SIM Swapping: Wie Hacker Millionen via Mobilfunkanbieter stehlen konnten

Am 15. August reichte der amerikanische Investor Michael Terpin eine 195-Millionen-Euro-Klage gegen AT&T ein. Er glaubt, dass der Telekommunikationsriese Hackern Zugriff auf seine Telefonnummer gewährt hatte, was zu einem großen Krypto-Überfall führte.

Michael Terpin ist ein in Puerto Rico ansässiger Unternehmer und CEO der TransformGroup. Er ist auch Mitbegründer einer Gruppe für Bitcoin (BTC) -Anleger namens BitAngels und eines digitalen Währungsfonds, dem BitAngels DApps Fund.

Terpin behauptet, er habe Kryptowährungen im Wert von 20 Millionen Euro aufgrund von zwei Hacks im Verlauf von sieben Monaten verloren: Die 69-seitige Beschwerde, die er bei der kalifornischen Anwaltskanzlei Greenberg Glusker einreichte, erwähnt zwei getrennte Episoden vom 11. Juni 2017 und den 7. Januar 2018. In beiden Fällen konnte AT&T, an der Terpin seit den 1990er Jahren langjähriger Abonnent war, seine digitale Identität nicht schützen.

Jetzt strebt Terpin 174 Millionen Euro Strafschadenersatz und 21 Millionen Euro Schadensersatz von der Telekommunikationsgesellschaft an.

SIM-Swapping-Betrug: Was hat ein Telekom-Anbieter mit Krypto-Einsparungen zu tun?

"Was AT&T getan hat, war wie ein Hotel, das einem Dieb mit einer gefälschten ID einen Zimmerschlüssel und einen Schlüssel zum Zimmersafe gab, um Schmuck im Safe vom rechtmäßigen Besitzer zu stehlen", heißt es in der Beschwerde, dass Terpin Opfer eines SIM-Swaps wurde, auch bekannt als SIM-Hijacking oder ein "Port-out-Scam".

SIM-Swapping ist ein Prozess, bei dem ein Telekommunikationsanbieter wie T-Mobile die Telefonnummer des Ziels auf eine vom Angreifer gehaltene SIM-Karte überträgt. Sobald sie die Telefonnummer erhalten haben, können Hacker sie verwenden, um die Passwörter der Opfer zurückzusetzen und in ihre Konten einzubrechen, einschließlich der Konten für den Austausch von Kryptowährungen.

Gelegentlich können die Diebe sogar die Zwei-Faktor-Authentifizierung umgehen, wie Motherboard schreibt. Laut ihrer Untersuchung ist das Austauschen von SIM-Karten "relativ leicht durchführbar und weit verbreitet", und fügt hinzu, dass "Kryptowährungskonten gemeinsame Ziele sind".

Die Taktiken, die Kriminelle anwenden, um solche Hacks durchzuführen, können variieren. Manchmal tricksen sie Kundenvertreter dazu, zu glauben, dass sie die Ziele sind, um sie dazu zu bringen, ihre Daten zu übergeben. Laut Motherboard verwenden Betrüger jedoch oft die sogenannten "Plugs": nsider von Telekommunikationsunternehmen, die für illegale Swaps bezahlt werden. Ein anonymer SIM-Hijacker erzählte der Publikation:

"Jeder benutzt sie [...] Wenn Sie jemandem [der bei einer Telekommunikationsfirma arbeitet] sagen, dass er Geld verdienen kann, tun sie es."

Eine anonyme Quelle bei Verizon teilte Motherboard mit, dass er über Reddit angesprochen worden war, wo man ihm Bestechungsgelder im Austausch für SIM-Swaps angeboten hatte. Ein anderer Verizon-Mitarbeiter behauptete, der Hacker habe versprochen, in ein paar Monaten "100.000 Dollar" zu machen, wenn er kooperiere - er müsse nur die SIM-Karten für [den Hacker] aktivieren, wenn er bei der Arbeit sei oder [den Angreifern seine] Mitarbeiter ID und PIN geben."

Im Zusammenhang mit dem Fall Terpin schlug der Dialog von Motherboard mit einem AT&T-Mitarbeiter vor, dass das Design ihres Systems es Berichten zufolge einigen Mitarbeitern erlaubt, Sicherheitsfunktionen wie den Telefonpasscode, den AT&T bei der Portierung von Nummern benötigt, zu ersetzen:

"Von dort kann der Passcode geändert werden [...] Mit einem neuen Passcode kann die Nummer ohne Weiteres ausgegeben werden."

Wie wurde Terpin gehackt?

Wie oben erwähnt, wurde Terpin zweimal gehackt: im Juni 2017 und im Januar 2018.

Zuerst, im Sommer 2017, fand er heraus, dass seine AT&T Nummer gehackt worden war, als sein Telefon laut der Beschwerde plötzlich tot war. Er erfuhr dann von AT&T, dass sein Passwort geändert worden war, "nachdem 11 Versuche in AT&T-Läden gescheitert waren."

Nachdem sie Zugang zu Terpins Telefon hatten, nutzten die Angreifer seine persönlichen Daten, einschließlich Anrufe und SMS, um in seine Konten einzubrechen, die Telefonnummern als Mittel der Verifizierung verwenden, einschließlich seiner "Kryptowährungskonten" - obwohl sie den Typ dieser Konten nicht spezifiziert haben. Die Hacker sollen auch Terpins Skype-Account benutzt haben, um ihn zu imitieren und einen seiner Kunden davon zu überzeugen, ihnen die Kryptowährung zu schicken.

AT&T hat Berichten zufolge den Zugang zu den Hackern nur dann gesperrt, nachdem sie "erhebliche Mittel" von Terpin gestohlen hatten. Das Dokument besagt auch, dass Terpin nach dem Vorfall am 13. Juni 2017 mit Vertretern von AT&T zusammenkam, um den Angriff zu besprechen, und von AT&T versprochen wurde, sein Konto auf eine "höhere Sicherheitsstufe" mit "besonderem Schutz" zu bringen, die von Prominenten verwendeten:

"AT&T sagte Herrn Terpin ferner, dass die Umsetzung der erhöhten Sicherheitsmaßnahmen verhindern würde, dass die Nummer von Herrn Terpin ohne die ausdrückliche Genehmigung von Herrn Terpin auf ein anderes Telefon verschoben wird, da niemand außer Herr Terpin und seiner Frau den Geheimcode kennen würde."

Dennoch, ein halbes Jahr später, am Samstag, dem 7. Januar 2018, soll Terpins Telefon wieder abgeschaltet worden sein - er wurde ein weiteres Mal angegriffen. Die Beschwerde behauptet, dass "ein Mitarbeiter in einem AT&T-Geschäft mit einem Betrüger zusammengearbeitet hat, der SIM-Swap-Betrug begangen hat", obwohl im Juni 2017 zusätzliche Sicherheitsmaßnahmen ergriffen wurden:

Wie AT&T später zugab, portierte ein Mitarbeiter in einem AT&T-Geschäft in Norwich, Connecticut, die Funknummer von Herrn Terpin an einen Betrüger, der die Verpflichtungen und Zusicherungen von AT&T verletzte, einschließlich der höheren Sicherheit, die er angeblich auf Herr Terpins Konto nach dem Hack vom 11. Juni 2017 gesetzt hatte, der angeblich implementiert wurde, um genau solchen Betrug zu verhindern. "

Dieses Mal haben die Diebe angeblich rund 21 Millionen Euro an Kryptowährung gestohlen, obwohl er versuchte, AT&T "sofort" zu kontaktieren, nachdem sein Telefon nicht mehr funktionierte. AT&T "ignorierte" seine Anfrage und ließ den Hackern genug Zeit, um genug Informationen über Terpins Kryptokonten zu erhalten, um seine Gelder auf ihre eigenen Konten zu verschieben. Die Klägerbeschwerde argumentiert, dass Terpins Frau zu der Zeit auch versucht habe, AT&T anzurufen, aber sie wurde "endlos hingehalten", als sie darum bat, mit AT&Ts Betrugsabteilung verbunden zu werden.

Der Terpin-Fall könnte ein Präzedenzfall für SIM-Swapping-Betrug sein

Wie die Beschwerde zusammenfasst, wird der potenzielle Umfang von Port-out-Scams hervorgehoben:

"AT&T tut nichts, um seine fast 140 Millionen Kunden vor SIM-Kartenbetrug zu schützen. AT&T ist daher direkt schuld an diesen Angriffen, da sie sich bewusst sind, dass ihre Kunden einem SIM-Swap-Betrug unterliegen und dass ihre Sicherheitsmaßnahmen ineffektiv sind. AT&T tut so gut wie nichts, um seine Kunden vor solchen Betrügereien zu schützen, weil sie zu groß geworden sind, um sich darum zu kümmern. "

Als Gizmodo sich mit AT&T in Verbindung setzte, um einen Kommentar zu der Geschichte zu erhalten, bestritt das Unternehmen Berichten zufolge die Anschuldigung und erklärte, dass sie bereit sind, sich dazu zu äußern:

"Wir bestreiten diese Vorwürfe und freuen uns darauf, unseren Fall vor Gericht zu präsentieren."

Terpin sagte Gizmodo, dass solche Krypto-Überfälle üblicherweise von "College-Kids" ausgeführt werden, die in diesen Discord-Gruppen online gehen. Er bestand auch darauf, dass die Diebe in seinem Fall Hilfe von einem AT&T-Mitarbeiter hatten:

"Die einzige Sache, die [die Kryptohacks] gemein hatten, ist, dass sie in jedem Fall einen Insider hatten [...] [Handel mit Kryptowährungen] ist sicher, solange niemand deine digitale Identität preisgibt."

Er fügte hinzu, dass er das FBI, die Heimatschutzbehörde und den US -Geheimdienst kontaktiert habe und sie den AT&T-Mitarbeiter identifiziert hätten, der an dem Angriff beteiligt gewesen sein soll.

Terpin gab auch an, dass er seine Telefonnummer nicht mehr weitergibt und sich stattdessen auf Google Voice verlässt.

Cointelegraph hat Terpins Anwälte kontaktiert, um nachzugehen, welche Tokens ihm gestohlen wurden und wo er seinen Kryptowährungskonto hatte. Diese Geschichte wird aktualisiert, sobald die Kommentaranforderung beantwortet wird.