21-letni Nicholas Truglia wykorzystując metodę wymiany SIM, zhakował parę telefonów, okradając mieszkańca San Francisco oraz paru kierowników firm z Doliny Krzemowej zajmujących się blockchainem. Haker przywłaszczył sobie milion dolarów.
Skarga złożona w tym miesiącu w sądzie stanowym w Kalifornii ujawniła szczegóły toczącej się sprawy przeciwko Nicholasowi Truglii. Truglia został oskarżony o 21 przestępstw, które obejmują kradzież, oszustwo, malwersacje i próbę kradzieży.
Zarzut kradzieży, z jakim mierzy się Truglia, dotyczy ataku SIM. Poszkodowany to Robert Ross dyrektor jednej z firm w San Francisco. Zaskoczony mężczyzna, nagle stracił sygnał telefoniczny. Zanim skontaktował się z usługodawcą AT & T, udał się do sklepu Apple, aby uzyskać pomoc. Pozwoliło to hakerowi przeprowadzić cały proceder kradzieży. Truglia zdążył ukraść 500 000 $ z kont Rossa, które posiadał na giełdach kryptowalut Coinbase i Gemini.
Dokonanie wymiany SIM i uzyskanie dostępu do telefonu dyrektora wymagało od Truglii skontaktowania się z AT & T i przekonania rozmówców, że jest Rossem. Wystarczyło ponownie przypisać numer telefonu mężczyzny do jednego z urządzeń hakera. Stamtąd Truglia był w stanie ominąć dwuskładnikowe procesy uwierzytelniania, w których kod wysyłany jest do telefonu w celu uzyskania dostępu do kont jego ofiary.
Haker włamał się również do telefonów Saswata Basu, CEO firmy 0Chain, usługi magazynowej typu blockchain. Gabriell Katsnelson, współzałożyciel startupu SMBX i menadżer Myles Danielson, również zostali zhackowani.
Mieszkanie Truglia na Manhattanie zostało przeszukane, policja ujawniła, że odzyskała 300 000 $ z twardego dysku.
AT&T i zniknięcie 24 mln dolarów
Pod koniec sierpnia również informowaliśmy o kradzieży kryptowalut dzięki wejściu w posiadanie numeru telefonu swojej ofiary. Poszkodowany Michael Terpin twierdzi, że do kradzieży doszło przez współpracę sieci AT & T z hakerami. Powiedział, że oszuści zdobyli jego numer telefonu, współpracując z osobą wewnętrzną, uciekając od obowiązkowej kontroli tożsamości, która byłaby wymagana do uzyskania takich informacji.
W momencie kradzieży, kryptowaluty były warte ponad 24 miliony dolarów. Terpin pozwał firmę o dodatkowe 200 milionów dolarów odszkodowania za straty moralne.
Oszustwo związane z kartą SIM zazwyczaj ma miejsce, gdy atakujący udaje klienta i kontaktuje się z usługą wsparcia operatora (w tym przypadku AT&T), aby numer telefonu był przypisany do własnej karty SIM. Haker dostarcza wymagane informacje (które zazwyczaj można znaleźć w internecie), dzięki czemu uzyskuje dostęp do numeru telefonu ofiary, który często jest wykorzystany do uzyskania dostępu do kont online.
Powyższe przypadki potwierdzają, dlaczego dane osobowe powinny być strzeżone tak bezpiecznie, jak to tylko możliwe. Nie wspominając o saldach krypto i innych walutach, które powinny być przechowywane w trybie offline.
