SIM-Swap η επίθεση στον Vitalik Buterin

12 Σεπτεμβρίου, 2023

Την Κυριακή ο λογαριασμός του συνιδρυτή του Ethereum, Vitalik Buterin, στο X (Twitter) παραβιάστηκε. Οι απατεώνες δημοσίευσαν ένα κακόβουλο link και καλούσαν τους χρήστες να το χρησιμοποιήσουν για να πάρουν δώρο ένα σπάνιο NFT. Με τη σύνδεση του πορτοφολιού τους οι χρήστες χάνανε τα tokens τους. Συλλογικά οι επιτήδειοι κατόρθωσαν να κλέψουν πάνω από $691,000 από τα θύματά τους.

Ο Vitalik Buterin αποκάλυψε ότι η παραβίαση του λογαριασμού του προκλήθηκε με την μέθοδο «αλλαγής SIM». Μιλώντας χθες στο αποκεντρωμένο δίκτυο κοινωνικής δικτύωσης Farcaster, ο Vitalik είπε ότι επιτέλους ανέκτησε τον λογαριασμό του στην T-Mobile, επιβεβαιώνοντας ότι το πρόσφατο hack του λογαριασμού του ήταν αποτέλεσμα επίθεσης SIM-swap.

Ανέφερε χαρακτηριστικά «Τελικά πήρα πίσω τον λογαριασμό μου στη T-mobile (ναι, ήταν μια ανταλλαγή sim, που σημαίνει ότι κάποιος εξαπάτησε τη T-mobile ότι ήμουν εγώ για να αναλάβει τον αριθμό του τηλεφώνου μου)». Δηλαδή κάποιοι επιτήδειοι κατάφεραν να εκδώσουν νέα κάρτα SIM με τον αριθμό κινητού του Vitalik, κατόπιν προχώρησαν σε διαδικασία αλλαγής κωδικού του λογαριασμού του στο Twitter και η επιβεβαίωση έγινε μέσω SMS που λάβανε στη νέα SIM.

Ο συνιδρυτής του Ethereum πρόσθεσε και μερικά μαθήματα και διδάγματα από την εμπειρία του αυτή. «Ένας αριθμός τηλεφώνου είναι αρκετός για την επαναφορά του κωδικού πρόσβασης σε έναν λογαριασμό Twitter, ακόμη και αν δεν χρησιμοποιείται ως 2FA», προσθέτοντας ότι οι χρήστες καλό θα ήταν «να αφαιρέσουν εντελώς το τηλέφωνο τους από το Twitter».

Στις 10 Σεπτεμβρίου, ο προγραμματιστής του Ethereum, Tim Beiko, συνέστησε ανεπιφύλακτα την κατάργηση αριθμών τηλεφώνου από λογαριασμούς X και την ενεργοποίηση του 2FA. «Φαίνεται ότι δεν είναι παράλογο να έχουμε αυτήν την προεπιλογή ενεργοποιημένη ή να την ενεργοποιούμε από προεπιλογή όταν ένας λογαριασμός φτάνει, για παράδειγμα, περισσότερους από 10,000 ακόλουθους», είπε στον ιδιοκτήτη της πλατφόρμας Elon Musk.

Twitter opsec PSA:

If you have a phone number linked on your account, even with other 2FA, it can be used to reset your PW. Need to specifically disable it + remove phone #.

If your Twitter account pre-dates crypto, strongly recommend double-checking, and adding strong 2FA! pic.twitter.com/uXrvHYhQvJ

— timbeiko.eth ☀️ (@TimBeiko) September 9, 2023

Δεν είναι η πρώτη φορά που η T-Mobile εμπλέκεται σε αυτόν τον τύπο επίθεσης. Από το 2020, υπάρχουν απανωτές μηνύσεις από πελάτες που έχασαν μεγάλα ποσά από επίθεση SIM-swap και η εταιρεία είχε υποσχεθεί ότι θα βελτιώσει τις διαδικασίες ασφαλείας για την έκδοση νέων SIM.

Μια επίθεση SIM-swap ή SIM-jacking είναι μια τεχνική που χρησιμοποιείται από χάκερ για να αποκτήσουν τον έλεγχο του αριθμού κινητού τηλεφώνου του θύματος. Με τον έλεγχο του αριθμού, οι απατεώνες μπορούν να χρησιμοποιήσουν έλεγχο ταυτότητας δύο παραγόντων (2FA) για να αποκτήσουν πρόσβαση σε λογαριασμούς μέσων κοινωνικής δικτύωσης, λογαριασμούς email, καθώς και λογαριασμούς σε τράπεζες και ανταλλακτήρια.

Συστήνεται σε όλους μας τους λογαριασμούς, εκτός από ισχυρούς κωδικούς με χρήση Password Manager, να χρησιμοποιούμε όπου είναι εφικτό και κυλιόμενους κωδικούς από Authenticators για 2FA και όχι την επιλογή του SMS.