Внаслідок шахрайства з SIM-картками підлітки викрали $ 24 мільйони у криптовалюті

Журналісти видання Bloomberg розповіли сенсаційну історію викрадення $ 24 мільйонів у криптовалюті, що стало можливим завдяки схемі із заміною SIM-картки.

У 2018 році хакери отримали доступ до криптогаманців американського бізнесмена, голови компанії Transform Group Майкла Терпіна та вкрали у нього цифрові активи вартістю $ 24 мільйони. Одним з організаторів афери став 15-річний геймер Елліс Пінскі, якого завербували у міжнародне хакерське угруповання через гру Call of Duty.

У січні 2018 року Майклу Терпіну надійшло повідомлення від Google про вхід до облікового запису з невідомого пристрою. Підприємець відразу запідозрив злом: пів року тому його вже атакували шахраї, які намагалися отримати доступ до його поштових скриньок і вкрасти криптовалюту завдяки заміні SIM-картки. Тоді злочинці не змогли дістатися цифрових активів бізнесмена, але зуміли обдурити кількох його друзів і виманити гроші у них. Мобільні оператори T-Mobile і AT&T пообіцяли Терпіну дотримуватися підвищеного рівня безпеки: якщо він захоче перенести номер з однієї SIM-картки на іншу, потрібно буде введення додаткового коду.

Втім, жодні заходи безпеки не вберегли Терпіна від повторної атаки. Зникли кошти у трьох цифрових валютах — Steem ($ 60 000), Skycoin ($ 1 мільйон) та Triggers ($ 22.7 мільйона). Отримавши контроль над трьома мільйонами токенів Triggers, хакери продали їх та обвалили вартість цифрового активу.

Шахрайство з SIM-картками — відносно проста хакерська схема, яка не вимагає від зловмисників високої компетенції. Шахраям достатньо знати номер жертви і підкупити (або обдурити) співробітника телекомунікаційної компанії, який повинен буде перевести номер жертви на нову SIM-картку. На думку Bloomberg, одна з головних причин поширення цієї простої схеми полягає в тому, що провайдери приділяють більшу увагу зручності своїх клієнтів над безпекою.

Через пів року після того, як шахраям вдалося вивести активи Терпіна, бізнесмен подав до суду на AT&T, вимагаючи від мобільного оператора $ 224 мільйони компенсації за те, що компанія не змогла захистити його дані. На думку Терпіна, у його випадку справа не обмежилася лише передбачуваною участю співробітника у підміні SIM-картки. У момент скоєння крадіжки його дружина Максін зателефонувала в техпідтримку провайдера і попросила заблокувати номер чоловіка — на це компанії знадобилося півтори години. Як припустив Терпін, якби співробітники AT&T відреагували швидше, шахраї не встигли б переказати собі активи.

Пізніше з бізнесменом зв’язались хакери, які пояснили схему крадіжки. 15-річний геймер Елліс Пінскі, якого завербували в угрупування Community, визнав свою причетність до злочину та повернув жертві близько $ 100 000. Хакера Ніколаса Труллі зобов’язали виплатити Терпіну $ 20 мільйонів — незважаючи на те, що в ході пограбування він отримав лише $ 800 000.

Позов Терпіна проти мобільного оператора AT&T так і не задовольнили: у березні 2023 року суддя відмовив бізнесменові у праві на компенсацію. Згідно з вердиктом, у договорі з компанією не описувалася ситуація, за якої підкуплений співробітник компанії здійснить заміну SIM-картки, а потім зламає акаунти і вкраде криптовалюту. Цікаво, що в інтерв'ю Bloomberg навіть Елліс Пінскі став на бік своєї жертви і заявив, що компаніям на кшталт AT&T потрібно краще дбати про безпеку клієнтів.