Người trao đổi SIM bị tống vào tù vì ăn cắp tiền điện tử 2FA hơn 20 triệu đô la

Một người đàn ông ở Florida là thành viên của một băng nhóm tội phạm mạng đã theo đuổi các ví tiền điện tử đã bị kết án vì đã tham gia vào một vụ cướp mạng được cho là đã thu được hơn 20,000,000 đô la cho những người tham gia.

Những kẻ lừa đảo, bao gồm một Nicholas Truglia, 25 tuổi, đã kiểm soát nhiều tài khoản trực tuyến khác nhau của nạn nhân bằng cách sử dụng một thủ thuật được biết đến trong giao dịch là Trao đổi SIM, còn được biết là chuyển số.

Di chuyển số điện thoại của bạn

Như bạn sẽ biết nếu bạn bị mất điện thoại hoặc làm hỏng thẻ SIM, các số điện thoại di động không được ghi vào chính điện thoại mà được lập trình trong mô-đun nhận dạng người đăng ký (SIM) mà bạn lắp vào điện thoại của mình (hoặc có lẽ, ngày nay, bạn cài đặt điện tử dưới dạng cái gọi là eSIM).

Vì vậy, một kẻ lừa đảo có thể nói chuyện ngon ngọt, mua chuộc hoặc thuyết phục bằng cách sử dụng ID giả hoặc nói cách khác là uy hiếp nhà cung cấp điện thoại di động của bạn để cấp cho “bạn” (có nghĩa là họ) một thẻ SIM mới…

…có thể bước ra khỏi cửa hàng điện thoại di động [a] với số của bạn trong điện thoại của họ, và [b] với thẻ SIM của bạn không hợp lệ và do đó không thể kết nối mạng để nhận cuộc gọi hoặc vào mạng.

Nói một cách đơn giản, điện thoại của bạn không hoạt động và điện thoại của họ bắt đầu nhận cuộc gọi và tin nhắn văn bản của bạn, đáng chú ý là bao gồm mọi mã xác thực hai yếu tố (2FA) có thể được gửi tới điện thoại của bạn như một phần của quá trình đăng nhập an toàn hoặc đặt lại mật khẩu.

Vấn đề hoán đổi SIM, cụ thể là quyền phát hành lại thẻ SIM thay thế được trao cho quá nhiều người khác nhau với quá nhiều cấp độ thâm niên khác nhau trong quá nhiều công ty điện thoại di động để kiểm soát một cách đáng tin cậy), là lý do tại sao dịch vụ công của Hoa Kỳ không còn khuyến nghị SMS- dựa trên 2FA để sử dụng chung và đã từ chối nó cho nhân viên chính phủ.

Mang theo tiền điện tử

Trong trường hợp này, có vẻ như ai đó trong băng đảng mạng đã theo dõi thông tin đăng nhập tài khoản của nạn nhân, chia sẻ chúng với nhiều người tham gia khác và sau đó yêu cầu Truglia đóng vai trò là người nhận tiền điện tử bị rút từ nạn nhân.

Truglia sau đó dường như đã giải ngân số tiền bị đánh cắp trở lại nhiều ví tiền điện tử khác thuộc sở hữu của những người tham gia khác, giữ một phần không xác định làm phần chia sẻ của anh ta trong thỏa thuận.

Bộ Tư pháp Hoa Kỳ (DOJ) ghi chú việc này “[the] Những người tham gia Đề án đã đánh cắp số tiền điện tử trị giá hơn 20 triệu đô la của Nạn nhân, với bị cáo giữ ít nhất khoảng 673,000 đô la giá trị số tiền bị đánh cắp.”

Truglia đã nhận án tù 18 tháng cộng với ba năm phóng thích có giám sát để tuân theo nó, bị tịch thu 983,010.72 đô la ngay lập tức và được yêu cầu trả lại số tiền khổng lồ 20,379,007 đô la.

Anh ta sẽ làm điều đó như thế nào nếu không có sự hợp tác của những người khác trong vụ lừa đảo, những người dường như đã chia phần lớn số tiền 20 triệu đô la đó cho nhau và điều gì xảy ra nếu anh ta không thuyết phục được họ làm như vậy, không được đề cập. trong báo cáo của DOJ.

Phải làm gì?

• Giới hạn số lượng tiền điện tử bạn giữ trực tuyến và có thể truy cập trực tiếp. Cái gọi là ví lạnh không thể truy cập từ xa sẽ bảo vệ bạn khỏi các vụ lừa đảo đánh cắp mật khẩu và xác thực 2FA khi bọn tội phạm từ xa truy cập trực tiếp vào tài khoản của bạn.
• Cân nhắc chuyển khỏi 2FA dựa trên SMS nếu bạn chưa làm như vậy. Mã đăng nhập một lần dựa trên tin nhắn văn bản tốt hơn là không có xác thực 2 yếu tố nào cả, nhưng chúng rõ ràng có điểm yếu là kẻ lừa đảo quyết định nhắm mục tiêu bạn có thể tấn công tài khoản của bạn mà không tấn công bạn trực tiếp, và do đó theo cách mà bản thân bạn không thể chống lại một cách đáng tin cậy.
• Sử dụng trình quản lý mật khẩu nếu bạn có thể. Chúng tôi không biết bằng cách nào mà bọn tội phạm có được mật khẩu của nạn nhân trong trường hợp này, nhưng ít nhất một trình quản lý mật khẩu sẽ đảm bảo rằng bạn sẽ không nhận được những mật khẩu mà kẻ tấn công có thể đoán được hoặc dễ dàng tìm ra từ thông tin công khai về bạn, chẳng hạn như tên con chó của bạn hoặc ngày sinh nhật của con bạn.
• Coi chừng nếu điện thoại của bạn bị chết đột ngột. Sau khi hoán đổi SIM, điện thoại của bạn sẽ không hiển thị bất kỳ kết nối nào với nhà cung cấp dịch vụ di động của bạn. Nếu bạn có bạn bè trên cùng một mạng vẫn đang trực tuyến, điều này cho thấy rằng có thể bạn đang ngoại tuyến chứ không phải toàn bộ mạng. Cân nhắc liên hệ với công ty điện thoại của bạn để được tư vấn. Nếu có thể, hãy trực tiếp đến cửa hàng điện thoại, mang theo ID, để tìm hiểu xem tài khoản của bạn có bị chiếm đoạt hay không.