本文介绍了美国司法部近期公布的一起关于 SIM 卡劫持案件的起诉书,并认为案件被告 Powell 等人不是 FTX 黑客事件的攻击者。同时文章还介绍了有关 SIM 卡劫持的商业风险和对加密行业可能带来的监管压力。此前吴说曾发布有关 SIM 卡劫持的相关文章《防不胜防: 为什么大量加密推特账号被盗发布钓鱼链接?应如何防范》介绍了其攻击原理和防范措施。
近日美国司法部悄然解封了一份起诉书,一些主流及加密媒体迅速报道此事,称其为「解开」了一宗价值 4 亿美元的加密货币盗窃之谜,这些加密货币此前由已倒闭的加密货币交易所 FTX 持有。
然而,这份起诉书并非结束谜团的关键。它显露一个事实是:不论是在岸还是离岸的加密货币公司都面临着越来越多的监管和经济方面的担忧。特别是,2022 年 11 月发生的针对 FTX 的「SIM 卡劫持」欺诈事件,几乎可以看作是最基本的「黑客」手段——这种手段依赖于盗用身份和冒充金融账户持有人,主要攻击那些为客户和账户持有人提供逐渐显得陈旧的双重或多重认证(即「2FA」和「MFA」)隐私保护的公司。
美国的联邦监管者正日益重视依赖易受 SIM 卡劫持攻击的隐私保护程序系统的潜在危害。联邦通信委员会正在制定新规则,同时,美国证券交易委员会(SEC)近期推出的网络安全规定很可能迫使企业提升对抗这一特定威胁的隐私防护措施。尤其在 SEC 自己不久前经历了 SIM 卡劫持事件后,它或许更加坚定了加强这方面规制的决心。
新指控和 FTX 黑客
2024 年 1 月 24 日,哥伦比亚特区的美国检察官办公室公开了一份起诉书,标题为美国诉 Powell 等人。据称,Robert Powell、Carter Rohn 和 Emily Hernandez 合作盗取了 50 多名受害者的个人识别信息(PII)。
这三人随后使用这些被盗信息创建假身份证件,目的是欺骗电信提供商,将身份盗窃受害者的手机账号转移到被告或未命名的「共谋者」持有的新设备上。这三名被告向其售出了被盗的 PII。
该计划依赖于将受害者的电话号码重新分配到犯罪分子控制的物理电话上,这需要将受害者的号码(本质上是身份)转移或移植到用户身份模块(或「SIM」) ,」卡片实际保存在犯罪分子的新设备中。这被称为「SIM 卡劫持」计划。
通过在美国诉 Powell 案中所述的 SIM 卡劫持计划,被告和未命名的共谋者欺骗无线电信提供商,将手机号码从合法用户的 SIM 卡重新分配给被告或那些未命名共谋者控制的 SIM 卡。SIM 卡劫持随后允许 Powell 三人及其他人访问受害者在各种金融机构的电子账户,从这些账户中盗取资金。
SIM 卡劫持对被告的主要好处是能够在新的、欺诈性的设备上拦截来自那些金融账户的消息,这些消息旨在验证访问账户的人是否为合法账户持有人。通常,如果没有涉及欺诈,这种认证将导致发送 SMS 短信或其他消息给合法用户,然后用户通过提供短信或消息中包含的代码来验证对账户的尝试访问。然而,在这种情况下,秘密代码直接发送给了诈骗者,他们使用该代码冒充账户持有人并提取资金。
尽管 Powell 的起诉书没有将 FTX 命名为受害者,但起诉书中描述的最大一起 SIM 卡劫持欺诈事件的指控显然指的是 FTX 在该公司公开宣布破产时发生的「黑客」事件——日期、时间和金额与公开报道的那次黑客攻击相吻合,媒体报道已包括调查内部人士提供的确认,即 FTX 就是 Powell 中所述的「受害公司 -1」。FTX 黑客事件发生时,人们对肇事者有很多猜测:内部人士作案、政府监管机构暗中操作?
很多报道 Powell 起诉书的文章标题都宣称谜团已经解开:三名被告实施了 FTX 黑客攻击。但实际上,起诉书的内容却暗示了相反的情况。虽然起诉书确切地列出了三名被告的姓名,并详细描述了他们涉嫌盗窃个人识别信息(PII)、将电话号码转移到通过欺诈手段获得的 SIM 卡,以及销售窃取的 FTX 访问码的行为,但在描述实际盗取 FTX 资金的过程时,起诉书显著地没有提及这三名被告。
相反,它提到「共谋者未经授权访问了 FTX 账户」和「共谋者将超过 4 亿美元的虚拟货币从 FTX 的虚拟货币钱包转移到由共谋者控制的虚拟货币钱包。」 起诉书起草的惯例是在被告实施的行为中提及被告的名字。在这里,是未命名的「共谋者」采取了最终也是最重要的步骤。这些「共谋者」可能是谁的谜团仍然存在,并且可能会持续下去,直到新的指控出现或审判揭示更多事实。
监管机构和商业风险
FTX 案件凸显了检察官和监管机构对 SIM 卡劫持计划的简单性和普遍性日益增长的认识。阅读 Powell 起诉书,与阅读联邦和阅读联邦和州检察官每年追查的数百份信用卡盗窃指控中的一份没有什么不同。就欺诈行为而言,SIM 卡劫持成本低、技术含量不高、且形式化。但是,如果你是犯罪分子,这种方法有效。
SIM 卡劫持的有效性在很大程度上是电信反欺诈和身份验证协议的漏洞以及许多在线服务提供商(包括金融服务公司)默认使用的相对薄弱的反欺诈和身份验证程序的结果。最近,在 2023 年 12 月,联邦通信委员会发布了一份报告和命令,采取措施旨在解决无线服务提供商的 SIM 卡劫持漏洞。报告和命令包括要求无线提供商在执行 Powell 起诉书中描述的 SIM 更换之前,使用安全的客户认证方法,同时试图保持客户在合法更换设备的电话号码时享受的相对便利。面对着 SIM 卡劫持行为者利用基本的多因素认证(MFA)和较不安全的两因素认证(2FA),特别是通过不安全的 SMS 消息通道的便利性日益增长的认识,这种平衡行为将继续给电信公司和依赖它们的服务提供商(包括加密公司)带来挑战。
加密安全
无线服务提供商并不是唯一面临与 Powell 起诉书指控相关的日益增长审查的团体。这个案例对加密行业也有教训和警告。
即使 Powell 案的被告不是实际访问和耗尽 FTX 钱包的人,他们据称提供了这样做的认证码,这些认证码是通过一个相对基本的 SIM 卡劫持计划获得的。在 SEC 新兴的网络安全制度的背景下,该案例突显了在美国运营的交易所需要开发评估和管理网络安全风险的流程的需求,包括在 FTX 案例中所实施的「黑客」行为。鉴于 SEC 自身最近成为 SIM 卡劫持攻击的受害者,我们可以预期其执法部门将更加关注针对交易所的 SIM 卡劫持攻击。
这可能会让那些避免 SEC 或其他监管机构监督的离岸交易所处于不利地位。SEC 关于定期公开披露有关网络安全风险管理、策略和治理信息的要求,加之外部审计,确保了客户和交易对手能够理解这些公司采取的措施来减轻类似 FTX 事件的风险。离岸公司可能会采取类似透明的网络安全披露方法,但这需要这些公司愿意透明,而这些公司可能对透明度的概念有些抵触——正如 FTX 所示。加密公司和项目可以预期会面临来自监管机构和市场的更大压力,要求它们采纳、披露、展示和维护远高于仅能阻止基础欺诈者(如 Powell 案中所描述的被告)携带数百万美元逃走的网络安全实践水平。
(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)
