加密货币交易所FTX遭遇SIM卡交换黑客攻击:谜团仍未解开

2297 字
|
9 分钟

最近,司法部悄悄地公布了一项起诉,一些主流和加密货币媒体迅速报道称这项起诉“解决”了之前由破产的加密货币交易所FTX持有的4亿美元加密货币被盗的谜团。但实际上,这项起诉并非如此,但它反映了在岸和离岸加密货币公司面临的日益增长的监管和经济担忧。据称,2022年11月针对FTX进行的“SIM卡交换”欺诈几乎是一种基本的“黑客”工具,它基于身份盗用和对金融账户持有人的虚假冒充,主要针对那些为其客户和账户持有人提供日益过时的双因素或多因素身份验证(分别简称为“2FA”和“MFA”)隐私保护的公司。

美国联邦监管机构越来越关注依赖易受SIM卡交换漏洞影响的隐私保护程序的危险。美国联邦通信委员会正在制定新规定,而证券交易委员会最近的网络安全法规可能要求公司在面对这种特定威胁时加强其隐私保护。事实上,也许正是由于其自身最近的SIM卡交换事件,证券交易委员会现在更加有动力。

对FTX黑客的新指控

2024年1月24日,哥伦比亚特区联邦检察官办公室公布了一项指控,标题为美国诉鲍威尔等人,随后逮捕了该案中的某些被告。据称,罗伯特·鲍威尔、卡特·朗和艾米丽·埃尔南德斯共同合作,获取了50多名受害者的被盗个人身份信息(PII)。随后,这三人使用被盗信息制作虚假身份文件,以欺骗电信提供商将身份盗用受害者的手机账户转移到被告人或未透露姓名的“共谋者”手中。

该计划依赖于将受害者的电话号码重新分配到犯罪分子控制的物理手机上,这涉及将受害者的号码(实质上是身份)转移到犯罪分子的新设备上的用户识别模块(SIM)卡,这被称为“SIM卡交换”计划。通过Powell指控中所述的SIM卡交换计划,被告人和未透露姓名的共谋者欺骗无线电信提供商将手机号码从合法用户的SIM卡重新分配到被告人或那些未透露姓名的共谋者控制的虚拟货币钱包中,以从中窃取资金。

被告人利用SIM卡交换的关键好处是能够截取来自那些金融账户的消息,以验证访问该账户的人是否是合法持有人。通常情况下,如果不存在欺诈行为,验证将导致向合法用户发送SMS文本或其他消息,然后合法用户通过提供文本或消息中包含的代码来验证对账户的尝试访问。然而,在这种情况下,这个秘密代码直接发送给了欺诈分子,他们使用这个代码冒充账户持有人并取走资金。

尽管鲍威尔的起诉并未指明FTX是受害者,但起诉书中描述的SIM卡交换欺诈的最大事件显然指的是FTX的“黑客”事件。在FTX黑客事件发生时,人们对肇事者进行了大量猜测:是内部人员行为,还是神秘的政府监管者?

许多报道标题宣称谜团已解开:三名被告犯下了FTX黑客事件。但实际上,起诉书却表明了相反的情况。尽管起诉书在指控关于盗取PII、将电话号码转移到欺诈获得的SIM卡以及出售窃取的FTX访问代码的行为时特别提到了这三名被告,但在描述实际盗取FTX资金的行为时,却明显省略了这三名被告的任何参与。起诉书中称“共谋者未经授权进入了[FTX]账户”并且“共谋者将超过4亿美元的虚拟货币从[FTX的]虚拟货币钱包转移到了共谋者控制的虚拟货币钱包”。在起诉书中,起诉书中指控的行为通常会具体指明涉及的被告。然而,在这里,实际上采取了最终和最重要的行动的是未透露姓名的“共谋者”。这些“共谋者”可能是谁的谜团仍然存在,并且除非有新的指控或审判揭示更多事实,否则这个谜团可能还会持续存在。

SIM卡交换、监管机构和商业风险

FTX案件突显了检察官和监管机构对SIM卡交换计划的轻松和普遍程度的日益增长的认识。阅读Powell的起诉书就像阅读联邦和州检察官每年追究的数百起信用卡盗窃起诉书之一。就欺诈而言,SIM卡交换是低成本、不成熟和机械化的。但是,如果你是个罪犯,它是行之有效的。

SIM卡交换很大程度上是由于电信公司的反欺诈和身份验证协议的漏洞,以及相对薄弱的默认防欺诈和身份验证验证程序所致,这些程序被许多在线服务提供商(包括金融服务公司)使用。2023年12月,美国联邦通信委员会发布了一份报告和命令,采纳了旨在解决无线供应商SIM卡交换漏洞的措施。报告和命令包括要求无线供应商在执行类似Powell指控中所述的SIM卡更改之前,使用安全的方法对客户进行身份验证,同时寻求保持客户在合法转移电话号码到新设备时所享受的相对便利性。面对越来越多的意识到SIM卡交换犯罪分子如何利用基本的多因素身份验证和不够安全的双因素身份验证,尤其是在不安全的SMS消息传送通道上,这种平衡将继续对电信公司和依赖它们的服务提供商(包括加密货币公司)构成挑战。

加密货币安全

无线供应商不是唯一面临与Powell指控相关的日益加剧的审查。该案还对加密货币行业提出了教训和警告。

即使Powell案中的被告并不是实际访问和耗尽FTX钱包的人,他们据称通过一种相当基础的SIM卡交换计划获得了进行此操作的验证代码。在证券交易委员会新兴的网络安全制度背景下,该案突显了在美国运营的交易所需要制定评估和管理网络安全风险的流程,包括FTX案中实施的“黑客”攻击。鉴于证券交易委员会最近成为SIM卡交换事件的受害者,我们可以预期执法部门将更加重视针对交易所的SIM卡交换攻击。

这可能会使避开证券交易委员会或其他监管机构监管的离岸交易所处于不利地位。证券交易委员会关于定期披露有关网络安全风险管理、战略和治理信息的要求,以及对同样信息的外部审计,确保了客户和交易对手能够了解这些公司采取了哪些措施来减轻类似FTX事件的风险。离岸公司可能会采取类似透明的网络安全披露方式,但这将需要假设这些公司愿意透明披露,而这种假设可能对于对透明度有些许排斥的公司来说是有挑战的,就像FTX一样。加密货币公司和项目可以预期,他们将面临来自监管机构和市场的增加压力,要求他们采取、披露、展示和维护高于允许类似Powell被告描述的机械化欺诈的网络安全实践水平。

责任编辑:本杰明·席勒