原文作者:Andrew Adams,Coindesk
原文編譯:吳說區塊鏈
本文介紹了美國司法部近期公佈的一起關於SIM 卡劫持案件的起訴書,並認為案件被告Powell 等人不是FTX 黑客事件的攻擊者。同時文章也介紹了有關SIM 卡劫持的商業風險和對加密產業可能帶來的監管壓力。此前吳說曾發布有關SIM 卡劫持的相關文章《防不勝防: 為什麼大量加密推特賬號被盜發布釣魚鏈接?應如何防範》介紹了其攻擊原理和防範措施。
近日美國司法部悄悄解封了一份起訴書,一些主流及加密媒體迅速報道此事,稱其為“解開”了一宗價值4 億美元的加密貨幣盜竊之謎,這些加密貨幣此前由已倒閉的加密貨幣交易所FTX 持有。
然而,這份起訴書並不是結束謎團的關鍵。它顯露一個事實是:無論是在岸還是離岸的加密貨幣公司都面臨著越來越多的監管和經濟方面的擔憂。特別是, 2022 年11 月發生的針對FTX 的「SIM 卡劫持」詐騙事件,幾乎可以看作是最基本的「駭客」手段——這種手段依賴於盜用身份和冒充金融賬戶持有人,主要攻擊那些為客戶和帳戶持有人提供逐漸顯得陳舊的雙重或多重認證(即“2FA”和“MFA”)隱私保護的公司。
美國的聯邦監管者正日益重視依賴易受SIM 卡劫持攻擊的隱私權保護程序系統的潛在危害。聯邦通訊委員會正在製定新規則,同時,美國證券交易委員會(SEC)近期推出的網路安全規定很可能迫使企業提升對抗此特定威脅的隱私防護措施。尤其在SEC 自己不久前經歷了SIM 卡劫持事件後,它或許更加堅定了加強這方面規制的決心。
新指控和FTX 駭客
2024 年1 月24 日,哥倫比亞特區的美國檢察官辦公室公開了一份起訴書,標題為美國訴Powell 等人。據稱,Robert Powell、Carter Rohn 和Emily Hernandez 合作盜取了50 多名受害者的個人識別資訊(PII)。
這三人隨後使用這些被盜資訊創建假身份證件,目的是欺騙電信提供商,將身份盜竊受害者的手機帳號轉移到被告或未命名的「共謀者」持有的新設備上。這三名被告向其售出了被盜的PII。
該計劃依賴於將受害者的電話號碼重新分配到犯罪分子控制的實體電話上,這需要將受害者的號碼(本質上是身份)轉移或移植到用戶身份模塊(或“SIM”) ,”卡片實際保存在犯罪分子的新設備中。這被稱為「SIM 卡劫持」計畫。
通過在美國訴Powell 案中所述的SIM 卡劫持計劃,被告和未命名的共謀者欺騙無線電信提供商,將手機號碼從合法用戶的SIM 卡重新分配給被告或那些未命名共謀者控制的SIM卡。 SIM 卡劫持隨後允許Powell 三人及其他人存取受害者在各種金融機構的電子帳戶,從這些帳戶中盜取資金。
SIM 卡劫持對被告的主要好處是能夠在新的、欺詐性的設備上攔截來自那些金融賬戶的消息,這些消息旨在驗證訪問賬戶的人是否為合法賬戶持有人。通常,如果沒有涉及欺詐,這種認證將導致發送SMS 短信或其他消息給合法用戶,然後用戶通過提供短信或消息中包含的代碼來驗證對帳戶的嘗試訪問。然而,在這種情況下,秘密代碼直接發送給了詐騙者,他們使用該代碼冒充帳戶持有人並提取資金。
儘管Powell 的起訴書沒有將FTX 命名為受害者,但起訴書中描述的最大一起SIM 卡劫持欺詐事件的指控顯然指的是FTX 在該公司公開宣布破產時發生的“黑客”事件——日期、時間和金額與公開報導的那次黑客攻擊相吻合,媒體報道已包括調查內部人士提供的確認,即FTX 是Powell 中所述的“受害公司-1 ”。 FTX 黑客事件發生時,人們對加害者有很多猜測:內部人士犯案、政府監管機構暗中操作?
許多報導Powell 起訴書的文章標題都宣稱謎團已經解開:三名被告實施了FTX 駭客攻擊。但實際上,起訴書的內容卻暗示了相反的情況。雖然起訴書確切地列出了三名被告的姓名,並詳細描述了他們涉嫌盜竊個人識別信息(PII)、將電話號碼轉移到通過欺詐手段獲得的SIM 卡,以及銷售竊取的FTX 訪問碼的行為,但在描述實際盜取FTX 資金的過程時,起訴書顯著地沒有提及這三名被告。
相反,它提到「共謀者未經授權訪問了FTX 帳戶」和「共謀者將超過4 億美元的虛擬貨幣從FTX 的虛擬貨幣錢包轉移到由共謀者控制的虛擬貨幣錢包。」起訴書中起草的慣例是在被告實施的行為中提及被告的名字。在這裡,是未命名的「共謀者」採取了最終也是最重要的步驟。這些「共謀者」可能是誰的謎團仍然存在,並且可能會持續下去,直到新的指控出現或審判揭示更多事實。
監管機構和商業風險
FTX 案件凸顯了檢察官和監管機構對SIM 卡劫持計畫的簡單性和普遍性日益增長的認識。閱讀Powell 起訴書,與閱讀聯邦和閱讀聯邦和州檢察官每年追查的數百份信用卡盜竊指控中的一份沒有什麼不同。就詐騙行為而言,SIM 卡劫持成本低、技術含量不高且形式化。但是,如果你是犯罪分子,這種方法有效。
SIM 卡劫持的有效性在很大程度上是電信反詐騙和身分驗證協議的漏洞以及許多線上服務提供者(包括金融服務公司)預設使用的相對薄弱的反詐騙和身分驗證程序的結果。最近,在2023 年12 月,聯邦通訊委員會發布了一份報告和命令,採取措施旨在解決無線服務供應商的SIM 卡劫持漏洞。報告和命令包括要求無線提供者在執行Powell 起訴書中描述的SIM 更換之前,使用安全的客戶認證方法,同時試圖保持客戶在合法更換設備的電話號碼時享受的相對便利。面對SIM 卡劫持行為者利用基本的多重因素認證(MFA)和較不安全的兩因素認證(2FA),特別是透過不安全的SMS 訊息通道的便利性日益增長的認識,這種平衡行為將繼續給電信公司和依賴它們的服務提供者(包括加密公司)帶來挑戰。
加密安全
無線服務提供者並不是唯一面臨與Powell 起訴書指控相關的日益增長審查的團體。這個案例對加密產業也有教訓和警告。
即使Powell 案的被告不是實際訪問和耗盡FTX 錢包的人,他們據稱提供了這樣做的認證碼,這些認證碼是通過一個相對基本的SIM 卡劫持計劃獲得的。在SEC 新興的網路安全制度的背景下,該案例突顯了在美國運營的交易所需要開發評估和管理網路安全風險的流程的需求,包括在FTX 案例中所實施的「駭客」行為。鑑於SEC 本身最近成為SIM 卡劫持攻擊的受害者,我們可以預期其執法部門將更加關注針對交易所的SIM 卡劫持攻擊。
這可能會讓那些避免SEC 或其他監管機構監督的離岸交易所處於不利地位。 SEC 關於定期公開揭露網路安全風險管理、策略和治理資訊的要求,加上外部審計,確保了客戶和交易對手能夠理解這些公司採取的措施來減輕類似FTX 事件的風險。離岸公司可能會採取類似透明的網路安全揭露方法,但這需要這些公司願意透明,而這些公司可能對透明度的概念有些抵觸——正如FTX 所示。加密公司和專案可以預期會面臨來自監管機構和市場的更大壓力,要求它們採納、披露、展示和維護遠高於僅能阻止基礎欺詐者(如Powell 案中所描述的被告)攜帶數百萬美元逃走的網路安全實務水準。
