Su teléfono se oscureció, luego $ 1m fue absorbido en un SIM-crypto-heist de intercambio

Armado solo con el número de teléfono de su víctima, un ladrón de intercambio de SIM supuestamente sacó $ 1 millón en crypto-coin de solo uno de sus objetivos: el dinero que el hombre estaba ahorrando para pagar la matrícula universitaria de sus hijas.

Erin West, el fiscal de distrito adjunto para el condado de Santa Clara en California, dijo a los reporteros que Nicholas Truglia, de Manhattan, de 21 años, ha aceptado ser extraditado. Los funcionarios de Santa Clara planean recogerlo en diciembre. Según los documentos judiciales, se le ha acusado de 21 cargos de delitos graves contra seis víctimas, entre ellas el robo de identidad, el fraude, la malversación de fondos, los delitos que "involucran un patrón de conducta relacionada con delitos graves" y el intento de robo a gran escala.

Al parecer, Truglia hackeó los teléfonos de los ejecutivos de Silicon Valley de su cómodo apartamento de gran altura en West 42nd Street.

El padre que ahorra matrícula era Robert Ross. Según el New York Post, Ross "miró sin poder hacer nada" el 26 de octubre mientras su teléfono se apagaba. En unos segundos, $ 500,000 agotados de su cuenta de Coinbase, y otros $ 500,000 se eliminaron de una cuenta de Gemini. Ese fue su ahorro de toda la vida, dijo West.

Al parecer, Ross fue el único éxito de Truglia, aunque los funcionarios alegan que persiguió a media docena de otros jugadores de cryptocoin de Silicon Valley, incluido Saswata Basu, CEO del servicio de almacenamiento en cadena de bloques 0Chain; Myles Danielsen, vicepresidente de Hall Capital Partners; y Gabrielle Katsnelson, la co-fundadora de la startup SMBX.

El diputado DA West forma parte del grupo de trabajo REACT de Santa Clara, que se dedica a los casos de intercambio de SIM en todo el país. El equipo también incluye agentes federales. El 14 de noviembre, el equipo voló a Nueva York con una orden de registro. Arrestaron a Truglia y registraron su gran altura, logrando recuperar $ 300,000 de un disco duro.

Sin embargo, el resto del dinero faltante puede ser más difícil de rastrear, debido a la naturaleza del libro público de blockchain. Aunque registra las transacciones, mantiene a los remitentes y receptores en el anonimato.

CNBC citó West:

En cierto modo, es útil porque podemos ver a dónde va el dinero, esa es la belleza de la cadena de bloques. Es público, pero lo que aún no podemos ver es quién tiene esas cuentas.

En agosto, escribimos lo que supuestamente fue la primera vez que un presunto estafador de intercambio de SIM había estafado con la criptomoneda : en ese caso, $ 5 millones en Bitcoin.

Esta no será la última vez: West dijo que los robos de criptomonedas con intercambio de SIM son una "nueva ola de crímenes".

Es una nueva forma de robar dinero: se dirigen a personas que creen que tienen criptomoneda.

Cómo funcionan las estafas de intercambio de SIM

Como hemos explicado , los intercambios de SIM funcionan porque los números de teléfono están realmente vinculados a la tarjeta SIM del teléfono; de hecho, SIM es la abreviatura del módulo de identidad del suscriptor, una tarjeta especial de sistema en un chip que almacena de forma segura el secreto criptográfico que identifica Su número de teléfono a la red.

La mayoría de las tiendas de teléfonos móviles pueden emitir y activar tarjetas SIM de reemplazo rápidamente, causando que su antigua SIM se pierda y que la nueva tarjeta SIM se haga cargo de su número de teléfono … y de su identidad.

Eso es útil cuando pierde su teléfono o recibe uno nuevo: su operador de telefonía estará encantado de venderle un teléfono nuevo, con una nueva tarjeta SIM, que tiene su número anterior. Pero si un estafador de intercambio de SIM puede obtener suficiente información acerca de usted, puede fingir que es usted y luego un ingeniero social que intercambia su número de teléfono por una nueva tarjeta SIM que está bajo su control.

El control sobre su número de teléfono significa que el ladrón también controla la comunicación con sus cuentas confidenciales, como las cuentas bancarias: todo está bajo el control de un ladrón cuando ha sido víctima de un swapper fraudulento de SIM.

Tradicionalmente, los bancos han enviado los códigos de autorización necesarios al usar 2FA o 2SV, es decir, la autenticación de dos factores o la verificación de dos pasos , a través de SMS para completar una transacción financiera. Afortunadamente, esto se está volviendo menos común: el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos en 2016 publicó nuevas pautas que prohíben la autenticación basada en SMS en 2FA. Además de los riesgos de seguridad de la portabilidad de los teléfonos móviles, los problemas con la seguridad de la entrega de SMS han incluido malware que puede redirigir los mensajes de texto y los ataques contra la red de telefonía móvil, como el llamado hackeo SS7 .

Al robar su número de teléfono, los estafadores también le han robado el acceso a sus códigos 2FA, al menos hasta que logre convencer a los proveedores de su cuenta de que alguien más ha secuestrado su cuenta.

Los ladrones han aprovechado esa oportunidad para:

  • Cambie tantas configuraciones de perfil en su cuenta como puedan.
  • Añadir nuevas cuentas de destinatarios de pago pertenecientes a cómplices.
  • Pague dinero de su cuenta donde puede ser retirado rápidamente en efectivo, para no volver a verlo.

Al cambiar la configuración de su cuenta, hacen que sea más difícil para el banco detectar el fraude y para convencer a su banco de que algo ha ido mal.

Y así es como se siente todo cuando uno es drenado, West dijo a los periodistas:

Estás sentado en tu casa, tu teléfono está frente a ti y de repente te das cuenta de que no hay servicio porque el malo ha tomado el control de tu número de teléfono.

¿Tuvo cómplices?

Los fiscales creen que Truglia estaba trabajando con un equipo. Aparentemente, también ha trabajado con "amigos" que supuestamente no pueden mantener sus manos en secreto cuando se trata de cryptocoin. Los fiscales no mencionaron si sus supuestos conspiradores eran los mismos tipos que, según él, lo torturaron hace unos meses para obtener una memoria USB con datos de cuenta vinculados a $ 1.2 millones en bitcoin, pero esa es la primera vez que el nombre de Truglia lo hizo. la prensa.

Según el New York Post , en septiembre, Truglia llamó a la policía a cuatro amigos que, según él, intentaron robar su bitcoin. Dijo que sus amigos exigieron inicios de sesión para sus cuentas de criptomoneda mientras "agarra su cabeza bajo el agua en la bañera, lo golpea en el estómago y le arroja cera caliente".

De Verdad? Bueno, tal vez … El abogado defensor de sus "amigos" afirmó que todo era mentira y que Truglia se había retractado desde entonces. A partir del 6 de noviembre, todavía se dirigían a una fecha de corte del 14 de marzo para averiguar si habían sido acusados.

Lo que Truglia dijo en ese momento:

Es bastante común que las personas se dirijan a personas que tienen mucha criptomoneda.

Si los cargos se mantienen, le otorgaremos un "nadie lo sabría mejor que " . Mientras tanto, ¿cómo te proteges de un número creciente de ladrones de criptomonedas?

Qué hacer

A continuación se incluyen algunos consejos para lidiar con la creciente tendencia de los estafadores que usan swaps de SIM para agotar las cuentas . No importa que persigan una moneda digital en lugar de una moneda no digital: las precauciones que todos podemos tomar para evitar ser víctimas siguen siendo las mismas.

Aquí están:

  • Tenga cuidado con los correos electrónicos de suplantación de identidad (phishing) o sitios web falsos que los delincuentes utilizan para adquirir sus nombres de usuario y contraseñas en primer lugar. En general, los ladrones de intercambio de SIM necesitan acceso a sus mensajes de texto como último paso, lo que significa que ya han descubierto su número de cuenta, nombre de usuario, contraseña, etc.
  • Evite las respuestas obvias a las preguntas de seguridad de la cuenta. Considere la posibilidad de usar un administrador de contraseñas para generar respuestas absurdas e indiscutibles para el tipo de preguntas que los delincuentes podrían, de otro modo, resolver con sus cuentas de redes sociales. Los delincuentes pueden adivinar que su primer auto fue un Toyota, pero es mucho menos probable que se 87X4TNETENNBA cuenta de que era un 87X4TNETENNBA .
  • Use un antivirus en tiempo real (en tiempo real) y manténgalo actualizado. Una forma común en que los delincuentes descubren los nombres de usuario y las contraseñas es a través del malware del keylogger, que se queda bajo hasta que visita páginas web específicas, como la página de inicio de sesión de su banco, y luego entra en acción para registrar lo que escribe mientras inicia sesión. Un buen antivirus en tiempo real lo ayudará a bloquear enlaces web peligrosos, archivos adjuntos de correos electrónicos infectados y descargas maliciosas.
  • Sospeche si su teléfono vuelve a "llamadas de emergencia solamente" inesperadamente. Verifique con amigos o colegas en la misma red para ver si también tienen problemas. Si lo necesita, pida prestado el teléfono de un amigo para comunicarse con su proveedor de servicios móviles para pedir ayuda. Prepárese para asistir a una tienda o centro de servicio en persona si puede, y lleve consigo la identificación y otras pruebas para respaldarlo.
  • Considere cambiar de códigos 2FA basados ​​en SMS a códigos generados por una aplicación de autenticación . Esto significa que los ladrones tienen que robar su teléfono en lugar de su número de teléfono.

Habiendo dicho eso, Paul Ducklin de Naked Security advierte que no deberíamos pensar en cambiar de SMS a la autenticación basada en aplicaciones como una panacea:

El software malintencionado en su teléfono puede forzar a la aplicación de autenticación a generar el siguiente token sin que se dé cuenta, y los estafadores pueden incluso telefonearlo e intentar engañarlo para que lea su próximo código de inicio de sesión, a menudo fingiendo que lo están haciendo. tipo de "verificación de fraude".

En caso de duda, ¡no lo des!