αποσυγχρονίζονταν τα ρολόγια αν είχε καιρό να το λειτουργήσεις (γιατί στην συχνή χρήση υπάρχει συγχρονισμός) και έμπλεκες με άλλες διαδικασίες ξεκλειδώματος και επανα-συγχρονισμού; Από το ότι το "έχανες" και είχε κόστος (εκτός της αρχικής αγοράς) αντικατάστασης αλλά και επανέκδοσης (συνήθως είχαν ζωή κάποια χρόνια καθώς μπαταρία δεν αλλάζει σε αυτά). Πάρα πολλά προβλήματα που δεν αξίζουν για την έξτρα λιγο ασφάλεια που έχουν. Συνυπήρξαν και συνυπάρχουν ακόμα σε κάποιες τράπεζες μαζί με το SMS. Οποιος θέλει το επιλέγει.
Για software based OTP δεν υπάρχει εμπιστοσύνη και έχουν δημιουργηθεί θέματα κατά το παρελθόν.

[andreasp]

Η λυση ειναι να αναλαβουν το ρισκο οι τραπεζες. Το ρισκο της ληστειας σε καταστημα τραπέζης, μηδενίστηκε. Τωρα υπαρχει αλλο ρισκο. Αλλιως βλεπω συντομα να ξαναγυρναει η αγορα στο μετρητο. Ηδη το βλεπω να ερχεται... ειναι τοσο δυσκολες οι τραπεζικες συναλλαγες που αυτη η γενιά τουλάχιστον δεν μπορεί να το διαχειριστεί.
Το phising και το sim swapping ειναι για πολυ εμπειρους. Οι 99,9% θα την πατήσουν.
Οταν μου ερχεται alert απο την εθνικη, απο το την ιδια υπηρεσια (φαινομενικα τουλαχιστον) που μου ερχονται και ολα τα sms της, και μου ζηταει να συνδεθω για να ξεκλειδωσω την καρτα μου, και μου ανοιγει ενα αριστο site που απλα δεν ειναι nbg αλλα ngb , χρειαζεται πολυ εμπειρο ματι για να το πιάσει.
Μεσαια στελεχη της Εθνικης, Alpha, Eurobank κ Πειραιως (σε ολους το εστειλα για τεστ) δεν πηραν χαμπάρι απολύτως τίποτα. Παρόλο που τους εφιστούσα την προσοχή οτι υπάρχει πρόβλημα και έπρεπε να βρούνε το πρόβλημα.
Δεν υπαρχει πιθανοτητα οποιοσδηποτε νορμαλ χρηστης ebanking να το πιάσει το μάτι του.

[dimyok]

το Λουκετακι κοιτας εχω πει στους μπαρμπ . Και πρεπει να δωσει στον απατεωνα και το κωδικο του 2FA για να μεταφερει λεφτα . Ελπιζω για την ωρα να φτανει .... Αλλα ναι σκ@τα χαμενοι άσχετοι με υφακι ειναι τα μισά στελεχοι τραπεζων αντι να βοηθήσουν λοιδορούν ....
Εθνικη στελνει sms η viber . Αλλα για viber θελει internet συνεχεια και δε το γουστάρουν κιόλας . ξεχωριστή συσκευή ΟΤΠ authenticator HELL NO ουτε στα γμοBlizzard παιχνίδια δε βόλευε

[aSMiLoN]

... Αλλα για viber θελει internet συνεχεια και δε το γουστάρουν κιόλας...

To ακουω συχνα ως αντεπιχείρημα αυτο, αλλα απο την στιγμη που κανεις web συναλλαγες, δε προϋποθέτει οτι εχεις προσβαση στο internet; Και τεχνικα θεωρω πολυ πιο δυσκολο καποιος να χακαρει την υποδομη του viber απο το να κανει υποκλοπη sms.

[keysmith]

To ακουω συχνα ως αντεπιχείρημα αυτο, αλλα απο την στιγμη που κανεις web συναλλαγες, δε προϋποθέτει οτι εχεις προσβαση στο internet; Και τεχνικα θεωρω πολυ πιο δυσκολο καποιος να χακαρει την υποδομη του viber απο το να κανει υποκλοπη sms.

όχι όχι δεν ειναι ετσι. Το viber το κλέβεις με κλοπή κωδικού, που έχεις κλέψει από το χρήστη με κάποιο τρόπο (phishing, keylogger κτλ). Είναι πιο "αδύναμο" από το να κλέψει sim ο "χακερ" το οποιο να κλέψει sim δεν είναι τόσο απλή διαδικασία (θελει ταυτότητες με ακριβή στοιχεία, αφμ, και άλλες πληροφορίες).
Βεβαια και σμσ κλέβονται αν το κινητό σου έχει malware που διαβάζουν τα sms (για αυτό προσέχουμε ΠΑΡΑ ΠΟΛΥ ποιες εφαρμογές έχουν πρόσβαση σε ΣΜΣ). Εγώ ποτέ δεν μπαίνω τράπεζες από το κινητό για αυτό το λόγο. Airgap! αλλού οι κωδικοί OTP αλλού η εφαρμογή πρόσβασης.
Τες πα.. Γενικά οι τράπεζες έχουν βελτιωθεί πολύ και στην ασφάλεια. Δεν θα γυρίσει κανένας στα μετρητά παρά ίσως για να είναι "μαύρα"..

[shadowman]

Η λύση είναι απλή αν έχεις πχ να διαφυλάξεις crypto νομίσματα σε exchange, αφαιρείς το τηλέφωνο ως τρόπο επαλήθευσης 2FA και στρέφεσαι σε λύσεις U2F και FIDO2 με hardware κλειδιά τύπου yubikey, Trezor hardware wallet. Σημαντικό είναι να μην αποκτήσουν πρόσβαση στo email, οι μεγάλοι providers (gmail,outlook) προσφέρουν προστασία με hardware keys (πρέπει να αφαιρέσεις όμως το τηλέφωνο ως μέσο επαλήθευσης, να μην υπάρχει ούτε για εναλλακτική λύση). Οι ελληνικές τράπεζες δεν προσφέρουν τέτοια δυνατότητα, αν σε ξαφρίσουν από εκεί πιστεύω να αναλαμβάνουν την ευθύνη να αντιστρέψουν τις συναλλαγές αν και δεν είμαι σίγουρος για αυτό.


https://wiki.trezor.io/U2F
https://www.yubico.com/