原文作者:Andrew Adams
原文来源:Coindesk
编译:吴说区块链
本文先容了美国法律部近期公布的一起关于 SIM 卡挟制案件的起诉书,并认为案件被告 Powell 等人不是 FTX 黑客事宜的攻击者。同时文章还先容了有关 SIM 卡挟制的商业风险和对加密行业可能带来的监管压力。此前吴说曾发布有关 SIM 卡挟制的干系文章《防不胜防: 为什么大量加密推特账号被盗发布钓鱼链接?应如何戒备》先容了其攻击事理和戒备方法。
阅读全文:
https://www.wu-talk.com/index.php?m=content&c=index&a=show&catid=46&id=17606
近日美国法律部悄然解封了一份起诉书,一些主流及加密媒体迅速宣布此事,称其为“解开”了一宗代价 4 亿美元的加密货币盗窃之谜,这些加密货币此前由已倒闭的加密货币交易所 FTX 持有。
然而,这份起诉书并非结束谜团的关键。它显露一个事实是:不论是在岸还是离岸的加密货币公司都面临着越来越多的监管和经济方面的担忧。特殊是,2022 年 11 月发生的针对 FTX 的“SIM 卡挟制”敲诈事宜,险些可以看作是最基本的“黑客”手段——这种手段依赖于盗用身份和伪装金融账户持有人,紧张攻击那些为客户和账户持有人供应逐渐显得迂腐的双重或多重认证(即“2FA”和“MFA”)隐私保护的公司。
美国的联邦监管者正日益重视依赖易受 SIM 卡挟制攻击的隐私保护程序系统的潜在危害。联邦通信委员会正在制订新规则,同时,美国证券交易委员会(SEC)近期推出的网络安全规定很可能迫使企业提升对抗这一特定威胁的隐私防护方法。尤其在 SEC 自己不久前经历了 SIM 卡挟制事宜后,它或许更加武断了加强这方面规制的决心。
新指控和 FTX 黑客
2024 年 1 月 24 日,哥伦比亚特区的美国审查官办公室公开了一份起诉书,标题为美国诉 Powell 等人。据称,Robert Powell、Carter Rohn 和 Emily Hernandez 互助盗取了 50 多名受害者的个人识别信息(PII)。
这三人随后利用这些被盗信息创建假身份证件,目的是欺骗电信供应商,将身份盗窃受害者的手机账号转移到被告或不决名的“共谋者”持有的新设备上。这三名被告向其售出了被盗的 PII。
该操持依赖于将受害者的电话号码重新分配到犯罪分子掌握的物理电话上,这须要将受害者的号码(实质上是身份)转移或移植到用户身份模块(或“SIM”) ,”卡片实际保存在犯罪分子的新设备中。这被称为“SIM 卡挟制”操持。
通过在美国诉 Powell 案中所述的 SIM 卡挟制操持,被告和不决名的共谋者欺骗无线电信供应商,将手机号码从合法用户的 SIM 卡重新分配给被告或那些不决名共谋者掌握的 SIM 卡。SIM 卡挟制随后许可 Powell 三人及其他人访问受害者在各种金融机构的电子账户,从这些账户中盗取资金。
SIM 卡挟制对被告的紧张好处是能够在新的、敲诈性的设备上拦截来自那些金融账户的,这些旨在验证访问账户的人是否为合法账户持有人。常日,如果没有涉及敲诈,这种认证将导致发送 SMS 短信或其他给合法用户,然后用户通过供应短信或中包含的代码来验证对账户的考试测验访问。然而,在这种情形下,秘密代码直接发送给了诱骗者,他们利用该代码伪装账户持有人并提取资金。
只管 Powell 的起诉书没有将 FTX 命名为受害者,但起诉书中描述的最大一起 SIM 卡挟制敲诈事宜的指控显然指的是 FTX 在该公司公开宣告破产时发生的“黑客”事宜——日期、韶光和金额与公开宣布的那次黑客攻击相吻合,媒体宣布已包括调查内部人士供应的确认,即 FTX 便是 Powell 中所述的“受害公司-1”。FTX 黑客事宜发生时,人们对闹事者有很多预测:内部人士作案、政府监管机构暗中操作?
很多宣布 Powell 起诉书的文章标题都流传宣传谜团已经解开:三名被告履行了 FTX 黑客攻击。但实际上,起诉书的内容却暗示了相反的情形。虽然起诉书确切地列出了三名被告的姓名,并详细描述了他们涉嫌盗窃个人识别信息(PII)、将电话号码转移到通过敲诈手段得到的 SIM 卡,以及发卖盗取的 FTX 访问码的行为,但在描述实际盗取 FTX 资金的过程时,起诉书显著地没有提及这三名被告。
相反,它提到“共谋者未经授权访问了 FTX 账户”和“共谋者将超过 4 亿美元的虚拟货币从 FTX 的虚拟货币钱包转移到由共谋者掌握的虚拟货币钱包。” 起诉书起草的老例是在被告履行的行为中提及被告的名字。在这里,是不决名的“共谋者”采纳了终极也是最主要的步骤。这些“共谋者”可能是谁的谜团仍旧存在,并且可能会持续下去,直到新的指控涌现或审判揭示更多事实。
监管机构和商业风险
FTX 案件凸显了审查官和监管机构对 SIM 卡挟制操持的大略性和普遍性日益增长的认识。阅读 Powell 起诉书,与阅读联邦和阅读联邦和州审查官每年追查的数百份信用卡盗窃指控中的一份没有什么不同。就敲诈行为而言,SIM 卡挟制本钱低、技能含量不高、且形式化。但是,如果你是犯罪分子,这种方法有效。
SIM卡挟制的有效性在很大程度上是电信反敲诈和身份验证协议的漏洞以及许多在线做事供应商(包括金融做事公司)默认利用的相对薄弱的反敲诈和身份验证程序的结果。最近,在 2023 年 12 月,联邦通信委员会发布了一份报告和命令,采纳方法旨在办理无线做事供应商的 SIM 卡挟制漏洞。报告和命令包括哀求无线供应商在实行 Powell 起诉书中描述的 SIM 改换之前,利用安全的客户认证方法,同时试图保持客户在合法改换设备的电话号码时享受的相对便利。面对着 SIM 卡挟制行为者利用基本的多成分认证(MFA)和较不屈安的两成分认证(2FA),特殊是通过不屈安的 SMS 通道的便利性日益增长的认识,这种平衡行为将连续给电信公司和依赖它们的做事供应商(包括加密公司)带来寻衅。
加密安全
无线做事供应商并不是唯一面临与 Powell 起诉书指控干系的日益增长审查的团体。这个案例对加密行业也有教训和警告。
纵然 Powell 案的被告不是实际访问和耗尽 FTX 钱包的人,他们据称供应了这样做的认证码,这些认证码是通过一个相对基本的 SIM 卡挟制操持得到的。在 SEC 新兴的网络安全制度的背景下,该案例突显了在美国运营的交易所须要开拓评估和管理网络安全风险的流程的需求,包括在 FTX 案例中所履行的“黑客”行为。鉴于 SEC 自身最近成为 SIM 卡挟制攻击的受害者,我们可以预期其司法部门将更加关注针对交易所的 SIM 卡挟制攻击。
这可能会让那些避免 SEC 或其他监管机构监督的离岸交易所处于不利地位。SEC 关于定期公开表露有关网络安全风险管理、策略和管理信息的哀求,加之外部审计,确保了客户和交易对手能够理解这些公司采纳的方法来减轻类似 FTX 事宜的风险。离岸公司可能会采纳类似透明的网络安全表露方法,但这须要这些公司乐意透明,而这些公司可能对透明度的观点有些抵触——正如 FTX 所示。加密公司和项目可以预期会面临来自监管机构和市场的更大压力,哀求它们采纳、表露、展示和掩护远高于仅能阻挡根本敲诈者(如 Powell 案中所描述的被告)携带数百万美元逃走的网络安全实践水平。
