Как инженер криптостартапа потерял $100 000 за 24 часа из-за кражи SIM-карты

Инженер из криптостартапа BitGo Шон Кунс из-за атаки мошенников лишился своих сбережений в эквиваленте $100 000 Мошенники обчистили его Coinbase-баланс, применив распространенную схему подмены SIM-карты. О своем опыте Шон написал детальную статью, чтобы предупредить других пользователей мобильной связи о таком риске. Эти события он называет «самым дорогим уроком в своей жизни». 

Шон указывает на то, что у большинства пользователей имеется основной email-аккаунт, который привязан ко множеству других сервисов. Также у большинства есть мобильное устройство, которое используется для восстановления доступа к email (к примеру, если пользователь забыл пароль). Для восстановления доступа к почте (к той же Gmail) используется двухфакторная авторизация (2FA). Выглядит это так: 

Чтобы добраться до денег Шона, мошенники использовали услугу американских мобильных операторов Authorized SIM Porting: возможность запросить у оператора перенос номера на другое устройство, к примеру, в случае, если он купил новый смартфон, поменял сеть и т.д. SIM-карта в таком случае привязывается к новому устройству. 

Однако в случае мошенничества злоумышленники запрашивают у оператора перепривязку SIM-карты к устройству под их контролем, притворяясь пользователем, используя информацию о нем, найденную в онлайне. Алгоритм такой:

• Мошенник собирает о пользователе личную информацию. 
• Затем использует эту информацию, чтобы обмануть оператора, представившись пользователем, и запросить Authorized SIM Porting. 
• Теперь SIM-карта «приписана» к устройству, которое контролирует мошенник. 
• Он инициирует восстановление пароля на вашей основной почте. 
• На его устройство приходит код для верификации − теперь он контролирует и номер, и основной почтовый аккаунт. 

Инженер даже создал таймлайн происходящего, с описанием самого события, своей реакции на него и той реакции, которая должна была бы у него возникнуть, учитывая уровень риска: 

• Вторник, 22:00. Мошенник перерегистрирует SIM-карту на устройство, которое контролирует. Шон в это время уже в постели, просматривает расписание в календаре на следующий день, и понимает, что у смартфона нет соединения с мобильной сетью. Раньше такого не случалось, однако он списывает это на глюк в работе сети. 
• Вторник, 22:05. Вскоре после потери связи на смартфон начинают поступать уведомления об авторизации в Google Account. Это кажется странным, но, подумав, он решает, что эти два события связаны. Он пытается ввести пароль к Google Account, и у него не получается, ведь мошенник уже сменил его. Уже поздно − и Шон решает разобраться с этим утром. Что нужно было сделать: невозможность залогиниться в аккаунт с известным паролем должна была сильно насторожить пользователя. 
• Вторник, 22:50. Мошенник инициирует процесс смены пароля на аккаунте Coinbase. Владелец в это время спит и не знает, что происходит. 
• Вторник, 22:51. Coinbase высылает на почту письмо о смене пароля. Они высылают линк на смену пароля, который станет действительным через 24 часа. Мошенник, имея доступ к почте и SIM-карте, сохраняет у себя линк на смену пароля, и удаляет cамо письмо. 
• Среда, 11:00. Мошенник удаляет все сообщения о смене пароля или о возможных проблемах с безопасностью, доступом к аккаунтам. Владелец тем временем идет в офис мобильного оператора разбираться, почему не работает сеть. Сотрудник не знает, что случилось с SIM-картой, и предлагает ему новую. Шона это слегка настораживает, но недавно он ронял и разбивал смартфон, он предполагает, что глюки в работе карты связаны именно с этим. Что нужно было сделать: провести более тщательную проверку в офисе оператора. 
• Среда, 11:10. SIM-карта снова привязана к смартфону Шона, он, используя двухфакторную авторизацию, восстанавливает пароль к основному почтовому аккаунту. Он доволен, что мобильная связь и почта снова доступны, впереди − насыщенный рабочий день. Что нужно было сделать: первым делом зайти в настройки аккаунта и посмотреть, проводилась ли какая-то подозрительная активность (в Gmail, например, можно посмотреть логи авторизации — ред.). 
• Среда, 22:00. Примерно в то же время, что и предыдущим вечером, мобильная сеть опять падает. Владелец думает, что получил неисправную «симку». Опять начинают сыпаться сообщения о том, что владелец вылогинился из своего почтового аккаунта. И опять владелец решает разобраться с этим на следующее утро. Что нужно было сделать: понять, что это не может быть совпадением, и срочно обратиться в поддержку мобильного оператора, в поддержку почты и в финансовые сервисы. 
• Среда, 22:01. Владелец смартфона глубоко спит. Мошенник тем временем опять меняет пароль к почте, и, пользуясь линком на смену пароля Coinbase, полученным ранее, меняет пароль и там.
• Среда, 22:10. Мошенник опустошает счета Coinbase, совершает покупки за деньги пострадавшего. Он тем временем сладко спит. 
• Четверг, 9:00. Шон опять идет в офис оператора. Там оказывается, что PIN к карте больше не работает. Затем оператр уточняет, был ли владелец устройства вчера в Неваде (нет, не был). Шон тем временем пытается зайти в аккаунт Coinbase, и у него не выходит. Он начинае подозревать, что его обокрали. 
• Четверг, 11:13. Поддержка Coinbase подтверждает сторонний доступ к аккаунту и то, что все деньги были выведены с него. 

«С того инцидента прошло четыре дня и я просто уничтожен. У меня нулевой аппетит, сон не приносит отдыха, меня захлестывает тревожность, сожаление и смятение. Это был самый дорогой урок в моей жизни и я хочу поделиться своим опытом и тем, чему я научился, с как можно большим числом людей. Моя цель − распространить знания о подобных атаках на как можно большее число людей», − пишет он. 

Напомним, ранее мы рассказывали о том, как мошенники украли у киевской IT-аналитика 285 000 грн с банковских счетов, используя подмену собственника SIM-карты.