Bài viết này giới thiệu bản cáo trạng được Bộ Tư pháp Hoa Kỳ công bố gần đây liên quan đến vụ cướp thẻ SIM và tin rằng các bị cáo trong vụ án, Powell và những người khác, không phải là những kẻ tấn công vụ hack FTX. Đồng thời, bài viết cũng giới thiệu những rủi ro kinh doanh của việc chiếm đoạt thẻ SIM và áp lực pháp lý có thể xảy ra đối với ngành mã hóa. Trước đó, Wu Shuo đã xuất bản một bài báo liên quan về việc cướp thẻ SIM, “Không thể ngăn chặn được: Tại sao một số lượng lớn tài khoản Twitter được mã hóa lại bị đánh cắp và đăng các liên kết lừa đảo?” “Cách ngăn chặn” giới thiệu các nguyên tắc tấn công và biện pháp phòng ngừa.
Gần đây, Bộ Tư pháp Hoa Kỳ đã lặng lẽ công bố một bản cáo trạng. Một số phương tiện truyền thông chính thống và tiền điện tử đã nhanh chóng đưa tin về vấn đề này, nói rằng nó đã “giải quyết” bí ẩn về vụ trộm tiền điện tử trị giá 400 triệu đô la trước đó đã bị đánh cắp từ FTX, sàn giao dịch tiền điện tử bị sập.
Tuy nhiên, bản cáo trạng không phải là chìa khóa để kết thúc bí ẩn. Nó nhấn mạnh thực tế là các công ty tiền điện tử, cả trong và ngoài nước, phải đối mặt với những lo ngại về kinh tế và pháp lý ngày càng tăng. Đặc biệt, vụ lừa đảo “chiếm đoạt thẻ SIM” chống lại FTX vào tháng 11 năm 2022 gần như có thể coi là phương thức “hack” cơ bản nhất – phương thức này dựa vào việc đánh cắp danh tính và mạo danh chủ tài khoản tài chính, chủ yếu là Tấn công các công ty cung cấp cho khách hàng và chủ tài khoản. các biện pháp bảo vệ quyền riêng tư ngày càng trở nên lỗi thời, chẳng hạn như xác thực hai hoặc đa yếu tố (tức là “2FA” và “MFA”).
Các cơ quan quản lý liên bang ở Hoa Kỳ ngày càng lo ngại về tác hại tiềm ẩn của các hệ thống dựa vào các chương trình bảo vệ quyền riêng tư dễ bị tấn công chiếm đoạt thẻ SIM. Ủy ban Truyền thông Liên bang đang phát triển các quy tắc mới và các quy định an ninh mạng gần đây của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) có thể buộc các công ty phải cải thiện các biện pháp bảo vệ quyền riêng tư của họ trước mối đe dọa cụ thể này. Đặc biệt là sau khi bản thân SEC trải qua vụ cướp thẻ SIM cách đây không lâu, có lẽ SEC đã quyết tâm hơn trong việc tăng cường các quy định trong lĩnh vực này.
Những cáo buộc mới và tin tặc FTX
Vào ngày 24 tháng 1 năm 2024, Văn phòng Luật sư Hoa Kỳ tại Quận Columbia đã công bố một bản cáo trạng có tựa đề United States v. Powell et al. Robert Powell , Carter Rohn và Emily Hernandez bị cáo buộc đã hợp tác cùng nhau để đánh cắp thông tin nhận dạng cá nhân (PII) của hơn 50 nạn nhân.
Sau đó, bộ ba này sử dụng thông tin đánh cắp được này để tạo ID giả nhằm mục đích lừa đảo các nhà cung cấp dịch vụ viễn thông chuyển số tài khoản điện thoại di động của nạn nhân bị đánh cắp danh tính sang một thiết bị mới thuộc quyền sở hữu của các bị cáo hoặc một “đồng phạm” giấu tên. Ba bị cáo đã bán PII bị đánh cắp cho anh ta.
Kế hoạch này dựa vào việc gán lại số điện thoại của nạn nhân cho một điện thoại thực do tội phạm kiểm soát, yêu cầu số của nạn nhân (về cơ bản là danh tính) phải được chuyển hoặc chuyển sang Mô-đun nhận dạng thuê bao (hoặc “SIM”), “thẻ thực sự được lưu trên thiết bị mới của tội phạm. Đây được gọi là âm mưu “chiếm đoạt SIM”.
Thông qua âm mưu cướp thẻ SIM được mô tả trong vụ United States v. Powell, các bị cáo và những kẻ chủ mưu giấu tên đã lừa các nhà cung cấp dịch vụ viễn thông không dây gán lại số điện thoại di động từ thẻ SIM của người dùng hợp pháp cho những thẻ do bị cáo kiểm soát hoặc thẻ SIM của những kẻ chủ mưu giấu tên đó. Vụ cướp thẻ SIM sau đó cho phép bộ ba Powell và những người khác truy cập vào tài khoản điện tử của nạn nhân tại nhiều tổ chức tài chính khác nhau và lấy trộm tiền từ những tài khoản đó.
Lợi ích chính của việc chiếm đoạt SIM đối với bị cáo là khả năng chặn tin nhắn từ các tài khoản tài chính đó trên các thiết bị lừa đảo mới được thiết kế để xác minh rằng người truy cập tài khoản là chủ tài khoản hợp pháp. Thông thường, nếu không có gian lận, việc xác thực này sẽ dẫn đến tin nhắn văn bản SMS hoặc tin nhắn khác được gửi đến người dùng hợp pháp, người sau đó sẽ xác minh nỗ lực truy cập vào tài khoản bằng cách cung cấp mã có trong tin nhắn văn bản hoặc tin nhắn. Tuy nhiên, trong trường hợp này, mã bí mật đã được gửi trực tiếp đến những kẻ lừa đảo, những kẻ này đã sử dụng nó để mạo danh chủ tài khoản và rút tiền.
Mặc dù bản cáo trạng của Powell không nêu tên FTX là nạn nhân, nhưng các cáo buộc về vụ lừa đảo lấy SIM lớn nhất được mô tả trong bản cáo trạng rõ ràng đề cập đến một vụ “hack” xảy ra tại FTX vào khoảng thời gian công ty công khai tuyên bố phá sản – ngày, Thời điểm và số tiền khớp với vụ hack được báo cáo công khai và các báo cáo truyền thông đã bao gồm xác nhận từ những người trong cuộc điều tra rằng FTX là “Công ty nạn nhân-1” được Powell mô tả. Khi vụ hack FTX xảy ra, đã có rất nhiều suy đoán về thủ phạm: người trong cuộc, cơ quan quản lý chính phủ hoạt động đằng sau hậu trường?
Tiêu đề của nhiều bài báo đưa tin về bản cáo trạng của Powell cho rằng bí ẩn đã được giải quyết: Ba bị cáo đã thực hiện vụ hack FTX. Nhưng thực tế, nội dung cáo trạng lại cho thấy điều ngược lại. Mặc dù bản cáo trạng nêu tên chính xác ba bị cáo và nêu chi tiết về hành vi trộm cắp thông tin nhận dạng cá nhân (PII) bị cáo buộc của họ, việc chuyển số điện thoại sang thẻ SIM có được một cách gian lận và bán mã truy cập FTX bị đánh cắp, nhưng bản cáo trạng đáng chú ý là bỏ qua bất kỳ đề cập nào về những điều này. ba bị cáo khi mô tả hành vi trộm cắp tiền FTX thực tế.
Thay vào đó, nó tuyên bố rằng “những kẻ chủ mưu đã có được quyền truy cập trái phép vào tài khoản FTX” và “những kẻ chủ mưu đã chuyển hơn 400 triệu đô la tiền ảo từ ví tiền ảo của FTX sang ví tiền ảo do những kẻ chủ mưu kiểm soát”. yêu cầu nêu tên bị cáo liên quan đến hành vi mà bị cáo đã thực hiện. Tại đây, chính những “kẻ chủ mưu” giấu tên đã thực hiện bước cuối cùng và quan trọng nhất. Bí ẩn về việc những “kẻ âm mưu” này có thể là ai và có thể sẽ tiếp tục cho đến khi có cáo buộc mới hoặc một phiên tòa tiết lộ nhiều sự thật hơn.
Cơ quan quản lý và rủi ro kinh doanh
Vụ án FTX nêu bật nhận thức ngày càng tăng của các công tố viên và cơ quan quản lý về tính đơn giản và tính phổ biến của các âm mưu chiếm đoạt thẻ SIM. Đọc bản cáo trạng của Powell không khác gì đọc bản cáo trạng liên bang và đọc một trong hàng trăm cáo buộc trộm thẻ tín dụng mà các công tố viên liên bang và tiểu bang theo đuổi mỗi năm. Về mặt gian lận, việc chiếm đoạt thẻ SIM là rẻ tiền, công nghệ thấp và hình thức. Tuy nhiên, nếu bạn là tội phạm, phương pháp này có hiệu quả.
Hiệu quả của việc chiếm đoạt thẻ SIM phần lớn là do các lỗ hổng trong các giao thức xác thực và chống gian lận viễn thông cũng như các quy trình xác thực và chống gian lận tương đối yếu được sử dụng theo mặc định bởi nhiều nhà cung cấp dịch vụ trực tuyến, bao gồm cả các công ty dịch vụ tài chính. Gần đây nhất, vào tháng 12 năm 2023, Ủy ban Truyền thông Liên bang đã ban hành một báo cáo và ra lệnh thực hiện các bước nhằm giải quyết các lỗ hổng chiếm quyền điều khiển thẻ SIM tại các nhà cung cấp dịch vụ không dây. Báo cáo và lệnh bao gồm yêu cầu các nhà cung cấp dịch vụ không dây sử dụng các phương pháp xác thực khách hàng an toàn trước khi thực hiện hoán đổi SIM được mô tả trong bản cáo trạng của Powell, đồng thời cố gắng duy trì sự thuận tiện tương đối mà khách hàng được hưởng khi thay đổi hợp pháp số điện thoại trên thiết bị của họ. Hành động cân bằng này xuất hiện trước sự nhận thức ngày càng tăng rằng những kẻ cướp thẻ SIM khai thác sự tiện lợi của xác thực đa yếu tố cơ bản ( MFA ) và xác thực hai yếu tố (2FA) kém an toàn hơn, đặc biệt là thông qua các kênh nhắn tin SMS không bảo mật sẽ tiếp tục được đặt ra. thách thức đối với các công ty viễn thông và các nhà cung cấp dịch vụ dựa vào chúng, bao gồm cả các công ty mã hóa.
Bảo mật bằng mật mã
Các nhà cung cấp dịch vụ không dây không phải là nhóm duy nhất phải đối mặt với sự giám sát ngày càng tăng liên quan đến các cáo buộc trong bản cáo trạng của Powell. Trường hợp này cũng có những bài học và cảnh báo cho ngành công nghiệp tiền điện tử.
Mặc dù các bị cáo trong vụ Powell không phải là những người thực sự truy cập và rút hết ví FTX, nhưng họ bị cáo buộc đã cung cấp mã xác thực để làm điều đó, mã này có được thông qua một kế hoạch chiếm đoạt thẻ SIM tương đối cơ bản. Trong bối cảnh cơ chế an ninh mạng mới nổi của SEC, trường hợp này nhấn mạnh sự cần thiết của các sàn giao dịch hoạt động tại Hoa Kỳ phải phát triển các quy trình đánh giá và quản lý rủi ro an ninh mạng, bao gồm cả vụ “hack” được thực hiện trong vụ FTX. Vì bản thân SEC gần đây đã là nạn nhân của một cuộc tấn công hack SIM, chúng ta có thể mong đợi cơ quan thực thi của họ sẽ chú ý nhiều hơn đến các cuộc tấn công hack SIM nhằm vào các sàn giao dịch.
Điều này có thể khiến các sàn giao dịch nước ngoài tránh được sự giám sát của SEC hoặc các cơ quan quản lý khác vào thế bất lợi. Các yêu cầu của SEC về việc tiết lộ thông tin công khai thường xuyên về quản lý, chiến lược và quản trị rủi ro an ninh mạng, cùng với kiểm toán bên ngoài, đảm bảo rằng khách hàng và đối tác hiểu các bước mà các công ty này thực hiện để giảm thiểu rủi ro xảy ra sự cố như FTX. Các công ty nước ngoài có thể áp dụng cách tiếp cận minh bạch tương tự đối với việc tiết lộ thông tin về an ninh mạng, nhưng điều này đòi hỏi sự sẵn sàng minh bạch từ phía các công ty này và các công ty này có thể phần nào chống lại khái niệm minh bạch – như FTX đã chỉ ra. Các công ty và dự án tiền điện tử có thể phải đối mặt với áp lực lớn hơn từ các cơ quan quản lý và thị trường trong việc áp dụng, tiết lộ, chứng minh và duy trì mức độ bảo mật cao hơn nhiều so với việc chỉ ngăn chặn những kẻ lừa đảo tiềm ẩn (như các bị cáo được mô tả trong vụ Powell) thực hiện hàng triệu vụ lừa đảo trên mạng. các hoạt động bảo mật mà đồng đô la thoát khỏi.