Десять хакеров украли $100 млн у знаменитостей путём дублирования SIM-карт

Точное количество хакеров, участвовавших в мошеннической схеме, установлено, так как их всех поймали. В феврале 2021 года было арестовано восемь из них в разных странах Европы, в США и в Канаде, а до этого – первые двое на Мальте и в Бельгии. В операции, координированной Европолом, участвовали правоохранители Великобритании, США, Бельгии, Мальты и Канады.

Банда киберпреступников была активна в 2020 году, их жертвами стали тысячи интернет-инфлюенсеров, звёзд спорта, музыкантов и членов их семей. Все пострадавшие проживают в Соединённых Штатах.

Операция по поимке злоумышленников длилась год. Расследование, начавшееся весной 2020 года, раскрыло соучастников мошеннической схемы, основывавшейся на получении доступа к номерам телефонов жертв.

Через доступ к номерам телефонов хакеры авторизовывались в приложениях и аккаунтах, которые требовали одноразовый код, получаемый через звонок или SMS в качестве одного из факторов аутентификации. Это давало возможность красть фиатные деньги, криптовалюты и личную информацию, включая уже новые номера телефонов с именами их владельцев – последнее заполучалось путём синхронизации списка контактов с облачным хранилищем. Также угонялись аккаунты в соцсетях, которые использовались для публикации контента и рассылки личных сообщений под видом настоящих владельцев.

Основа схемы – это так называемая «SIM swapping» (замена SIM-карты). Эта процедура выполняется оператором сотовой связи по запросу владельца SIM-карты. SIM-карта деактивируется, а её номер телефона переносится на другую. Обычно это делается в случае утери SIM-карты владельцем. Мошенники либо успешно обманывали оператора связи, представляясь настоящим владельцем, либо получали помощь от коррумпированного сотрудника компании сотовой связи. В Индии и Нигерии перенос вообще возможен по SMS-запросу с новой SIM-карты – на телефоне с оригинальной симкой всплывёт окно с предложением нажать цифру "1" для подтверждения операции, что владелец легко может сделать по невнимательности или после уговоров мошенника, позвонившего якобы из службы поддержки сотового оператора.

В итоге номер телефона переносится на подконтрольную мошенникам симку.

Европол в своём пресс-релизе не раскрывает ни имён арестованных, ни то, как вообще удалось поймать хакеров.

В своём отчёте «Оценка рисков организованной интернет-преступности 2020» (INTERNET ORGANISED CRIME THREAT ASSESSMENT) Европол называет мошенническую схему с заменой SIM-карт одной из основных тенденций в 2020 году, приобретающую всё большую популярность. Однако сама схема широко известна уже не первый год. Например, в 2019 году её жертвой стал CEO Twitter Джек Дорси (Jack Dorsey). А в 2018 году так украли $23.8 млн у СЕО Transform Group Майкла Терпина (Michael Terpin), причём лидеру группы из двадцати арестованных мошенников на тот момент было всего 15 лет.

По этой причине крайне не рекомендуется использовать номер телефона как единственный или даже один из факторов аутентификации. А отличной альтернативой является Time-based One-time Password Algorithm, предоставляющий одноразовые привязанные ко времени коды. Самой известной его реализацией является приложение Google Authenticator, которое для дополнительной надёжности можно использовать на смартфоне, вообще не имеющем ни SIM-карты, ни модуля Wi-Fi.