Z ukradeno telefonsko številko do kriptomilijonov
Ameriški poslovnež in direktor družbe TransformGroup Michael Turpin toži ameriškega operaterja AT&T, češ da so mu zaradi njegove malomarnosti hekerji uspeli ukrasti za 24 milijonov dolarjev kriptovalut. Od AT&T zahteva prav toliko odškodnine in še 200 milijonov kazenske odškodnine zaradi malomarnosti.
Turpin trdi, da so napadalci uspeli od AT&T pridobiti kopijo njegove SIM-kartice, ki je bila povezana na isto telefonsko številko. S telefonsko številko so zavarovane identitete v številnih spletnih storitvah, kjer lahko pozabljeno geslo ponastavimo s prejemom gesla v SMS-u. Problem pa je, da mobilno omrežje še zdaleč ni odporno na napade. Poleg klasičnih napadov SS7, ki izrabljajo pomanjkljivo zaščito v dizajnu mobilnih omrežij, je šibka točka tudi operater, kar naj bi se zgodilo v primeru Turpin.
Napadi s prevzemom kartice SIM niso nič novega. Terpin trdi, da so mu napadalci telefonsko številko ukradli kar dvakrat. Prvikrat naj bi se bilo to zgodilo 11. junija lani, drugič pa 7. januarja letos. Ko so imeli pod nadzorom njegovo telefonsko številko, so uspeli pridobiti dostop do enega izmed njegovih računov pri spletnih menjalnicah in odtujiti za 24 milijonov dolarjev kriptovalut.
Načina sta dva, oba pa vključujeta človeški faktor. V nekaterih primerih napadalci pokličejo tehnično podporo pri operaterju ali se osebno zglasijo in se izdajajo za žrtev, po možnosti posredujejo še nekaj osebnih podatkov, in tako pretentajo operaterja. V drugem načinu pa uporabljajo insajderje, ki so zaposleni pri operaterju, in v zameno za podkupnino skopirajo kakšno SIM-kartico oziroma prenesejo številko.
Turpin naj bi odkril, da so mu junija lani po 11 neuspelih poizkusih v 12. poizkusi uspeli ukrasti številko, ko je njegov telefon izgubil povezavo z omrežjem. Že tedaj so mu ukradli nekaj denarja, AT&T pa mu je ob vrnitvi dostopa do računa zagotovil, da bodo odslej njegovo številko obravnavali s posebno skrbnostjo (namenjeno zvezdnikom, poslovnežem in ostalim pogostim tarčam). Vseeno so pol leta pozneje hekerji spet uspeli prevzeti njegovo številko in tedaj so ukradli 24 milijonov dolarjev kriptovalut.
AT&T je v izjavi za Reuters zanikal tožnikove navedbe in dejal, da bodo to na sodišču tudi dokazali.
Ne glede na končni razplet in resnični razlog pa ostaja dejstvo, da je mobilno omrežje samo po sebi zelo luknjičasto, ker je bilo zgrajeno v nekem drugem času z drugimi prioritetami. Uporaba smsov za dodatno avtentikacijo ali ponastavitev računa je zelo tvegana in bi jo morali ukiniti.