Hackare stal 100 miljoner dollar i kryptovaluta med SIM-kortspoofs
Om du har turen att vara känd, rik eller båda, kanske du vill vara mer bevakad om ditt digitala liv än den genomsnittliga personen. Det är lärdomen efter en serie arresteringar i Europa. Enligt myndigheterna bytte och/eller förfalskade ett gäng hackare telefonens SIM-kort från kändisar för att råna dem.
Det är en sund taktik: Eftersom tvåfaktorsautentisering och lösenordsåterställning så ofta är knutna till ett telefonnummer, om du får det där SIM-kortet, kan du effektivt ta över personens e-post, följt av sociala konton, bankkonton och backupdata. Det är en personlig, riktad variant av identitetsstöld. Enligt en kombinerad arbetsgrupp för United Kingdom National Crime Agency och Europol riktade hackarna i fråga sig mot kändisar och andra rika människor, med lukrativa resultat: Deras hacks resulterade i mer än 100 miljoner dollar i förluster enbart i överförd kryptovaluta. Mer konventionella banköverföringar och stulna personuppgifter hörde också till förlusterna.
Hackarna använde en kombination av tekniker, inklusive att ringa upp telefontjänstleverantörer som påstod sig vara de äkta användarna för att få sina telefonnummer kopplade till ett duplicerat SIM-kort. I vissa fall verkar hackare ha arbetat med en "insideman", en anställd på telefonbolaget som kan rikta in sig på specifika konton och få dem överförda eller duplicerade utan att varna de vanliga försvarsmekanismerna.
Myndigheterna grep åtta misstänkta i Storbritannien, plus ytterligare två i Malta respektive Belgien. Världsomspännande polisstyrkor i Storbritannien, Kanada, Belgien och Malta var inblandade, inklusive Secret Service, FBI, Homeland Security och en distriktsåklagare i Kalifornien i USA. Attackerna riktades mot de rika och berömda runt om i världen: skådespelare, musiker, sportstjärnor och påverkare på sociala medier.
Men även de av oss som sannolikt inte någonsin kommer att skapa rubriker kan vara sårbara. Eftersom hackarna specifikt riktade in sig på kryptovaluta skulle det vara vettigt att råda alla som är aktiva i kryptohandel att vidta extra försiktighetsåtgärder. Var försiktig med att lägga ut personlig information som används för lösenordsverifiering online, och var medveten om försök till social ingenjörskonst eller "nätfiske"-attacker.
Källa: Ars Technica, Europol, National Crime Agency